我正在尝试在我的集群上启用RBAC,并将以下行添加到kube-apiserver.yml中:
- --authorization-mode=RBAC
- --runtime-config=rbac.authorization.k8s.io/v1beta1
- --authorization-rbac-super-user=admin
我做了systemctl重新启动kubelet;apiserver启动成功,但我无法运行kubectl命令,我得到了这个错误:
kubectl get po
Error from server (Forbidden): pods is forbidden: User "kubectl" cannot list pods in the namespace "default"
我哪里出错了,或者我应该为kubectl用户创建一些角色?如果是这样,这是如何实现的
发布于 2018-04-17 21:18:35
来自服务器的
错误(禁止):pods被禁止:用户kubectl不能列出命名空间default中的pod
您正在使用用户kubectl
通过kubectl
实用程序访问集群,但是您设置了--authorization-rbac-super-user=admin
,这意味着您的超级用户是admin
。
要解决此问题,请使用超级用户"kubectl“而不是”admin“启动kube-apiserver。
只需更新选项的值:--authorization-rbac-super-user=kubectl
。
发布于 2018-09-29 06:56:14
老问题,但对于谷歌搜索者来说,你可以使用不安全的端口:
如果您的API服务器在启用了不安全端口(-- insecure - port )的情况下运行,您还可以通过该端口进行API调用,这不会强制执行身份验证或授权。
因此,将--insecure-port=8080
添加到kube-apiserver选项中,然后重新启动它。
然后运行:
kubectl create clusterrolebinding kubectl-cluster-admin-binding --clusterrole=cluster-admin --user=kubectl
然后关闭不安全端口。
https://stackoverflow.com/questions/49879027
复制相似问题