文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >问答首页 >两个Kubernetes集群对RBAC的作用不同

两个Kubernetes集群对RBAC的作用不同
EN

Stack Overflow用户
提问于 2021-06-24 16:53:56
回答 2查看 30关注 0票数 0

我已经创建了一个应用程序,它需要能够列出、创建、更新和删除不同的Kubernetes资源,并且我为它创建了一个集群角色,如下所示。我的本地K8s集群在Microk8s上运行得很好,但是当我使用相同版本的K8s将其部署在裸机集群上时,我收到了错误,我没有正确的访问权限。

这是怎么可能的(两者都应该采取相同的行动),是否有办法提前发现这些错误?

我的集群角色:

代码语言:javascript
运行
复制
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: {{ .Release.Namespace }}-cluster-manager-role
rules:
- apiGroups: ["","apps","core", "autoscaling"] # --> I was getting error that I cannot create HPA but after I added "autoscaling" to the apigroup now I can create HPA
  resources: ["*", "namespaces"]
  verbs: ["get", "watch", "list", "patch", "create", "delete", "update"]

# ================
# Current clusterrole on microk8s (which allows me to do all the things)
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: "2021-05-31T12:05:58Z"
  name: default-cluster-manager-role
  resourceVersion: "937643"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/default-cluster-manager-role
  uid: 16fb63d6-1261-48a9-bc7f-5c8fffb72c9d
rules:
- apiGroups:
  - ""
  - apps
  - core
  resources:
  - '*'
  - namespaces
  verbs:
  - get
  - watch
  - list
  - patch
  - create
  - delete
  - update

Kubernetes版本:

代码语言:javascript
运行
复制
# Microk8s
$ kubectl version 
Client Version: version.Info{Major:"1", Minor:"14", GitVersion:"v1.14.1", GitCommit:"b7394102d6ef778017f2ca4046abbaa23b88c290", GitTreeState:"clean", BuildDate:"2019-04-08T17:11:31Z", GoVersion:"go1.12.1", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"16", GitVersion:"v1.16.15", GitCommit:"2adc8d7091e89b6e3ca8d048140618ec89b39369", GitTreeState:"clean", BuildDate:"2020-09-02T11:31:21Z", GoVersion:"go1.13.15", Compiler:"gc", Platform:"linux/amd64"}

# Bare-metal
$ kubectl version 
Client Version: version.Info{Major:"1", Minor:"16", GitVersion:"v1.16.3", GitCommit:"b3cbbae08ec52a7fc73d334838e18d17e8512749", GitTreeState:"clean", BuildDate:"2019-11-13T11:23:11Z", GoVersion:"go1.12.12", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"16", GitVersion:"v1.16.15", GitCommit:"2adc8d7091e89b6e3ca8d048140618ec89b39369", GitTreeState:"clean", BuildDate:"2020-09-02T11:31:21Z", GoVersion:"go1.13.15", Compiler:"gc", Platform:"linux/amd64"}

我得到的一些错误:

代码语言:javascript
运行
复制
time="2021-06-22T08:45:31Z" level=error msg="Getting list of PVCs for namespace wws-test failed." func=src/k8s.CreateClusterRole file="/src/k8s/k8s.go:1304"
time="2021-06-22T08:45:31Z" level=error msg="clusterroles.rbac.authorization.k8s.io is forbidden: User \"system:serviceaccount:wws:wws-cluster-manager-sa\" cannot create resource \"clusterroles\" in API group \"rbac.authorization.k8s.io\" at the cluster scope" func=src/k8s.CreateClusterRole file="/src/k8s/k8s.go:1305"
time="2021-06-22T08:45:31Z" level=error msg="Getting list of PVCs for namespace wws-test failed." func=src/k8s.CreateClusterRoleBinding file="/src/k8s/k8s.go:1232"
time="2021-06-22T08:45:31Z" level=error msg="clusterrolebindings.rbac.authorization.k8s.io is forbidden: User \"system:serviceaccount:wws:wws-cluster-manager-sa\" cannot create resource \"clusterrolebindings\" in API group \"rbac.authorization.k8s.io\" at the cluster scope" func=src/k8s.CreateClusterRoleBinding file="/src/k8s/k8s.go:1233"
time="2021-06-22T08:45:32Z" level=error msg="Getting list of PVCs for namespace wws-test failed." func=src/k8s.CreateRole file="/src/k8s/k8s.go:1448"
time="2021-06-22T08:45:32Z" level=error msg="roles.rbac.authorization.k8s.io is forbidden: User \"system:serviceaccount:wws:wws-cluster-manager-sa\" cannot create resource \"roles\" in API group \"rbac.authorization.k8s.io\" in the namespace \"wws-test\"" func=src/k8s.CreateRole file="/src/k8s/k8s.go:1449"
kubernetes
rbac
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2021-06-25 15:38:09

我不知道为什么会发生这种情况,但我通过对apiGroupsresourcesverbs这三个字段使用*解决了这个问题

代码语言:javascript
运行
复制
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

我知道这不是一个干净和完美的解决方案,特别是如果你想更多地控制角色以及角色应该访问的资源或动词,但由于没有人(即使我在Kubernetes repo github上发布了这个问题)知道为什么会发生这种情况,而且我没有时间深入研究这个问题,所以我接受自己的答案。

票数 -1
EN

Stack Overflow用户

发布于 2021-06-24 23:02:03

您应该了解一下应用于system:serviceaccount:wws:wws-cluster-manager-sa)的ClusterRoleBindings (k get ClusterRoleBinding -o wide)。

我猜在Minikube上,你的用户可以在你的本地集群上做任何事情。但是,真实的集群不允许您使用默认用户创建新的ClusterRoles/CluterRoleBindings。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/68112585

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档