我想授予执行kubectl --token $token get pod --all-namespaces的Kubernetes服务帐户特权。对于单个名称空间,我很熟悉,但不知道如何为所有名称空间(包括将来可能创建的、不授予服务帐户的新名称空间)这样做。
目前,我收到以下错误消息:
服务器错误(禁止):禁止使用:用户"system:serviceaccount:kube-system:test“在集群范围内”无法列出API组中的资源“
需要哪些(集群)角色和角色绑定?
UPDATE使用下面的ClusterRoleBinding将角色view分配给服务,这是向前迈出的一步。但是,
嗨,我看到了,在那里kubectl可以在默认的吊舱中运行。是否可以在指定的命名空间中在作业资源中运行kubectl?没有看到任何相同的文档或例子。
当我尝试将serviceAccounts添加到容器时,我得到了以下错误:
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:my-namespace:internal-kubectl" cannot list resource "pods" in API group "" in the names
我使用jenkins k8s插件来部署从节点,但是在从容器中,不能使用kubectl,错误是:
用户"system:serviceaccount:default:default“无法将API组中的资源"pods”列在名称空间"default“中
几乎,我做了一件像docker run a slave这样的事情,但没关系,码头集装箱可以使用kubectl,为什么?谢谢!
我尝试使用部署Kubernetes运算符,但得到以下错误:
kopf._cogs.clients.errors.APIForbiddenError: ('exchangerates.operators.brennerm.github.io is forbidden: User "system:serviceaccount:default:exchangerates-operator" cannot list resource "exchangerates" in API group "operators.brennerm.github.io
我无法运行任何helm命令而不出现错误,说明我的用户是被禁止的。我的用户被禁止使用kube-system和默认名称空间。 运行类似下面这样的命令:kubectl create serviceaccount --namespace kube-system tiller会导致以下错误: Error from server (Forbidden): serviceaccounts is forbidden: User "{my-user}" cannot create resource "serviceaccounts" in API group ""
我更改了一些东西并部署到一个新的集群上,然后我得到了这个错误,尽管我没有在代码中做任何更改。以前有没有人见过? 来自以下服务器的: "/builds/dropcunt/nettmoster.com/deployment/webapp.yml": ingresses.extensions "nettmoster.comn-273414" is forbidden: User "system:serviceaccount:gitlab-managed-apps:default" cannot get resource "ingresses&
我试图理解为什么在一个集群上允许一个操作,但在另一个集群上我得到了以下结果 Exception encountered setting up namespace watch from Kubernetes API v1 endpoint https://10.100.0.1:443/api: namespaces is forbidden: User \"system:serviceaccount:kube-system:default\" cannot list resource \"namespaces\" in API group \"\"