无法检查kubernetes中的用户证书权限:"Y和X都是为kubernetes-admin指定的。Y将覆盖“
无法检查kubernetes中的用户证书权限:"Y和X都是为kubernetes-admin指定的。Y将覆盖"。
在Kubernetes中,用户证书权限是通过角色绑定和角色授权进行管理的。角色绑定用于将用户或用户组与角色相关联,而角色授权定义了用户或用户组在集群中的权限。
对于无法检查用户证书权限的问题,可能有以下几个原因和解决方法:
- 角色绑定错误:首先,需要检查Y和X是否正确地绑定到了kubernetes-admin角色。可以通过查看角色绑定的定义来确认。如果绑定错误,可以使用kubectl命令进行修复。例如,使用以下命令将用户Y绑定到kubernetes-admin角色:
- 角色绑定错误:首先,需要检查Y和X是否正确地绑定到了kubernetes-admin角色。可以通过查看角色绑定的定义来确认。如果绑定错误,可以使用kubectl命令进行修复。例如,使用以下命令将用户Y绑定到kubernetes-admin角色:
- 角色授权错误:如果角色绑定正确,但仍然无法检查权限,可能是因为角色授权不正确。可以通过查看角色的定义来确认。如果授权错误,可以使用kubectl命令进行修复。例如,使用以下命令将kubernetes-admin角色授予用户Y:
- 角色授权错误:如果角色绑定正确,但仍然无法检查权限,可能是因为角色授权不正确。可以通过查看角色的定义来确认。如果授权错误,可以使用kubectl命令进行修复。例如,使用以下命令将kubernetes-admin角色授予用户Y:
- 证书问题:如果以上两个步骤都正确,但仍然无法检查权限,可能是证书本身存在问题。可以尝试重新生成证书并重新绑定角色。具体的证书生成和绑定方法可以参考Kubernetes官方文档或相关教程。
总结起来,要解决无法检查Kubernetes中用户证书权限的问题,需要确保角色绑定和角色授权正确,并且证书没有问题。如果以上步骤都正确,但仍然无法解决问题,可能需要进一步检查集群配置和其他相关因素。
相关·内容
我无法使用rest获得名称空间列表,rest端点是https://<localhost>:8001/api/v1/namespaces。
使用
我在用邮递员。我将重复这些步骤:
创建了一个用户并赋予集群管理权限:
kubectl create serviceaccount exampleuser
为我们的用户创建了一个具有集群角色集群-admin的角色绑定:
kubectl create rolebinding <nameofrolebinding> --clusterrole cluster-admin --serviceacco
浏览 3提问于2019-05-22得票数 1
回答已采纳
我有一个用enableAzureRBAC=true配置的AKS集群
我正在尝试通过Flux安装入口-nginx Helm图表。
它会抛出错误
reconciliation failed: failed to get last release revision: query: failed to query with labels: secrets is forbidden: User "system:serviceaccount:nginx:flux-applier" cannot list resource "secrets" in API group
浏览 30提问于2022-10-06得票数 0
我希望允许非管理用户使用Kubernetes仪表板来查看名称空间中的K8对象。作为集群管理,我没有问题使用kubectl代理连接Kubernetes仪表板。当我第一次尝试使用对其整个命名空间具有只读访问权限的应用程序服务帐户访问它时,我收到以下错误:
{
"kind": "Status",
"apiVersion": "v1",
"metadata": {
},
"status": "Failure",
"message": "ser
浏览 0提问于2020-04-10得票数 0
1回答
我的Kubernetes用户不是集群中的管理员。因此,我只是不能为文件节拍服务帐户创建集群角色绑定。我正在使用自动发现在文件拍。有人能帮我吗?没有集群角色我怎么能做到这一点。
apiVersion: v1
kind: ConfigMap
metadata:
name: filebeat-config
namespace: logging
labels:
k8s-app: filebeat
kubernetes.io/cluster-service: "true"
data:
filebeat.yml: |-
setup.dashboard
浏览 3提问于2021-05-03得票数 1
我正在尝试理解授予kubernetes serviceaccount执行部署、服务创建等权限的安全含义。该角色是具有命名空间角色绑定的集群角色。
使用案例是使用服务帐户自动化/编排群集内的一些任务。版本为1.16
浏览 2提问于2020-08-05得票数 0
我试图了解kubectl是如何获得运行命令的权限的。我知道所有与库伯奈特星系团的相互作用都是通过库伯-阿皮瑟弗进行的。因此,当我们从主节点运行kubectl命令(例如kubectl get pods )时,请求将通过kube进行。
apiserver执行身份验证和授权,并提供结果。与任何其他用户或资源一样,kubectl也应该与一个角色和角色绑定相关联,以获得访问集群上资源的权限。如何检查与kubectl关联的角色和角色绑定?
抱歉,如果这是个荒谬的问题。
浏览 0提问于2020-04-11得票数 1
回答已采纳
我正在将一个应用程序部署到我的Kubernetes集群中,它使用Kubernetes API来列出集群中的豆荚(不仅仅是名称空间中的那些)。应用程序将驻留在自己的命名空间中。
RBAC规则如下;
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
name: kubecontrol-rbac-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch
浏览 2提问于2020-03-26得票数 1
回答已采纳
使用kubectl和kops 1.8
在aws中使用kops旋转集群时,创建的客户端证书(以~/.kube/config的client-certificate-data字段中的字符串形式表示)具有以下值:
Subject: O=system:masters, CN=kubecfg
除非我错了,从kubernetes 1.4开始,Organitazion的值被替换为group信息(与CN值关联的字符串是所谓的用户,因为k8s本质上没有这样的概念)。
1:如何查看与system:masters组和/或kubecfg用户关联的权限?
(与上述相关):我现在使用的开箱即用的授权方法是什么?
浏览 3提问于2018-01-10得票数 5
1回答
说,
如果要在命名空间中定义角色,请使用Role;如果要定义角色集群范围内的角色,请使用ClusterRole。
那么,为什么我能够在命名空间中为非命名空间资源ClusterRole (或者简称sc )创建一个sc呢?
kubectl -n apps create clusterrole scrole --verb=create,update,patch,delete --resource=sc
另外,正确的说法是,Role只适用于命名空间资源,而ClusterRole仅适用于非命名空间资源。
浏览 1提问于2020-11-17得票数 1
回答已采纳
当我为集群备份安装ARK服务器和Velero时,在那个时间点,它要求RBAC身份验证。当我们输入以下命令时,身份验证过程显示错误
kubectl create clusterrolebinding cluster-admin-binding --clusterrole cluster-admin --user info.mail_id@gmail.com`
错误
Error from server (Forbidden): clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "info.mail_id@gma
浏览 0提问于2019-11-22得票数 0
2回答
我试图用kubernetes设置spinnaker,并得到一个错误:用户不能列出名称空间。
我无法访问集群范围中的列表命名空间。是否可以在不访问集群范围内的列表命名空间的情况下设置和应用hal配置?如果是,请告诉我步骤。
下面我提到这个命令,以供参考:
hal deploy apply
+ Get current deployment
Success
- Prep deployment
Failure
Problems in default.provider.kubernetes.my-k8s-account:
! ERROR Unable to communicate with yo
浏览 1提问于2018-09-20得票数 1
我试图理解为什么在一个集群上允许一个操作,但在另一个集群上我得到了以下结果 Exception encountered setting up namespace watch from Kubernetes API v1 endpoint https://10.100.0.1:443/api: namespaces is forbidden: User \"system:serviceaccount:kube-system:default\" cannot list resource \"namespaces\" in API group \"\"
浏览 149提问于2020-07-13得票数 2
1回答
我们在kubernetes平台上部署了带有嵌入式hazelcast的spring引导应用程序。我们正在使用kubernetes API策略来自动发现吊舱。我的理解是,我们需要运行RBAC.yaml,它基本上将角色授予kubernetes自动发现的服务帐户。我的问题是,RBAC.yaml创建了集群角色和集群绑定。作为kubernetes集群中的租户,我没有集群级别的访问权限。我可以通过创建角色和rolebinding.In来在命名空间级别管理相同的内容吗?例如,自动发现可以使用角色和角色绑定来代替集群角色和集群绑定。请确认我的所有应用程序荚都绑定到名称空间。
关照S
我们正在测试角色和角色绑定。
浏览 6提问于2022-04-05得票数 0
我设置了一个服务帐户和一个集群角色绑定,以使view能够访问所有名称空间的pod:
apiVersion: v1
kind: ServiceAccount
metadata:
name: mine-user
namespace: mine
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: mine-rolebinding
subjects:
- kind: User
name: mine-user
namespace: mine
apiGroup:
浏览 1提问于2019-11-11得票数 0
回答已采纳
我有一些普通的yaml文件定义了一些平均的角色资源,所有的yaml都应该反映我的资源的期望状态。
为了在集群中获得新的平均角色,我通常运行kubectl apply -f my-new-role.yaml,但现在我看到了这一点(推荐!?)替代kubectl auth reconcile -f my-new-role.yaml
好的,可能存在RBAC关系(即绑定),但是应用不应该做同样的事情吗?
是否有过更新(集群)角色而不希望更新相关(集群)绑定的情况?
浏览 1提问于2021-03-25得票数 10
我做了这个:
I创建了一个服务帐户
cat <<EOF | kubectl create -f -
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: myname
...
I从服务帐户中创建的秘密生成令牌:
token=$(kubectl get secrets myname-xxxx-xxxx -o jsonpath={.data.token} | base64 --decode)
I为创建的serviceAccount myname设置凭据:
kubectl config set-credentials myna
浏览 1提问于2020-08-05得票数 0
回答已采纳
我已经创建了一个服务帐户,它具有创建角色和角色绑定的权限,但遗憾的是,当它试图创建一个角色时会出错。似乎IAM权限优先?这怎么可能呢?
我知道这个错误:
You either need to be cluster-admin or create a service-account that have the permission "Required "container.roles.create" permission."
这是否是阻止Kubernetes服务帐户在命名空间中创建角色(而不是集群角色)的缺陷?
我可能可以通过提供服务帐户集群-admin来解决这个
浏览 1提问于2019-02-01得票数 0
回答已采纳
我正在尝试为一个需要持久卷的服务创建RBAC角色/规则,但是它仍然失败,并且有禁止的错误。
以下是我的角色配置:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: logdrop-user-full-access
namespace: logdrop
rules:
- apiGroups: ["", "extensions", "apps", "autoscaling"]
resources: ["*"]
浏览 0提问于2019-07-01得票数 12
1回答
是否有一种方法可以创建具有完全访问权限的K8s集群角色(任何名称空间上的所有资源、谓词和像素组),但在所有名称空间(例如:kubectl delete pods --all-namespaces或kubectl delete pv --all-namespaces )上不执行命令
(应该允许在单个名称空间上运行相同的命令,而不是大量运行到所有名称空间)。
如果不能通过集群角色来实现这一点,那么还有其他方法可以实现吗?
浏览 9提问于2022-02-20得票数 2
在Kubernetes中,RBAC的工作方式有些地方我不太理解。
我会陈述我所理解的和不理解的。基于,RBAC定义了4种kubernetes对象:
角色
ClusterRole
RoleBinding
ClusterRoleBinding
角色
角色在特定名称空间的中定义一组权限()。角色定义包含一个namepsace字段,角色对象是在该命名空间中创建的。从医生那里:
角色总是在特定的命名空间中设置权限;创建角色时,必须指定它所属的名称空间。
我认为这意味着角色中定义的所有规则都将仅应用于到该命名空间中的对象。如果这个假设是真的,我会继续,否则请纠正我。
Clu
浏览 1提问于2021-04-13得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
