返回以下错误: error: you must specify two or three arguments: verb, resource, and optional resourceName 当我执行的时候: kubectl auth --as=system:serviceaccount:mytest1:default can-i use psp 00-mytest1 我已经有了以下针对podsecuritypolicy (psp.yaml)、role (role.yaml)和rolebinding (rb.yaml)的清单,并部署在名称空间mytest1中。 psp.yaml
我试图理解为什么在一个集群上允许一个操作,但在另一个集群上我得到了以下结果 Exception encountered setting up namespace watch from Kubernetes API v1 endpoint https://10.100.0.1:443/api: namespaces is forbidden: User \"system:serviceaccount:kube-system:default\" cannot list resource \"namespaces\" in API group \"\"
如何使用exec检查kubectl auth can-i ...授权
get、create、delete等被认为是动词,而exec则不是,如下所示:
$ kubectl --kubeconfig=config-prod.yml auth can-i exec po
Warning: verb 'exec' is not a known verb
yes
exec授权是否包含在另一个授权中,如create
当我运行任何kubectl命令时,我会得到以下警告:
W0517 14:33:54.147340 46871 gcp.go:120] WARNING: the gcp auth plugin is deprecated in v1.22+, unavailable in v1.25+; use gcloud instead.
To learn more, consult https://cloud.google.com/blog/products/containers-kubernetes/kubectl-auth-changes-in-gke
我已经遵循了中的说明几次,但警告不断出现,使
我正在经历一个来自新创建的Kubernetes服务帐户的奇怪行为。看来,它们的令牌在我们的集群中提供了无限的访问权限。
如果我在这个名称空间中创建了一个新的名称空间,一个新的服务帐户,然后在一个新的kube配置中使用服务帐户的令牌,我就能够执行集群中的所有操作。
# SERVER is the only variable you'll need to change to replicate on your own cluster
SERVER=https://k8s-api.example.com
NAMESPACE=test-namespace
SERVICE_ACCOUNT=tes
我正在尝试创建一个Pod,它能够使用Role.rules.resourceNames创建和更新特定的配置映射。我可以从pod中对API执行对资源的get请求,但不能创建资源,而是获取
$ kubectl logs rbac-test
Error from server (Forbidden): error when creating "/config/aaa.yaml": configmaps is forbidden: User "system:serviceaccount:default:rbac-test" cannot create resource &
获取以下错误:- Failed to update lock: configmaps "ingress-controller-leader-internal-nginx-internal" is forbidden: User "system:serviceaccount:ingress-nginx-internal:ingress-nginx-internal" cannot update resource "configmaps" in API group "" in the namespace "ingress-n
GKE版本- 1.14目前我有两个私有gke集群( Vault集群和应用集群)
获取以下错误:
vault errors -
auth.kubernetes.auth_kubernetes_b0f01fa6: login unauthorized due to: Post "https://10.V.V.194:443/apis/authentication.k8s.io/v1/tokenreviews": dial tcp `10.V.V.194`:443: i/o timeout
->,其中
10.V.V.194 -- is master IP address (no
我正面临着下一个问题。我在问kubernetes我是否可以做一些操作:
$ kubectl auth can-i list secrets --namespace iotdevadm
no - no RBAC policy matched
在上面,我要求列出秘密。根据回应,我不能这样做。
但是:
$ kubectl get secrets
NAME TYPE DATA AGE
builder-dockercfg-9m9rf kubernetes.i