我使用的是kubernetes on-prem 当我使用kubernetes构建gitlab时,遇到了一些问题。我认为它与serviceaccount或角色绑定有关。但是找不到正确的方法 我找到了这些帖子 Kubernetes log, User "system:serviceaccount:default:default" cannot get services in the namespace https://github.com/kubernetes/kops/issues/3551 我的错误日志 ==> /var/log/gitlab/prometheus/cu
我正在使用亚马逊网络服务中的kops来创建我的Kubernetes集群。
按照的说明,我已经创建了一个通过--authorization=RBAC启用了RBAC的群集
我正在尝试使用默认服务帐户令牌与群集交互,并收到此错误:
Error from server (Forbidden): User "system:serviceaccount:default:default" cannot list pods in the namespace "default". (get pods)
我是否遗漏了某个角色或绑定?
我试图在K8s中公开我的应用程序。
我已经设置了一个大会控制器,它提供了以下属性:
kubectl get svc,pods --namespace ingress
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/ingress-nginx-nginx-ingress LoadBalancer 10.254.234.220 111.111.111.111
我创建了一个pod (一个用于运行命令的高寒"BusyBox“),然后获取与它关联的default服务帐户。然后,我创建了一个RoleBinding (以及后来的ClusterRoleBinding,当第一个不能工作时),但是它仍然不允许我调用K8s API。
我做错了什么?
首先,我创建了一个容器来运行命令:
# Create a namespace to install our pod
kubectl create namespace one
# Now create a pod that we can run stuff in
kubectl run runner -n one
我无法确定与我的设置的权限的确切问题,如下所示。我已经调查了所有类似的QAs,但仍然无法解决这个问题。其目的是部署Prometheus,并让它在集群中的其他应用程序中公开的刮除 /metrics端点。
Failed to watch *v1.Endpoints: failed to list *v1.Endpoints: endpoints is forbidden: User \"system:serviceaccount:default:default\" cannot list resource \"endpoints\" in API group \
我刚刚创建了一个新的kubernetes集群。除了设置集群之外,我所做的唯一事情就是使用helm init安装Tiller,并通过helm install stable/kubernetes-dashboard安装kubernetes仪表板。
helm install命令似乎是成功的,helm ls输出:
NAME REVISION UPDATED STATUS CHART APP VERSION NAMESPACE
我正面临着下一个问题。我在问kubernetes我是否可以做一些操作:
$ kubectl auth can-i list secrets --namespace iotdevadm
no - no RBAC policy matched
在上面,我要求列出秘密。根据回应,我不能这样做。
但是:
$ kubectl get secrets
NAME TYPE DATA AGE
builder-dockercfg-9m9rf kubernetes.i
我不知道我的角色绑定出了什么问题。在尝试获取pod的指标时,我不断收到此错误。 "pods.metrics.k8s.io "my-pod-name" is forbidden: User "system:serviceaccount:default:default" cannot get resource "pods" in API group "metrics.k8s.io" in the namespace "default"" 以下是集群角色yaml文件 kind: ClusterRole
在kubernetes中,我在默认名称空间中创建了一个pod,但现在我想将pod移动到我当前创建的dabai-fat命名空间,我正在尝试修改yaml文件,但它给出了错误:
the namespace of the object (dabai-fat) does not match the namespace on the request (default)
我应该怎么做才能使它工作,我应该删除旧吊舱并创建一个新吊舱吗?