Ruder-Liste : Liste nicht configmaps im namespace "kube-system"
Habe ich installiert helm 2.6.2 auf die kubernetes 8 cluster. helm init
fein gearbeitet. aber wenn ich helm list
es geben, dieser Fehler.
helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"
Wie man dieses Problem beheben RABC Fehlermeldung?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Einmal diese Befehle:
ausgeführt wurden, das Problem wurde gelöst.
--clusterrole=cluster-admin
, wird das sicherlich fix Berechtigungen Probleme, aber möglicherweise nicht, die Sie beheben möchten. Es ist besser, erstellen Sie Ihre eigenen Dienstkonten (cluster)Rollen und (cluster -) rolebindings mit der genauen Berechtigungen, die Sie benötigen.The accepted answer gives full admin access to Helm which is not the best solution security wise
(siehe stackoverflow.com/a/53277281/2777965).Mehr Sichere Antwort
Akzeptierte Antwort gibt vollen admin-Zugriff auf Helm die ist nicht die beste Lösung, security-wise. Mit ein wenig mehr Arbeit, können wir beschränken Helm, den Zugang zu einer bestimmten namespace. Mehr details in der Ruder-Dokumentation.
Definieren Sie eine Rolle, die erlaubt Tiller zu Verwaltung aller Ressourcen in
tiller-world
wie inrole-tiller.yaml
:Führen:
In
rolebinding-tiller.yaml
,Führen:
Danach können Sie laufen
helm init
zu installieren Tiller in dertiller-world
namespace.Nun Präfix alle Befehle mit
--tiller-namespace tiller-world
oder setTILLER_NAMESPACE=tiller-world
in Ihrer Umgebungsvariablen.Mehr Zukunftssichere Antwort
Stop mit Pinne. Helm 3 beseitigt die Notwendigkeit für die Fräse komplett. Wenn Sie mit Helm 2 können Sie mit
helm template
zu generieren, die yaml von Ihrem Helm Diagramm und führen Sie dannkubectl apply
auf anwenden, um die Objekte in den Kubernetes-cluster.--tiller-namespace tiller-world
oder setTILLER_NAMESPACE=tiller-world
in Ihrer Umgebungsvariablen.Ruder läuft mit "default" - Dienst-Konto. Sollten Sie die Berechtigungen zu.
Für nur-lese-Berechtigungen:
Für admin-Zugang: ZB: um Pakete zu installieren.
Den Standard-serviceaccount nicht über API-Berechtigungen. Helm wahrscheinlich zugewiesen werden, muss ein service-Konto, und diesen Dienst angegebene Konto API-Berechtigungen. Finden Sie die RBAC-Dokumentation für die Gewährung von Berechtigungen für die Dienstkonten: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions
kubectl apply -f your-config-file-name.yaml
"und aktualisieren dann das Ruder instalation verwenden serviceAccount:
helm init --service-account tiller --upgrade