Ruder-Liste : Liste nicht configmaps im namespace "kube-system"

Habe ich installiert helm 2.6.2 auf die kubernetes 8 cluster. helm init fein gearbeitet. aber wenn ich helm list es geben, dieser Fehler.

 helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"

Wie man dieses Problem beheben RABC Fehlermeldung?

InformationsquelleAutor sfgroups | 2017-10-10
  1. 179

    Einmal diese Befehle:

    kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'      
helm init --service-account tiller --upgrade

    ausgeführt wurden, das Problem wurde gelöst.

    • Beachten Sie, dass dieses weist --clusterrole=cluster-admin, wird das sicherlich fix Berechtigungen Probleme, aber möglicherweise nicht, die Sie beheben möchten. Es ist besser, erstellen Sie Ihre eigenen Dienstkonten (cluster)Rollen und (cluster -) rolebindings mit der genauen Berechtigungen, die Sie benötigen.
    • The accepted answer gives full admin access to Helm which is not the best solution security wise (siehe stackoverflow.com/a/53277281/2777965).
    InformationsquelleAutor sfgroups
  2. 23

    Mehr Sichere Antwort

    Akzeptierte Antwort gibt vollen admin-Zugriff auf Helm die ist nicht die beste Lösung, security-wise. Mit ein wenig mehr Arbeit, können wir beschränken Helm, den Zugang zu einer bestimmten namespace. Mehr details in der Ruder-Dokumentation.

    $ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

    Definieren Sie eine Rolle, die erlaubt Tiller zu Verwaltung aller Ressourcen in tiller-world wie in role-tiller.yaml:

    kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-manager
  namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

    Führen:

    $ kubectl create -f role-tiller.yaml
role "tiller-manager" created

    In rolebinding-tiller.yaml,

    kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-binding
  namespace: tiller-world
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: tiller-world
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io

    Führen:

    $ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

    Danach können Sie laufen helm init zu installieren Tiller in der tiller-world namespace.

    $ helm init --service-account tiller --tiller-namespace tiller-world

    Nun Präfix alle Befehle mit --tiller-namespace tiller-world oder set TILLER_NAMESPACE=tiller-world in Ihrer Umgebungsvariablen.

    Mehr Zukunftssichere Antwort

    Stop mit Pinne. Helm 3 beseitigt die Notwendigkeit für die Fräse komplett. Wenn Sie mit Helm 2 können Sie mit helm template zu generieren, die yaml von Ihrem Helm Diagramm und führen Sie dann kubectl apply auf anwenden, um die Objekte in den Kubernetes-cluster.

    helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml
    • Hinweis: sobald Sie dies tun, werden Sie brauchen, um das Präfix alle Steuer-Befehle mit --tiller-namespace tiller-world oder set TILLER_NAMESPACE=tiller-world in Ihrer Umgebungsvariablen.
    • Völlig einverstanden mit der zukunftssichere Antwort. Die Ruder Leute scheinen zu erkennen, dass das RBAC-Sachen gemacht die Dinge zu Komplex zu managen. Sie sind nur bei der alpha, aber einen Blick Wert: Helm 3, alpha 1
    • Vereinbart, RBAC ist ein bisschen viel, um Ihre Hände auf den ersten. Ich bin immer noch mit ihm zu kämpfen, aber macht Fortschritte.
    InformationsquelleAutor Muhammad Rehan Saeed
  3. 17

    Ruder läuft mit "default" - Dienst-Konto. Sollten Sie die Berechtigungen zu.

    Für nur-lese-Berechtigungen:

    kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system

    Für admin-Zugang: ZB: um Pakete zu installieren.

    kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default
    InformationsquelleAutor suresh Palemoni
  4. 3

    Den Standard-serviceaccount nicht über API-Berechtigungen. Helm wahrscheinlich zugewiesen werden, muss ein service-Konto, und diesen Dienst angegebene Konto API-Berechtigungen. Finden Sie die RBAC-Dokumentation für die Gewährung von Berechtigungen für die Dienstkonten: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions

    InformationsquelleAutor Jordan Liggitt
  5. 0
    apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

    kubectl apply -f your-config-file-name.yaml

    "und aktualisieren dann das Ruder instalation verwenden serviceAccount:

    helm init --service-account tiller --upgrade

    InformationsquelleAutor Elieser Jose Pereira Reyes
Schreibe einen Kommentar