kubernetes v1.9.0中 RBAC DENY 解决办法

最新推荐文章于 2023-06-15 17:04:33 发布
最新推荐文章于 2023-06-15 17:04:33 发布
阅读量1.2w 收藏 2
点赞数
分类专栏: kubernetes 文章标签: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaihaifei/article/details/79098564
版权

1 问题

node1上,安装kubelet后,查看日志:

root@node1:~# tailf /var/log/syslog
Jan 15 15:01:07 node1 kubelet[17646]: I0115 15:01:07.080370   17646 kubelet_node_status.go:273] Setting node annotation to enable volume controller attach/detach
Jan 15 15:01:07 node1 kubelet[17646]: I0115 15:01:07.084014   17646 kubelet_node_status.go:431] Recording NodeHasSufficientDisk event message for node 192.168.122.3
Jan 15 15:01:07 node1 kubelet[17646]: I0115 15:01:07.084061   17646 kubelet_node_status.go:431] Recording NodeHasSufficientMemory event message for node 192.168.122.3
Jan 15 15:01:07 node1 kubelet[17646]: I0115 15:01:07.084084   17646 kubelet_node_status.go:431] Recording NodeHasNoDiskPressure event message for node 192.168.122.3
Jan 15 15:01:07 node1 kubelet[17646]: I0115 15:01:07.084106   17646 kubelet_node_status.go:82] Attempting to register node 192.168.122.3
Jan 15 15:01:07 node1 kubelet[17646]: E0115 15:01:07.086790   17646 kubelet_node_status.go:106] Unable to register node "192.168.122.3" with API server: nodes is forbidden: User "system:node:192.168.122.3" cannot create nodes at the cluster scope
Jan 15 15:01:07 node1 kubelet[17646]: E0115 15:01:07.309503   17646 eviction_manager.go:238] eviction manager: unexpected err: failed to get node info: node "192.168.122.3" not found

master结点上查看日志,apiserver日志报错,大量的组件都是RBAC DENY状态。:

root@master:~# tailf /var/log/syslog
Jan 18 14:39:39 master kube-apiserver[2638]: I0118 14:39:39.885925    2638 rbac.go:116] RBAC DENY: user "system:node:192.168.122.3" groups ["system:nodes" "system:authenticated"] cannot "list" resource "services" cluster-wide
Jan 18 14:39:39 master kube-apiserver[2638]: I0118 14:39:39.886076    2638 wrap.go:42] GET /api/v1/services?limit=500&resourceVersion=0: (490.18µs) 403 [[kubelet/v1.9.0 (linux/amd64) kubernetes/925c127] 192.168.122.3:33354]
Jan 18 14:39:40 master kube-apiserver[2638]: I0118 14:39:40.097660    2638 rbac.go:116] RBAC DENY: user "system:node:192.168.122.3" groups ["system:nodes" "system:authenticated"] cannot "list" resource "pods" cluster-wide
Jan 18 14:39:40 master kube-apiserver[2638]: I0118 14:39:40.098047    2638 wrap.go:42] GET /api/v1/pods?fieldSelector=spec.nodeName%3D192.168.122.3&limit=500&resourceVersion=0: (930.577µs) 403 [[kubelet/v1.9.0 (linux/amd64) kubernetes/925c127] 192.168.122.3:33354]
Jan 18 14:39:40 master kube-apiserver[2638]: I0118 14:39:40.359008    2638 wrap.go:42] GET /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (16.594085ms) 200 [[kube-scheduler/v1.9.0 (linux/amd64) kubernetes/925c127/leader-election] 192.168.122.2:57472]
Jan 18 14:39:40 master kube-apiserver[2638]: I0118 14:39:40.367652    2638 wrap.go:42] PUT /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (7.997847ms) 200 [[kube-scheduler/v1.9.0 (linux/amd64) kubernetes/925c127/leader-election] 192.168.122.2:57472]
Jan 18 14:39:40 master kube-apiserver[2638]: I0118 14:39:40.749509    2638 rbac.go:116] RBAC DENY: user "system:node:192.168.122.3" groups ["system:nodes" "system:authenticated"] cannot "list" resource "nodes" cluster-wide

2 原因:

按照k8s官方文档(https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions),存在如下的clusterrolebing

 

 1.8版本之前.开启rbac,apiserver默认绑定system:nodes组到system:nodeclusterrole。v1.8之后,此绑定默认不存在,需要手工绑定,否则kubelet启动后会报认证错误,使用kubectl get nodes查看无法成为Ready状态。

 

默认角色与默认角色绑定

API Server 会创建一组默认的 ClusterRole ClusterRoleBinding 对象。 这些默认对象中有许多包含 system: 前缀,表明这些资源由 Kubernetes 基础组件”拥有”。 对这些资源的修改可能导致非功能性集群( non-functional cluster ) 。一个例子是 system:node ClusterRole 对象。这个角色定义了 kubelets 的权限。如果这个角色被修改,可能会导致 kubelets 无法正常工作。
所有默认的ClusterRole ClusterRoleBinding 对象都会被标记为 kubernetes.io/bootstrapping=rbac-defaults

使用命令kubectl get clusterrolebindingkubectl get clusterrole可以查看系统中的角色与角色绑定

 

使用命令kubectl get clusterrolebindings system:node -o yamlkubectl describe clusterrolebindings system:node查看system:node角色绑定的详细信息:

root@master:~# kubectl describe clusterrolebindings system:node
Name:         system:node
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate=true
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind  Name  Namespace
  ----  ----  ---------

system:node角色默认绑定为空。

 

 

创建角色绑定

在整个集群中授予 ClusterRole ,包括所有命名空间。

从错误日志中可看出信息:user "system:node:192.168.122.3" groups ["system:nodes" "system:authenticated"]或者从kubelet.kubeconfig查看使用的用户。

在整个集群范围内将 system:node ClusterRole 授予用户”system:node:192.168.122.3”或组”system:nodes”

root@master:~# kubectl create clusterrolebinding kubelet-node-clusterbinding --clusterrole=system:node --user=system:node:192.168.122.3
clusterrolebinding "kubelet-node-clusterbinding" created
root@master:~# kubectl describe clusterrolebindings kubelet-node-clusterbinding
Name:         kubelet-node-clusterbinding
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind  Name                       Namespace
  ----  ----                       ---------
  User  system:node:192.168.122.3  
root@master:~#
root@master:~# kubectl delete clusterrolebindings kubelet-node-clusterbinding
clusterrolebinding "kubelet-node-clusterbinding" deleted
root@master:~#
root@master:~# kubectl create clusterrolebinding kubelet-node-clusterbinding --clusterrole=system:node --group=system:nodes
clusterrolebinding "kubelet-node-clusterbinding" created
root@master:~#
root@master:~# kubectl describe clusterrolebindings kubelet-node-clusterbinding
Name:         kubelet-node-clusterbinding
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind   Name          Namespace
  ----   ----          ---------
  Group  system:nodes

此时节点状态变更为Ready

root@master:~# kubectl get nodes
NAME            STATUS    ROLES     AGE       VERSION
192.168.122.3   Ready     <none>    1h        v1.9.0


查看日志都已经正常

翟海飞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes v1.9.0
04-13
kubernetes各个组件的可执行文件,只要gcc编译环境没有太大的区别命令都可以直接运行。为方便后面可以直接使用命令,大家可以设置环境变量$PATH。
Kubernetes Eviction Manager源码分析
weixin_33674976的博客
02-21 245
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes(k8s)安装和搭建集群时kubeadm init失败
qq_31664899的博客
04-12 3893
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
Server - 配置 Kubeflow Notebooks 的 JupiterLab 环境
Mystra
06-15 564
Kubeflow 的 Notebook 功能是一种方便的方式,让用户可以在 Kubernete s集群上创建和管理交互式的 Jupyter Notebook。用户可以通过 Kubeflow Dashboard 或者 kubectl 命令来创建和管理 Notebook 服务器。Notebook 服务器是一个 Kubernetes Deployment,运行了一个单独的 Notebook 实例,并且可以配置不同的资源和环境。
kubelet Error getting node 问题求助
ppppppushcar的博客
05-06 1万+
问题现象 master节点采用kubectl 发现资源不存在 [root@k8s-master01 cni]# kubectl get nodes No resources found [root@k8s-master01 cni]# kubectl get node No resources found 寻找原因 发现kubelet的状态虽然是成功,但是报错E0506 03:15:55.794029 4646 kubelet.go:2461] "Error getting node" err="n
Kubeflow第三篇--使用技巧
error的博客
05-05 2621
由于发现网上很少pipeline使用教程,自己便开始探索尝试,记录了一些操作步骤但同时也出现了一些问题
Kubernetes安装手册_v1.9.0
05-07
kubernetes 1.9安装手册,包括监控,Log收集,Dashboard展示
WSTMall v1.9.0
12-02
WSTMall是一款基于thinkphp 框架进行开发的多商户O2O开源系统 ,是一款能够帮助企业及个人快速构建O2O(线上到线下)服务体系的系统 ,全方位助力创业团队的快速成长及商业变现! WSTMall已形成集PC端、WAP端,微信...
智睿学校选课系统 v1.9.0
12-05
智睿学校选课系统定位学校教育开发的系统,专业针对的学,大专院校学生在线选课,成绩查询系统,为综合一体校园信息系统。系统针对当前学校所需操作的适用性和操作性开发,增强了系统的针对性和易用性。...
Java 开源博客 Solo v1.9.0
12-02
Solo 是一个专业、简约、稳定、极速的开源 Java 博客系统。 特性简介: 基于标签的文章分类 博客/标签 Atom/RSS、Sitemap 输出 评论回复及邮件提醒 自定义页面、导航 多编辑器:Markdown、TinyMCE、KindEditor 置顶/...
kubernetes v1.8.4 RBAC DENY 解决办法
Focus on k8s and python
12-25 1488
二进制方式部署好k8s集群v1.8.4后,开启rbac认证后,所有组件均无法与apiserver正常通信,apiserver日志报错,大量的组件都是RBAC DENY状态。        按照k8s官方文档(https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions),存在如下的clus
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
热门推荐
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
【错误解决】kubectl权限不够,报错:User “kubernetes“ cannot create resource “clusterrolebindings“ in API group “rb
weixin_42072280的博客
03-11 7684
错误: kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes --clusterrole=cluster-admin --user=kubernetes 报错信息: error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern
Clusterrolebindings 创建错误
知行合一 止于至善
07-29 1万+
这篇文章memo一下kubernetes的clusterrolebinding创建错误的问题确认过程。kubernetes从1.8之后将RBAC作为了缺省的认证方式,自然clusterrole和clusterrolebinding相关的操作也会越来越多,这篇文章以一个常见的粗心的错误来介绍一下对应的方法。
k8s kubeadm join 加入集群和init报错Setting node annotation to enable volume controller attach/detach
weixin_43205308的博客
03-23 693
加入节点、初始化节点发现出现这个错。
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 6696
报错: namespaces is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “namespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
k8s初始化init卡在setting node annotation to enable volume controller attach/detach
weixin_32166995的博客
03-18 2531
本人用的1.17.0 k8s镜像加 docker 19.03.5在虚拟机测试 master节点init 会出现这个报错, 在家自己的机器上搭建的环境,join的时候也会有下面类似的报错 初始化失败 setting node annotation to enable volume controller attach/detach setting node annotation to enab...
kubernetes forbidden: User "system:node:10.39.30.116" cannot list resource "secrets" in API group ""
纵横四海的博客
01-29 1万+
系统 [root@k8s-119 opt]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) kubernetes 版本 [root@k8s-116 opt]# kubectl version --short Client Version: v1.13.1 Server Version: v1.13.1 docker...
layuiadmin v1.9.0
最新发布
11-01
layuiadmin v1.9.0是一套基于layui的后台管理模板。它是由前端UI框架layui的官方团队开发的,旨在简化后台页面的搭建和开发过程。layuiadmin v1.9.0采用了响应式设计,具有良好的兼容性和适应性,在不同设备上都能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值