kubectl exec 遇到 unable to upgrade connection Forbidden 的解决办法

最新推荐文章于 2024-02-19 10:47:26 发布
最新推荐文章于 2024-02-19 10:47:26 发布
阅读量1.2w 收藏 8
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes kubectl rbac k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doyzfly/article/details/102963001
版权

通过 Kubernetes 进行业务部署时,经常需要登陆到 Pod 里面进行调试,这个时候可以用 kubectl exec 命令来登陆到 Pod 里面进行操作。比如使用这个命令:

kubectl exec 123456-7890 -c ruby-container -i -t -- bash

可以登陆到 Pod=123456-789, container=ruby-container。
由于我使用的 Kubernetes 集群启用了 RBAC, 执行 kubectl exec 返回了如下错误:

#kubectl exec -it frontend-5l2hn bash
error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy)

分析问题

  • 从返回的错误信息来看,应该是访问权限的问题,是 kubectl 执行权限问题?但是执行 kubectl get pods 等命令时又能正常返回。
    #kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
frontend-22hmh                      1/1     Running   0          73d
frontend-4cpbk                      1/1     Running   0          73d
frontend-5l2hn                      1/1     Running   0          73d
redis-master-fpks7                  1/1     Running   1          74d
redis-slave-44ltt                   1/1     Running   1          73d
redis-slave-jm86r                   1/1     Running   1          73d
    原因
    使用 kubectl exec 命令时,会转到kubelet,需要对 apiserver 调用 kubelet API 的授权。所以跟 kubectl 的其他命令有些区别。

解决办法

  1. 解决办法1:
    为 kubectl 创建一个用于鉴权的用户信息,并存在 kubeconfig 中,然后使用 RoleBinding 绑定用户权限,这个方法比较复杂,可参考这边文章配置,创建用户认证授权的kubeconfig文件

  2. 解决办法2:
    为 system:anonymous 临时绑定一个 cluster-admin 的权限

    kubectl create clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous

    这个权限放太松了,很危险。 可以只对 anonymous 用户绑定必要权限即可,修改为:

    kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user=system:anonymous
doyzfly
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s: kubectl: 总结
mzhan017的博客
11-06 892
是和apiserver之间的链接有问题。
Flutter 开发环境搭建Unable to ‘pub upgrade‘ flutter tool. Retrying in five seconds...
菜鸟博客
05-22 1460
好久没更新Flutter专栏了,一是因为懒。而是因为在公司的Windows 10上配置flutter环境总是出错,然后就以此为借口懒得弄了,这不Flutter 2.0出现了,又燃起了我学习Flutter的热情。今天周末来公司加班,就一举搞定了flutter的开发环境配置问题。 配置流程如下: 1、在github上搜flutter,然后将其clone到本地 2、配置好环境变量 3、配置好镜像,配置好以后需要重启电脑,这一点很重要,如果不配置镜像的话,会出现“Unable to ‘pub upgrade’ fl
error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub
Operational_0624的博客
02-16 1505
解决error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub 查看角色 kubectl getclusterrolebindings 为 k8s-apiserver临时绑定一个 cluster-admin 的权限执行这个即可 kubectl create clusterrolebinding k8s-apiserver --clusterrole...
k8s】error: unable to upgrade connection: Unauthorized
weixin_45066823的博客
12-22 708
我这里遇到的情况是,master节点的/etc/kubernetes/pki/apiserver-kubelet-client.crt 证书文件过期导致的无法验证的问题,将该证书更新后就恢复正常了。在执行kubectl exec命令时遇到了报错,所有的pod都无法exec进入。
error: unable to upgrade connection: pod does not exist 解决方案
shelutai的博客
01-27 2755
在vagrant 创建的VirtualBox 里部署了k8s , [root@master yaml]# kubectl get pods NAME READY STATUS RESTARTS AGE app-7bcbdd4dfd-l2xkv 0/1 CrashLoopBackOff 582 2d5h db-756759796-gfl8d 1/1 Run
Kubernetes安装系列之kubctl exec权限设定
知行合一 止于至善
04-01 5265
RBAC对于权限的控制更加方便,同时入门使用时需要了解的内容也进一步增多。这篇文章memo一下kubectl exec设定权限的方法。
openstack- unable to establish connection to http://controller
weixin_33924770的博客
11-30 2294
本人按照官方最新的安装文档安装测试环境,在完全照搬测试文档的情况下,居然也会报错,一紧。在安装完NOVA之后,运行nova service-list进行测试,报错大概是:unable to establish connection to http://controller,就是无法建立到nova api的连接。百度google一翻之后发现很多帖子都说的模糊。郁闷。没办法,条件...
Java应用/JDBC/Squirrel在Kerberos认证时报Unable to obtain Principal Name for authentication的解决方法
Laurence的技术博客
07-12 1万+
Java应用/JDBC/Squirrel在Kerberos认证时报Unable to obtain Principal Name for authentication的解决方法 关于如何在Windows本地安装配置Kerberos客户端,以及进行相关的配置,网上有很多现成的文档可以参考,其中: https://841809077.github.io/2018/12/19/Windows本地安装配置...
error: unable to upgrade connection: pod does not exist
浮云
02-18 704
error: unable to upgrade connection: pod does not exist。
error: unable to upgrade connection: Unauthorized在k8s实现kubectl exec -it pod_ID sh出错解决
chang_rj的博客
03-30 9900
在创建pod时,进入pod失败 kubectl exec -it nginx-deployment-d55b94fd-xcrtg sh 检查问题,一直找不到答案,通过logs发现,同样不能实现 查其原因,是kubelet的配置问题,这里修改node节点的kubelet.json配置, 在node中分别修改 vi /opt/kubernetes/cfg/kubelet.config -----...
unable to upgrade connection: container not found
喝醉酒的小白
02-19 724
https://appdividend.com/2023/01/08/error-unable-to-upgrade-connection-container-not-found/
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 3769
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
kubernetes1.16 错误排查
热门推荐
运维Carl的博客
12-08 1万+
目录一.环境说明1.使用kubectl get node命令,查看集群的状态。2.到node节点查看组件的状态3.于是我查看master节点的apiserver日志4.查看etcd集群的健康状态,并检查192.168.1.123节点上的etcd服务是否正常;5.问题猜测,并尝试解决6.再次查看K8S节点,已恢复正常,并查看etcd集群健康状态,已正常; 一.环境说明 一.环境说明 操作系统:cen...
k8s exec 进不去容器
gaods033的博客
12-24 1449
总是报一个错误信息: error: unable to upgrade connection: unable to read error from server response 解决方法: 调度到的机器网络有问题,修改pod的调度策略,调度到一台合适的机器上,解决!
kubectl exec 遇到Error from server forbidden问题
weixin_34331102的博客
04-13 1686
问题: [root@k8s-master yaml_all]# kubectl get po NAME READY STATUS RESTARTS AGE nginx-648b5cc477-7b5pt 1/1 Running 0 3h41m nginx-648b5cc477-mplmg 1/1 Ru...
Unable to locate package xcb-proto怎么解决
最新发布
03-06
"Unable to locate package xcb-proto" 是一个常见的错误信息,它表示系统无法找到名为 "xcb-proto" 的软件包。这通常是因为软件包名称拼写错误、软件源配置错误或者软件源中没有该软件包导致的。 解决这个问题的方法有以下几种: 1. 检查软件包名称拼写:请确保你输入的软件包名称是正确的。如果可能,可以在搜索引擎中搜索一下该软件包的正确名称。 2. 更新软件源:运行以下命令更新软件源,并尝试重新安装该软件包: ``` sudo apt update sudo apt upgrade ``` 3. 检查软件源配置:有时候,软件源配置可能出错导致无法找到特定的软件包。你可以检查 `/etc/apt/sources.list` 文件以及 `/etc/apt/sources.list.d/` 目录下的其他文件,确保软件源配置正确。 4. 添加额外的软件源:如果你确定该软件包存在于其他软件源中,你可以尝试添加该软件源并重新运行更新命令。具体操作可以参考相关文档或搜索引擎上的指南。 希望以上方法能够帮助你解决问题!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值