kubernetes v1.8.8中 RBAC DENY 解决办法

最新推荐文章于 2024-05-15 11:39:18 发布
最新推荐文章于 2024-05-15 11:39:18 发布
阅读量6.1k 收藏 1
点赞数
分类专栏: kubetnetes 文章标签: kubernetes RBAC

现象

在node节点上日志总是报以下错误

[root@node-01 ssl]# journalctl -f -u kubelet
-- Logs begin at 六 2018-04-21 16:27:19 CST. --
421 18:49:56 node-01 kubelet[11776]: E0421 18:49:56.130755   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:422: Failed to list *v1.Node: nodes is forbidden: User "system:node:192.168.1.35" cannot list nodes at the cluster scope
421 18:49:56 node-01 kubelet[11776]: E0421 18:49:56.138287   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:413: Failed to list *v1.Service: services is forbidden: User "system:node:192.168.1.35" cannot list services at the cluster scope
421 18:49:56 node-01 kubelet[11776]: E0421 18:49:56.141303   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list *v1.Pod: pods is forbidden: User "system:node:192.168.1.35" cannot list pods at the cluster scope
421 18:49:57 node-01 kubelet[11776]: E0421 18:49:57.135185   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:422: Failed to list *v1.Node: nodes is forbidden: User "system:node:192.168.1.35" cannot list nodes at the cluster scope
421 18:49:57 node-01 kubelet[11776]: E0421 18:49:57.143383   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/kubelet.go:413: Failed to list *v1.Service: services is forbidden: User "system:node:192.168.1.35" cannot list services at the cluster scope
421 18:49:57 node-01 kubelet[11776]: E0421 18:49:57.149522   11776 reflector.go:205] k8s.io/kubernetes/pkg/kubelet/config/apiserver.go:47: Failed to list *v1.Pod: pods is forbidden: User "system:node:192.168.1.35" cannot list pods at the cluster scope
421 18:49:58 node-01 kubelet[11776]: E0421 18:49:58.127377   11776 eviction_manager.go:238] eviction manager: unexpected err: failed to get node info: node "192.168.1.35" not found
421 18:49:58 node-01 kubelet[11776]: E0421 18:49:58.139449   11776 reflector.go:205] k8s.io/kubernet

在master节点上报如下错误

421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.422528     582 rbac.go:116] RBAC DENY: user "system:node:192.168.1.35" groups ["system:nodes" "system:authenticated"] cannot "list" resource "nodes" cluster-wide
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.422731     582 wrap.go:42] GET /api/v1/nodes?fieldSelector=metadata.name%3D192.168.1.35&resourceVersion=0: (735.866µs) 403 [[kubelet/v1.8.8 (linux/amd64) kubernetes/2f73858] 192.168.1.35:33630]
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.430153     582 rbac.go:116] RBAC DENY: user "system:node:192.168.1.35" groups ["system:nodes" "system:authenticated"] cannot "list" resource "services" cluster-wide
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.430389     582 wrap.go:42] GET /api/v1/services?resourceVersion=0: (733.459µs) 403 [[kubelet/v1.8.8 (linux/amd64) kubernetes/2f73858] 192.168.1.35:33630]
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.436612     582 rbac.go:116] RBAC DENY: user "system:node:192.168.1.35" groups ["system:nodes" "system:authenticated"] cannot "list" resource "pods" cluster-wide
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.436757     582 wrap.go:42] GET /api/v1/pods?fieldSelector=spec.nodeName%3D192.168.1.35&resourceVersion=0: (502.574µs) 403 [[kubelet/v1.8.8 (linux/amd64) kubernetes/2f73858] 192.168.1.35:33630]
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.843132     582 wrap.go:42] GET /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (3.456149ms) 200 [[kube-scheduler/v1.8.8 (linux/amd64) kubernetes/2f73858/leader-election] 192.168.1.36:47708]
421 18:49:14 master-01 kube-apiserver[582]: I0421 18:49:14.857052     582 wrap.go:42] PUT /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (10.143296ms) 200 [[kube-scheduler/v1.8.8 (linux/amd64) kubernetes/2f73858/leader-election] 192.168.1.36:47708]
421 18:49:15 master-01 kube-apiserver[582]: I0421 18:49:15.328868     582 wrap.go:42] GET /api/v1/namespaces?resourceVersion=4312&timeoutSeconds=496&watch=true: (8m16.000980289s) 200 [[kube-controller-manager/v1.8.8 (linux/amd64) kubernetes/2f73858/shared-informers] 192.168.1.36:47666]
421 18:49:15 master-01 kube-apiserver[582]: I0421 18:49:15.333133     582 rest.go:362] Starting watch for /api/v1/namespaces, rv=4312 labels= fields= timeout=6m56s
421 18:49:15 master-01 kube-apiserver[582]: I0421 18:49:15.427169     582 rbac.go:116] RBAC DENY: user "system:node:192.168.1.35" groups ["system:nodes" "system:authenticated"] cannot "list" resource "nodes" cluster-wide
421 18:49:15 master-01 kube-apiserver[582]: I0421 18:49:15.427411     582 wrap.go:42] GET /api/v1/nodes?fieldSelector=metadata.name%3D192.168.1.35&resourceVersion=0: (1.0657ms) 403 [[kubelet/v1.8.8 (linux/amd64) kubernetes/2f73858] 192.168.1.35:33630]
421 18:49:15 master-01 kube-apiserver[582]: I0421 18:49:15.434277     582 rbac.go:116] RBAC DENY: user "system:node:192.168.1.35" groups ["system:nodes" "system:authenticated"] cannot "list" resource "services" cluster-wide

原因
k8s
1.8版本之前.开启rbac后,apiserver默认绑定system:nodes组到system:node的clusterrole。v1.8之后,此绑定默认不存在,需要手工绑定,否则kubelet启动后会报认证错误,使用kubectl get nodes查看无法成为Ready状态。

默认角色与默认角色绑定

API Server会创建一组默认的 ClusterRole和 ClusterRoleBinding对象。 这些默认对象中有许多包含 system:前缀,表明这些资源由Kubernetes基础组件”拥有”。 对这些资源的修改可能导致非功能性集群(non-functional cluster) 。一个例子是 system:node ClusterRole对象。这个角色定义了kubelets的权限。如果这个角色被修改,可能会导致kubelets无法正常工作。
所有默认的ClusterRole和ClusterRoleBinding对象都会被标记为kubernetes.io/bootstrapping=rbac-defaults。
使用命令kubectl get clusterrolebinding和kubectl get clusterrole可以查看系统中的角色与角色绑定

使用命令kubectl get clusterrolebindings system:node -o yamlkubectl describe clusterrolebindings system:node查看system:node角色绑定的详细信息:

[root@node-01 kubernetes]# kubectl describe clusterrolebindings system:node
Name:         system:node
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate=true
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind  Name  Namespace
  ----  ----  ---------
[root@node-01 kubernetes]# kubectl describe clusterrolebindings system:node
Name:         system:node
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate=true
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind  Name  Namespace
  ----  ----  ---------

system:node角色默认绑定为空

创建角色绑定

[root@node-01 kubernetes]#   kubectl create clusterrolebinding kubelet-node-clusterbinding --clusterrole=system:node --user=system:node:192.168.1.35
clusterrolebinding "kubelet-node-clusterbinding" created

[root@node-01 kubernetes]# kubectl get clusterrolebinding kubelet-node-clusterbinding -oyaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  creationTimestamp: 2018-04-21T10:56:48Z
  name: kubelet-node-clusterbinding
  resourceVersion: "5624"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/kubelet-node-clusterbinding
  uid: b03edc2f-4552-11e8-917b-080027587c6b
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:node
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: system:node:192.168.1.35
  [root@node-01 kubernetes]# kubectl delete clusterrolebindings kubelet-node-clusterbinding
clusterrolebinding "kubelet-node-clusterbinding" deleted

[root@node-01 kubernetes]# kubectl create clusterrolebinding kubelet-node-clusterbinding --clusterrole=system:node --group=system:nodes
clusterrolebinding "kubelet-node-clusterbinding" created
[root@node-01 kubernetes]# kubectl describe clusterrolebindings system:node
Name:         system:node
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate=true
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind  Name  Namespace
  ----  ----  ---------
[root@node-01 kubernetes]# kubectl describe kubelet-node-clusterbinding
the server doesn't have a resource type "kubelet-node-clusterbinding"
[root@node-01 kubernetes]# kubectl describe clusterrolebindings kubelet-node-clusterbinding
Name:         kubelet-node-clusterbinding
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  system:node
Subjects:
  Kind   Name          Namespace
  ----   ----          ---------
  Group  system:nodes

查看节点

[root@node-01 kubernetes]# kubectl get nodes 
NAME           STATUS    ROLES     AGE       VERSION
192.168.1.35   Ready     <none>    1h        v1.8.8

参考
kubernetes v1.9.0中 RBAC DENY 解决办法
service-account-permissions

kubernetes v1.8.4 RBAC DENY 解决办法

qinzhao168
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
K8S实战(三)| Pod 的本质
程立笔记
09-18 229
前言 上一节发布了一个容器到 K8S ,但其实实际操作的是 Pod ,那么为什么是 Pod,而不是容器。 更新历史 20200531 - 初稿 - 左程立 原文地址 - https://blog.zuolinux.com/2020/05/22/about-pod.html Pod 的本质 Pod 包装了一个或多个容器。 Pod 是 K8S 的最小执行单元。 Pod 是 K8S 的一个进程。 Pod 可包装 Docker,也支持包装其他类型容器。 Pod 包含封装的容器、存储资源、网络资源、以及指导容
淘宝推广大师 v1.8.8
11-07
淘宝推广大师 v1.8.8 是一款专为淘宝客设计的...总之,淘宝推广大师 v1.8.8 是一款旨在简化淘宝客工作流程,提升推广效果的工具,它通过集成多种推广手段和自动化功能,为淘宝客提供了一个高效且安全的推广解决方案。
224. 解决reflector.go:125] k8s.io/kubernetes/pkg/kubelet/kubelet.go:453: Failed to list *v1.Node
Kason_iWiki
07-22 9587
问题描述:k8s Node节点获取失败 日志信息: I0718 12:35:54.113048 30951 trace.go:81] Trace[628269585]: "Reflector k8s.io/kubernetes/pkg/kubelet/kubelet.go:453 ListAndWatch" (started: 2020-07-18 12:35:24.11267359 +0800 CST m=+31.100277769) (total time: 30.000349571s): Tra
kubernetes v1.8.4 RBAC DENY 解决办法
Focus on k8s and python
12-25 1574
二进制方式部署好k8s集群v1.8.4后,开启rbac认证后,所有组件均无法与apiserver正常通信,apiserver日志报错,大量的组件都是RBAC DENY状态。        按照k8s官方文档(https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions),存在如下的clus
Kubernetes prometheus services is forbidden: User \“system:serviceaccount:monitoring:prometheus-k8s\
最新发布
u013584020的博客
05-15 590
forbidden: User \"system:serviceaccount:monitoring:prometheus-k8s
kubeadm安装Kubernetes1.11集群
热门推荐
菲宇运维
08-25 1万+
集群环境 主机名称 IP 备注 操作系统 master 192.168.0.8 docker、kubectl、kubelet、kubeadm、flannel centos7.3 node01 192.168.0.9 docker、kubectl、kubelet、kubeadm centos7.3 node02 192.168...
kubernetesnode节点查询信息报错
weixin_33737134的博客
06-06 729
[root@node02 ~]# kubectl get nodesthe server doesn't have a resource type "nodes" 解决方法: 进入到master节点scp /etc/kubernetes/admin.conf node02:~/.kube/config [root@node01 .kube]# kubectl get nodesNAME ...
报错!clusterrolebindings.rbac.authorization.k8s.io “cluster-admin-binding“ already exists解决办法
weixin_47153988的博客
09-29 7394
项目场景: 在使用二进制部署k8s群集时,遇到了签名证书无法创建的问题 问题描述: 在创建bootstrap角色赋予权限用于连接apiserver请求签名时,出现以下报错信息: [root@master kubeconfig]# kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap Error from server (Alread
文字识别_v1.8.8.rar
07-10
《文字识别_v1.8.8.rar》是一个包含文字识别功能的应用程序...总的来说,《文字识别_v1.8.8》这款应用旨在提供高效便捷的文字提取服务,利用先进的OCR技术,帮助用户轻松处理日常生活和工作遇到的各种文字识别问题。
百度贴吧推广大师 v1.8.8
10-01
《百度贴吧推广大师 v1.8.8:全自动营销利器解析》 在互联网营销领域,精准定位并高效利用各种平台资源是至关重要的。百度贴吧作为国内极具影响力的论坛社区,吸引了大量的用户群体,自然成为了商家和推广者的焦点...
乐得同城优惠券系统ES v1.8.8
10-08
乐得同城优惠券系统是一个PHP+MySQL进行开发的同城优惠券领取(发布)网站源码。 系统简介 1.乐得同城优惠券系统基于php+mysql运行,支持版本为php5.3; 2.系统和模板分离,您可以方便的修
quay.io/coreos/flannel:v0.10.0-amd64
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst 导入命令: docker load < flannel.v0.10.0-amd64.tar docker tag f0fad859c909 quay.io/coreos/flannel:v0.10.0-amd64
synergy-v1.8.8-stable-Windows-x64-ccw.rar
05-15
Synergy,这款名为“v1.8.8-stable”的软件,就是为了解决这一问题而诞生的神器。它允许用户在Windows x64系统上实现跨设备的键鼠共享,将一台电脑设为服务器,另一台设为客户机,从而在不需物理移动外设的情况下,...
k8s 1.10 关于rbac的坑
weixin_30699443的博客
03-21 275
apiserver 启动加上--authorization-mode=RBAC 开启rbac 会生成默认role,最高权限位cluster-admin的cluster role 再关闭rbac(不加--authorization-mode=RBAC启动apiserver) apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRol...
使用kubeadm离线部署kubernetes v1.9.0
夏天的味道
03-27 6179
坏境说明: 192.168.111.117 huaicong-1 master 192.168.111.123 huaicong-2 slave 192.168.111.184 huaicong-3 slave 配置互信 生成ssh 密钥对 [root@huaicong-1 ~]# ssh-keygen 把本地的ssh公钥文件安装到远程主机对应的账户 [...
kubernetes应用flannel失败 Connection refused.
xdmstar的专栏
11-29 1850
1.18.3K8S安装raw.githubusercontent.com无法连接问题 按照官网给的命令 kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml 回头查看k8s的运行状态,有一项卡在了这里 [root@server01 ~]# wget https://raw.githubusercontent.com/coreos/flannel/m
Kubernetes-3:使用kubeadm部署k8s环境及常见报错解决方法
lvdingding的专栏
01-06 3681
k8s集群安装 环境说明: k8s-Master-Centos8 ip:192.168.152.53 k8s-Node1-Centos7 ip:192.168.152.253 k8s-Node2-Centos8 ip:192.168.152.252 注意: Master与Node节点操作步骤基本一致 Node节点...
离线部署kubernetes v1.9.0
weixin_33904756的博客
12-17 364
坏境说明: 192.168.111.117 huaicong-1 master 192.168.111.123 huaicong-2 slave 192.168.111.184 huaicong-3 slave 配置互信 生成ssh 密钥对 [root@huaicong-1 ~]# ssh-keygen 把本地的ssh公钥文件安装到远程主机对应的账户 ...
synergy-v1.8.8-stable-windows-x64.msi
12-12
synergy-v1.8.8-stable-windows-x64.msi是一个用于Windows操作系统的稳定版本的Synergy软件安装包。Synergy是一种用于共享鼠标和键盘的工具,允许用户在多台电脑间共享输入设备。通过安装synergy-v1.8.8-stable-windows-x64.msi,用户可以轻松地在一台电脑上控制其他电脑,而无需在不同的设备间来回切换输入设备。这个版本的软件是稳定版本,表明它已被广泛测试并且没有严重的错误或问题。 在安装过程,用户需要双击synergy-v1.8.8-stable-windows-x64.msi文件,然后按照安装向导的指示完成安装。安装完成后,用户可以通过设置Synergy软件来配置各个电脑的位置,从而确定鼠标和键盘的控制方向。这样一来,用户就可以轻松实现鼠标和键盘在多台电脑之间的共享。这对于需要同时使用多台电脑的用户来说非常方便,尤其是在工作环境。 总之,synergy-v1.8.8-stable-windows-x64.msi是一个适用于Windows系统的Synergy稳定版本的安装包,可以为用户提供方便快捷的多台电脑共享输入设备的功能。安装简单,操作方便,是一个非常实用的软件工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值