nfs-client-provisioner Failed to list *v1.PersistentVolume: Unauthorized

最新推荐文章于 2024-08-31 23:52:32 发布
最新推荐文章于 2024-08-31 23:52:32 发布
阅读量502 收藏 9
点赞数 10
文章标签: list 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39287495/article/details/141608564
版权

1、报错

E0827 09:33:24.574300       1 reflector.go:205] github.com/kubernetes-incubator/external-storage/lib/controller/controller.go:496: Failed to list *v1.PersistentVolumeClaim: Unauthorized

 E0827 09:33:24.654812       1 reflector.go:205] github.com/kubernetes-incubator/external-storage/lib/controller/controller.go:497: Failed to list *v1.PersistentVolume: Unauthorized

这些错误消息表明 nfs-provisioner-01 存储类的provisioner 在尝试列出StorageClass、PersistentVolumeClaim (PVC) 和 PersistentVolume (PV) 时遇到了权限问题。具体来说,provisioner 收到了 “Unauthorized” 错误,这意味着它没有足够的权限执行这些操作。

2 、问题分析

权限不足:

Provisioner 没有足够的权限来列出StorageClass、PVC 和 PV。
这可能是由于provisioner使用的ServiceAccount没有正确的角色或角色绑定。

角色绑定问题:

Role 或 RoleBinding 没有正确地赋予provisioner使用的ServiceAccount。
Role 或 RoleBinding 的权限范围不够宽泛,无法覆盖所需的API资源。

3、 解决方案

检查ServiceAccount:

确认provisioner使用的ServiceAccount是否正确配置。
使用命令 kubectl get sa -n 来查看ServiceAccount的状态。

kubectl get ServiceAccount nfs-client-provisioner -n kube-system -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"nfs-client-provisioner","namespace":"kube-system"}}
  creationTimestamp: "2022-12-21T09:34:32Z"
  name: nfs-client-provisioner
  namespace: kube-system
  resourceVersion: "10516902"
  selfLink: /api/v1/namespaces/kube-system/serviceaccounts/nfs-client-provisioner
  uid: 86570b67-0a59-4c78-af64-7ca9855e11ba
secrets:
- name: nfs-client-provisioner-token-7kptr

检查Role和RoleBinding:

确认provisioner使用的ServiceAccount具有正确的Role和RoleBinding。
使用命令 kubectl get rolebinding -n 和 kubectl get role -n 来查看Role和RoleBinding的状态。

发现都没有对应的配置

创建或更新Role和RoleBinding:

如果没有适当的Role和RoleBinding,请创建它们。
如果已有的Role和RoleBinding权限不足,请更新它们。

示例 YAML 文件
下面是一个示例 YAML 文件,用于创建Role和RoleBinding,以授予provisioner所需的权限:

---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: leader-locking-nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: kube-system
rules:
  - apiGroups: [""]
    resources: ["endpoints"]
    verbs: ["get", "list", "watch", "create", "update", "patch"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: leader-locking-nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: kube-system
subjects:
  - kind: ServiceAccount
    name: nfs-client-provisioner
    # replace with namespace where provisioner is deployed
    namespace: default
roleRef:
  kind: Role
  name: leader-locking-nfs-client-provisioner
  apiGroup: rbac.authorization.k8s.io

应用 YAML 文件
创建Role和RoleBinding:
使用命令 kubectl apply -f <role-and-binding.yaml> 来创建Role和RoleBinding。
检查Role和RoleBinding:
使用命令 kubectl get role nfs-provisioner-role -n 和 kubectl get rolebinding nfs-provisioner-binding -n 来查看Role和RoleBinding的状态。
进一步的步骤
检查provisioner日志:
使用命令 kubectl logs -n 来查看provisioner容器的日志,以确认权限问题是否已解决。
检查Pod状态:
使用命令 kubectl get pods 来查看Pod的状态。
使用命令 kubectl describe pod 来获取Pod的详细信息。
检查PVC状态:
使用命令 kubectl get pvc 来查看PVC的状态。
使用命令 kubectl describe pvc 来获取PVC的详细信息。

潇洒哥737
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Kubernetes系列】Kubernetes常见报错
邓邓子的博客
06-13 2万+
执行过程可能会报以下错误: 2.解决方法 执行以下命令: 再重新执行初始化。kubernetes-dashboard 报错: 2.解决方法 service中 type 没有指定时默认采用 ClusterIP,需要在配置文件中指定 type: 三、modprobe: FATAL: Module nf_conntrack_ipv4 not found. 1.问题描述 配置 ipvs 前提条件时报错: 2.解决方法 高版本内核已经把 nf_conntrack_ipv4 替换为 nf_conntrack 了,将 n
Longhorn 企业级云原生容器存储解决方案-部署篇
o__cc的博客
08-18 1217
内容来源于官方 Longhorn 1.1.2 英文技术手册。 系列 Longhorn 是什么? Longhorn 云原生分布式块存储解决方案设计架构和概念 安装 Longhorn 可以通过多种方式安装在 Kubernetes 集群上: Rancher catalog app kubectl Helm 安装要求 安装 Longhorn 的 Kubernetes 集群中的每个节点都必须满足...
k8s error retrieving resource lock default/fuseim.pri-ifs: Unauthorized
qq_15138049的博客
12-06 3776
helm 安装 prometheus 时,nfs-client-provisioner ServiceAccount 布置在 default 命名空间遇到标题问题 [hadoop@hadoop03 NFS]$ vim nfs-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: nfs-client-provisioner #namespace: nfs-client --- kind: ClusterRole apiVers
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 3725
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
鲲鹏arm64架构下安装KubeSphere
yinjl123456的博客
02-24 7712
鲲鹏arm64架构下安装KubeSphere 官方参考文档: https://kubesphere.io/zh/docs/quick-start/minimal-kubesphere-on-k8s/ 在Kubernetes基础上最小化安装 KubeSphere 前提条件 官方参考文档: https://kubesphere.io/zh/docs/installing-on-kubernetes/introduction/prerequisites/ 如需在 Kubernetes 上安装 KubeSphe
K8s生产环境常见问题处理、答疑(连载、不定期更新)
MyySophia的博客
07-12 1987
Ingress 的 address 是由 Kubernetes 集群中的 Ingress Controller 提供的。其实这个问题,我一开始被误导了,因为都是warning,我一直在找error,k8s的设计哲学中,认为pod pending只是waring而不是error,这正是声明式API的特征,如果是命令式的,那一定是fail,就会有error/fatal。集群初建时使用了一个较小的nfs svr作为k8s的后端存储,随着业务数量的增多, 新搭建了一个大的nfs server,共10TB。
云原生|kubernetes|kubernetes集群升级+证书更新(Ubuntu-18.04+kubeadm)
zsk_john的技术分享专用博客
12-13 5728
一般情况下,不管是kubernetes集群还是什么其它的集群,还是什么tomcat,什么elasticsearch,ssh等等各类软件,当然也包括各个操作系统,比如centos7.Ubuntu,debian等等所有软件类,规避各种各样的安全漏洞基本都是通过升级版本的方式来完成的。 多说一句,在软件制作者的角度来说,升级软件版本的动力一个是安全漏洞的压力,一个是更多的,更 新的功能以及更美观的软件界面。在软件使用者的角度来说,升级软件版本的动力第一个是安全漏洞,其次才是更 新的功能,最后才是美观的软件界
ETCD DB SIZE不一致问题
喝醉酒的小白
07-19 824
在 Kubernetes 集群中,etcd 是一个关键的组件,它用于存储集群的所有数据。为了维护 etcd 数据库的性能和健康状态,定期进行数据压缩是一个重要的操作。是一个与 etcd 压缩相关的参数。
Metrics Server部署
jiayu的博客
08-30 2164
Metrics Server 是 Kubernetes 集群核心监控数据的聚合器(定时从Kubelet的Summary API 采集指标信息),可以通过 Metrics API 的形式获取 Metrics 数据,不过仅仅是获取指标的最新值,数据不做存储,且不负责将指标转发到第三方目标。Metrics Server 还可以与 Kubectl 工具结合使用,提供 Kubectl Top 命令来展示集群中的指标数据通俗地说,它存储了集群中各节点的监控数据,并且提供了API以供分析和使用。
nfs-client-provisioner镜像
09-23
nfs-client-provisioner镜像
nfs-subdir-external-provisioner:v4.0.2 镜像文件
05-26
nfs-subdir-external-provisioner:v4.0.2 镜像文件
镜像 k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2
04-22
k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2 被墙无法pull,使用nfs方式提供k8s PVC必须的镜像包。 本人小水管拉下来的,拿走不谢。 使用方法: #解压 tar -xvf k8s.gcr.io_sig-storage_nfs-...
nfs-client-provisioner-v4.0.0.tar
02-25
nfs-client-provisioner-v4.0.0.tar
list的使用及其相关知识点
lmbuhuiku的博客
08-28 899
作为数据容器之一的list和其他容器的使用上有很多相似的地方,比如都有大致相同的构造函数,大致相同的头插尾插,头删尾删函数。因此对于重复的内容我们就不在赘述,直接介绍关于list和其他数据结构容器不相同的使用方法。
怎样通过bs4找出程序中 标签<div class=“List2“>中所有的<li>的内容?
2301_79698214的博客
08-30 354
可以使用 BeautifulSoup 的 find_all 方法来找到标签为 <div class="List2"> 中的所有 <li> 标签,并获取其内容。接着使用 find 方法找到 class 为 "List2" 的 div 标签,并将其赋值给 div_list2 变量。然后使用 find_all 方法找到 div_list2 中的所有 li 标签,并将结果赋值给 li_list 变量。怎样通过bs4找出程序中 标签<div class="List2">中所有的<li>的内容?
C++奇迹之旅:深度解析list的模拟实现
最新发布
a_sen的博客
08-31 749
我们先建立一个列表里的节点类listnode// 这个宏定义用于禁用编译器的安全警告。1// 定义一个模板结构 listnode,代表链表中的节点// 指向前一个节点的指针// 指向下一个节点的指针// 节点中存储的数据T _data;// 构造函数,初始化链表节点: _prev(nullptr) // 前一个节点指针初始化为 nullptr, _next(nullptr) // 下一个节点指针初始化为 nullptr。
Java 集合之List
rc1596919047的博客
08-28 997
List是有序的集合,就像数组一样。而List可以理解为是一个长度可变的数组,而且提供了丰富的API。List集合底层就是数组。//创建一个List的集合//向末尾添加元素list.add("张三");//0list.add("李四");//1list.add("王五");//2//我们在1处的索引位置来插入元素,我们插入一个元素,该索引后面的元素都会向后一位list.add(1,"晁盖");//创建一个集合list1.add("一");list1.add("二");
怎样通过bs4找出程序中 标签<div class=“List2“>的内容?
2301_79698214的博客
08-30 251
在这个示例中,我们首先创建了一个包含<div>标签的HTML字符串。然后使用BeautifulSoup初始化一个soup对象,并调用find方法搜索具有class属性为"List2"的<div>标签。最后使用text属性获取该标签的内容。可以使用BeautifulSoup库(bs4)的find方法来找到程序中带有特定class属性的<div>标签,并通过.text属性获取其内容。怎样通过bs4找出程序中 标签<div class="List2">的内容?这是List2的内容。
Failed to list *v1.PersistentVolume: persistentvolumes is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "persistentvolumes" in API group "" at the cluster scope解决这个问题的yaml
06-11
这个错误是因为 "system:serviceaccount:default:nfs-client-provisioner" 用户没有在集群范围内列出 persistentvolumes 资源的权限。你需要给这个用户授予在集群范围内列出 persistentvolumes 资源的权限。以下是一个示例 YAML 文件的内容: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: nfs-client-provisioner-pv-list rules: - apiGroups: [""] resources: ["persistentvolumes"] verbs: ["list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: nfs-client-provisioner-pv-list-binding subjects: - kind: ServiceAccount name: nfs-client-provisioner namespace: default roleRef: kind: ClusterRole name: nfs-client-provisioner-pv-list apiGroup: rbac.authorization.k8s.io ``` 你可以将上面的 YAML 文件保存为一个文件,比如 `nfs-client-provisioner-rbac.yaml`,然后使用 kubectl apply 命令来创建这个 RBAC 规则: ``` kubectl apply -f nfs-client-provisioner-rbac.yaml ``` 这样,"system:serviceaccount:default:nfs-client-provisioner" 用户就可以在集群范围内列出 persistentvolumes 资源了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值