1.8版本之前.开启rbac后,apiserver默认绑定system:nodes
组到system:node的clusterrole,v1.8之后,此绑定默认不存在,需要手工绑定,否则kubelet启动后会报认证错误,无法成为Ready状态.
如上图,system:node角色默认绑定为空
apiserver报RBAC DENY错误
kubelet日志报很多权限错误的forbidden.
此时node节点始终为NotReady状态
创建角色绑定
此时节点状态变更为Ready
https://kubernetes.io/docs/admin/authorization/node/