istio pod不启动及访问报RBAC错误问题解决

于 2024-03-01 15:02:12 发布
阅读量595 收藏 10
点赞数 11
分类专栏: 容器技术 文章标签: istio 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quyingzhe0217/article/details/136394003
版权

istio pod不启动问题解决

在kubernetes集群中安装istio之后,在创建的depoyment中已经使用了注入注解sidecar.istio.io/inject: 'true’配置,但是istio pod不创建,代码示例如下

kind: Deployment
apiVersion: apps/v1
metadata:
  name: name-a
  namespace: namespace-a
  labels:
    app: xxxx
    app.kubernetes.io/name: xxx
    app.kubernetes.io/version: v1
    version: v1
  annotations:
    deployment.kubernetes.io/revision: '5'
    servicemesh.kubesphere.io/enabled: 'true'
spec:
  replicas: 1
  selector:
    matchLabels:
      app: xxxx
      app.kubernetes.io/name: xxx
      app.kubernetes.io/version: v1
      version: v1
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: xxxx
        app.kubernetes.io/name: xxx
        app.kubernetes.io/version: v1
        version: v1
      annotations:
        cni.projectcalico.org/ipv4pools: '["default-ipv4-ippool"]'
        kubesphere.io/restartedAt: '2024-03-01T05:44:45.617Z'
        sidecar.istio.io/inject: 'true'
    spec:
      containers:
        - name: xxx-v1
          image: image-a:0.0.1
          ports:
            - name: http-8080
              containerPort: 8080
              protocol: TCP
          resources:
            limits:
              cpu: '2'
              memory: 4Gi
              nvidia.com/gpu: '0'
            requests:
              nvidia.com/gpu: '0'
          terminationMessagePath: /dev/termination-log
          terminationMessagePolicy: File
          imagePullPolicy: Always
      restartPolicy: Always
      terminationGracePeriodSeconds: 30
      dnsPolicy: ClusterFirst
      serviceAccountName: default
      serviceAccount: default
      securityContext: {}
      imagePullSecrets:
        - name: harbor-secret
      schedulerName: default-scheduler
  strategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 25%
      maxSurge: 25%
  revisionHistoryLimit: 10
  progressDeadlineSeconds: 600

经排查对命名空间namespace-a需要设置注解属性为enabled.
查看命令

kubectl get namespace -L istio-injection

查看各个命名空间是否镜像istio-injection注解的设置。

使用一下命令对命名空间属性进行配置

kubectl label namespace namespace-a istio-injection=enabled

RBAC: access denied 问题解决

部分参考 https://cloud.tencent.com/document/product/1261/62949

经过以上修改后,istio pod可以自动创建起来,但是访问报错 RBAC: access denied。
这里要查看授权策略,授权策略用于配置网格、namespace、服务/Workload 范围的访问管理规则。您可以通过 AuthorizationPolicy CRD 配置授权规则。AuthorizationPolicy 主要包含以下部分:

  • selector:指定策略的生效范围。
  • action:指定该策略是 ALLOW 策略还是 DENY 策略。
  • rules:授权规则主体,由from,to,where 3 部分构成。
    • from:指定请求的来源特征。
    • to:指定请求的操作特征。
    • when:指定授权规则的生效条件。

当有 AuthorizationPolicy 的 ALLOW 和 DENY 策略应用于同一范围时,DNEY 策略的优先级高于 ALLOW 策略,生效的规则如下:

  1. 如请求匹配任何一条 DENY 策略,则拒绝该请求的访问。
  2. 如该范围没有任何 ALLOW 策略,则允许该请求的访问。
  3. 如当前该范围存在 ALLOW 策略,且请求匹配到了任何一条 ALLOW 策略,则允许该请求的访问。
  4. 拒绝该请求的访问。
    在这里插入图片描述
    执行命令
    kubectl get AuthorizationPolicy -A
    查看所有的授权策略,发现在istio-system空间下,有一个global-deny-all的策略。使用以下命令删除。
    kubectl delete AuthorizationPolicy -n istio-system global-deny-all

问题解决。

祺稷
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes v1.8.4 RBAC DENY 解决办法
Focus on k8s and python
12-25 1548
二进制方式部署好k8s集群v1.8.4后,开启rbac认证后,所有组件均无法与apiserver正常通信,apiserver日志错,大量的组件都是RBAC DENY状态。        按照k8s官方文档(https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions),存在如下的clus
Istio 服务网格如何处理安全问题
tanjunchen的博客
03-05 1303
Istio 服务网格如何处理安全问题? 《本文翻译自https://istio.tetratelabs.io/blog/istio-security/》 在这篇博客中,我将解释 Istio 如何解决诸如流量加密、提供灵活的服务访问控制、配置双向 TLS 和细粒度访问策略与审计等问题Istio 安全架构 Istio 主要由以下组件提供安全功能: 1、用于管理密钥和证书的证书颁发机构 (CA) 2、Sidecar 代理:实现客户端和服务器之间的安全通信(它们用作策略执行点 (PEP)) 3、.
关于在Swarrger做接口测试时,出现Access is denied的可能出现的问题
a1_bc2的博客
06-12 1712
问题描述 今天在写Spring boot项目时,写完一个接口后,用swagger做接口测试时,发现页面传回失败的数据,在控制台观看日志是,出现以下错误 org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:84) ~[spring-
第二十部分 Istio HTTP服务的访问控制
小郑的专栏
05-15 1657
概述 Istio采用基于角色的访问控制方式,本文内容涵盖了为 HTTP 设置访问控制的各个环节。 前提 了解访问控制基本概念 Istio启用认证功能 部署Bookinfo实例应用 创建Service Account来运行 Bookinfo 中的微服务,为了给不同的微服务赋予不同的访问权限。 创建 Service Account bookinfo-productpage,并用这一身份重新...
扩展RBAC用户角色权限设计方案
心梦帆影Java技术博客
02-26 7833
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图) 角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统,“超级管理员”、“版主”...
基于RBAC的任务优先级访问控制的研究与实现
07-05
基于角色的访问控制模型在现实中有着较为广泛的应用,然而这一模型本身存在着一个需要解决问题:当一个用户同时激活一个或多个角色可执行的所有任务时,如何才能确定任务执行的次序,以使得有利于更紧急的任务得到优先...
基于角色的访问控制模型(RBAC
10-12
详细介绍了RBAC访问控制逻辑,以及在实践中的最佳应用实践(以电子政务系统为例),定义了核心、层次和受限制的RBAC模型。
rbac:基于分层角色的NodeJS访问控制
04-06
请,如果您发现任何错误或需要自定义API,请创建一个问题或请求请求。文献资料支持我们在这个项目星标。安装npm install rbac用法import { RBAC } from 'rbac' ; // ES5 var RBAC = require('rbac').default;const ...
rbac:Node.js的基于角色的分层访问控制
02-06
Node.js的基于角色的分层访问控制 :stopwatch: 轻巧的 :fire: 快速燃烧 :high_voltage: 零依赖 产品特点 专注于运营 可扩展 为每个角色赋予每个操作特定的访问权限 分配权限时粒度高 谢谢 该项目支架是使用的修改...
扩展RBAC访问控制模型在家庭开放平台中的应用
01-22
基于角色的访问控制(role-based access ...将扩展后的模型作为解决家庭开放平台终端管理子系统分权分域问题的理论基础,解决了系统中访问控制约束的问题,提出了多样化的角色和权限设计方案,实现了复杂的职责分配。
Access denied的解决
热门推荐
qq_41516412的博客
12-26 5万+
链接不上数据库 Access denied for user 'root'@'localhost' (using password: YES) 出现这种情况有俩:账号密码填错;yml文件配置问题 对于第二种情况,如果密码是纯数字,要加上引号。我估计如果不加引号会被认为是整形,所以导致数据库不能识别提示账号密码错误,有误请大佬指出呀。 spring: datasource: drive...
Service Mesh Istio 从入门到放弃 (五) istio 网络安全
u013171997的专栏
09-11 693
文章目录配置基于HTTP的授权配置TLS安全网关JWT鉴权 配置基于HTTP的授权 一般应用层面的业务服务都会基于http做各种请求get、post、put等方法的授权功能,这里做简单的演示 1.由于前面已经部署好bookinfo服务,如果做过对reviews服务的路由配置,这里可以把它删除掉,这样堆reviews服务的访问就会轮询它下面的三个实例,分别展示红星、黑星和无星 kubectl delete vs reviews 2.接下来在default的namespace下创建一个拒绝所有请求的策略,可以
SpringSecurity从入门到放弃之RBAC权限认证(二)
qq_33479841的博客
06-06 3495
上文写到了SpringSecurity从入门到放弃之JWT认证登陆(一),该文章介绍了spring security的登陆原理以及整合JWT的登陆案例,本文将基于上文,介绍spring securtity整合RBAC权限模型,实现按权访问接口。
MySQL RBAC 基于角色的权限访问控制(Role-Based Access Control)
weirdo_world的博客
08-28 854
说明: 基于角色的权限访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到...
模拟浏览器发送请求,不添加头会出现access denied信息
dxm809的博客
11-23 976
import requests url='https://www.whatismyip.com/' headers={'user-agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36'} response...
基于 RBAC(Role-based Access Control)权限访问控制
06-25 376
最近需要设计一个系统. 是一个基于权限管理的Lora访问控制的系统. 把权限设计展示一下
postMan在测试接口时错 error access_denied
qq_35146059的博客
06-02 2957
postMan在测试接口时错 “error”: “access_denied”, “error_description”: “Invalid token does not contain resource id (panels)” 解决方法: 重新配置生成新的token,即可
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现
crudapi的博客
02-28 744
RBAC权限模型(Role-Based Access Control) 前面主要介绍了元数据管理和业务数据的处理,通常一个系统都会有多个用户,不同用户具有不同的权限,本文主要介绍基于RBAC动态权限管理在crudapi中的实现。 概要 RBAC简介 RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。模型中有几个关键的术语: 用户:系统接口及访问的操作者 权限:能够访问某接口或者做某操作的授权资格 角色:具有一类相同操作权限的用户的总称 用户角色权限关系 一个用户有
RBAC权限控制
一个做对日软件开发的程序员
04-12 605
RBAC权限控制 概念 RBAC(Role-Based Access Control)基于角色的访问控制。 RBAC可以概况为:判断【who是否可以对what进行how的访问操作】这个逻辑表达式的值是否为true的求解过程,即将问题转换为who、what、how的问题,who、what、how构成了访问权限三元组。 RBAC支持公认的安全原则: 最小特权原则 在RBAC模型中可以通过分配给角...
解决错误: 找不到或无法加载主类 com.lhm.rbac524post.Rbac524PostApplication
最新发布
05-25
这个错误通常发生在 Java 应用程序中,是由于 Java 虚拟机无法找到或加载应用程序的主类所导致的。要解决这个问题,您可以尝试以下几个步骤: 1. 确认应用程序的主类名是否正确。检查应用程序的启动类或入口点是否正确命名并放置在正确的包中。 2. 检查您是否已将应用程序打包为可执行的 JAR 文件。如果是,请确保 JAR 文件中包含正确的 MANIFEST.MF 文件,并在 MANIFEST.MF 文件中指定正确的主类。 3. 检查您是否已正确设置 CLASSPATH 环境变量。如果您在命令行上手动运行应用程序,请确保使用 java 命令指定正确的类路径。 4. 检查您的开发环境和部署环境是否一致。如果您在开发环境中使用了某些库或依赖项,但在部署环境中未包含这些库或依赖项,则可能会导致无法找到主类。 如果以上步骤都没有解决问题,您可以考虑重新编译和构建应用程序,并确保所有依赖项和库已正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

祺稷

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值