Kubernetes prometheus services is forbidden: User \“system:serviceaccount:monitoring:prometheus-k8s\

已于 2024-05-15 11:45:36 修改
阅读量674 收藏 26
点赞数 23
文章标签: kubernetes prometheus 容器
于 2024-05-15 11:39:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013584020/article/details/138901828
版权

ts=2024-05-15T03:14:22.131Z caller=klog.go:108 level=warn component=k8s_client_runtime func=Warningf msg=“pkg/mod/k8s.io/client-go@v0.26.2/tools/cache/reflector.go:169: failed to list *v1.Pod: pods is forbidden: User “system:serviceaccount:monitoring:prometheus-k8s” cannot list resource “pods” in API group “” in the namespace “middle””
ts=2024-05-15T03:14:22.132Z caller=klog.go:116 level=error component=k8s_client_runtime func=ErrorDepth msg=“pkg/mod/k8s.io/client-go@v0.26.2/tools/cache/reflector.go:169: Failed to watch *v1.Pod: failed to list *v1.Pod: pods is forbidden: User “system:serviceaccount:monitoring:prometheus-k8s” cannot list resource “pods” in API group “” in the namespace “middle””
ts=2024-05-15T03:14:22.273Z caller=klog.go:108 level=warn component=k8s_client_runtime func=Warningf msg=“pkg/mod/k8s.io/client-go@v0.26.2/tools/cache/reflector.go:169: failed to list *v1.Service: services is forbidden: User “system:serviceaccount:monitoring:prometheus-k8s” cannot list resource “services” in API group “” in the namespace “middle””
ts=2024-05-15T03:14:22.274Z caller=klog.go:116 level=error component=k8s_client_runtime func=ErrorDepth msg=“pkg/mod/k8s.io/client-go@v0.26.2/tools/cache/reflector.go:169: Failed to watch *v1.Service: failed to list *v1.Service: services is forbidden: User “system:serviceaccount:monitoring:prometheus-k8s” cannot list resource “services” in API group “” in the namespace “middle””

如果k8s部署服务,开启了/metrics:
metrics:
enabled: true
image:
registry: harbor.zdwk8s.com
repository: middle/redis-exporter
tag: 1.50.0-debian-11-r13
digest: “”
pullPolicy: IfNotPresent
pullSecrets: []
startupProbe:
enabled: false
initialDelaySeconds: 10
periodSeconds: 10
timeoutSeconds: 5
successThreshold: 1
failureThreshold: 5
livenessProbe:
enabled: true
initialDelaySeconds: 10
periodSeconds: 10
timeoutSeconds: 5
successThreshold: 1
failureThreshold: 5
readinessProbe:
enabled: true
initialDelaySeconds: 5
periodSeconds: 10
timeoutSeconds: 1
successThreshold: 1
failureThreshold: 3
customStartupProbe: {}
customLivenessProbe: {}
customReadinessProbe: {}
command: []
redisTargetHost: “localhost”
extraArgs: {}
extraEnvVars: []
containerSecurityContext:
enabled: true
runAsUser: 1001
extraVolumes: []
extraVolumeMounts: []
resources:
limits: {}
requests: {}
podLabels: {}
podAnnotations:
prometheus.io/scrape: “true”
prometheus.io/port: “9121”
service:
type: ClusterIP
port: 9121
externalTrafficPolicy: Cluster
extraPorts: []
loadBalancerIP: “”
loadBalancerSourceRanges: []
annotations: {}
clusterIP: “”
serviceMonitor:
enabled: true
namespace: “monitoring”
interval: 30s
scrapeTimeout: “”
relabellings: []
metricRelabelings: []
honorLabels: false
additionalLabels: {}
podTargetLabels: []
prometheusRule:
enabled: true
namespace: “monitoring”
additionalLabels: {}
rules: []

先确认可以获取数据:
[root@china ~]# kubectl get svc -n middle
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
redis-headless ClusterIP None 6379/TCP 81m
redis-master NodePort 10.227.93.201 6379:32379/TCP 81m
redis-metrics ClusterIP 10.227.183.204 9121/TCP 81m

[root@china ~]# curl 10.227.183.204:9121/metrics

go_gc_duration_seconds{quantile=“0”} 3.9832e-05
go_gc_duration_seconds{quantile=“0.25”} 0.000139377
go_gc_duration_seconds{quantile=“0.5”} 0.000236065
go_gc_duration_seconds{quantile=“0.75”} 0.000308893
go_gc_duration_seconds{quantile=“1”} 0.001813312
go_gc_duration_seconds_sum 0.01587861
go_gc_duration_seconds_count 61

但是prometheus无法获取数据,看日志:
kubectl logs prometheus-k8s-0 -n monitoring --tail 200

报错误:forbidden: User "system:serviceaccount:monitoring

在部署prometheus的文件中添加权限,在/kube-prometheus/manifests/prometheus-clusterRole.yaml

添加:
[root@china manifests]# cat prometheus-clusterRole.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
labels:
app.kubernetes.io/component: prometheus
app.kubernetes.io/instance: k8s
app.kubernetes.io/name: prometheus
app.kubernetes.io/part-of: kube-prometheus
app.kubernetes.io/version: 2.44.0
name: prometheus-k8s
rules:

  • apiGroups:
    • “”
      resources:
    • nodes
    • services
    • endpoints
    • pods
    • nodes/proxy
    • nodes/metrics
      verbs:
    • get
    • list
    • watch
  • nonResourceURLs:
    • /metrics
      verbs:
    • get
      [root@china manifests]#

主要添加:
在这里插入图片描述

重新生效:
[root@china manifests]# kubectl apply -f prometheus-clusterRole.yaml

在这里插入图片描述

zhangdawei838
关注
k8s v1.26.0 搭建prometheus+grafana监控集群
weixin_40548182的博客
04-03 534
文章末尾有prometheus监控k8s用到的yaml资源清单,包括报警配置等。
使用prometheus来监控ingress-nginx
最新发布
提笔书几行?
03-16 1749
2、创建 servicemonitor配置让prometheus能发现ingress-nginx的metrics。6、另外一个svc需要监控只需要在SVC添加port声明即可。4、需要修改prometheus的clusterrole。5、等待一会Prometheus的web界面。1、安装ingress-nginx。5、添加SVC的port的命名。
serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 3778
错误信息 serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “serviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
kubernetes:pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods”
热门推荐
feiger的专栏
09-25 2万+
背景: 在gitlib-ci 对接kubernetes的时候报错: ERROR: Job failed (system failure): pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods” in API group “” in the namespace “dev” ...
k8s.io/client-go@v0.20.2/tools/cache/reflector.go:167: Failed to watch *v1beta1.Ingress: failed to l
qq_30257131的博客
09-16 2882
原因 :kubectl version v1.22 不再支持v1beta1 所以要解决这个问题需要把ingress nginx 换成最新的版本 1.0.0
k8s 中部署grafana,prometheus 监控服务器信息------时隔一段时间后,再次部署遇到的问题记录
qq_33398459的博客
05-11 1045
1:部署 prometheus,grafana,node-export时,迟迟拉取不下来镜像问题 解决,到服务中,手动拉取docker pull prom/prometheus:v2.18.1 2:prometheus 对内的端口号9090,对外的端口号是31070 访问地址,ip+31070 grafana 对内的端口号是 3000,对外的端口是 30000,访问地址,ip+30000,初始用户名密码是 admin,admin node-export,对内的端口是...
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
Prometheus:监控与告警:15: 获取Kubernetes内置的cAdvisor进行监控
知行合一 止于至善
01-30 2131
前面一篇文章中介绍了KubernetesPrometheus进行集成的常见方式,这篇文章结合具体的示例介绍一下如何将Kubernetes内置的cAdvisor作为Prometheus监控的数据来源。
微服务搭建——系统配置及K8S部署
Aweisi丶的博客
04-09 1396
K8s主节点配置安装 系统准备 查看系统版本 [root@localhost]# cat /etc/centos-release CentOS Linux release 7.6.1810 (Core) 获取root权限 [master@master ~]$ su Password: //直接输入开机密码就行,他不会显示,输入完按回车 [root@master master] 查看本机IP [root@master master] ifco
k8s常见报错解决
贾文超的博客
01-20 1万+
【报错】 The Service "kubernetes-dashboard" is invalid: spec.ports[0].nodePort: Forbidden: may not be used when `type` is 'ClusterIP' 【原因】 如果在service中没有指定type类型,默认采用ClusterIP 【解决】 # prometheus-service.yaml --- spec: type: NodePort #加入 ports: - name:
k8s实践(11) --服务发现CoreDNS和Kubernetes内部域名解析
黄规速博客:学如逆水行舟,不进则退
06-30 9032
参考: 官方网站,https://coredns.io/ CoreDNS安装,https://my.oschina.net/u/2306127/blog/1618543 CoreDNS使用手册,https://coredns.io/manual/toc/ CoreDNS源码,https://github.com/coredns CoreDNS配置,https://my.oschina.n...
prometheus+k8s+jmx_export遇到的坑-记录
qq_34468174的博客
02-23 1762
一、简单介绍下操作步骤 以下操作是k8s已经集成了prometheus-operator,关于k8s集成prometheus-operator可使用kube-prometheus进行集成; 二、自动发现集成的jmx_export 1.准备jmx_export集成的jar包jmx_exporter 2.编辑k8s Service和deployment资源,例如下面;jmx_export我已经集成到docker镜像中,你们随意,空间名随意;里面没有特别注意的地方,就正常启动一个pod服务。 kind:
kubernetesprometheus-operator 监控jvm
噜噜噜的博客
03-11 6866
在配置prometheus-operator 监控jvm之前,我们必须要了解prometheus-operator的4个crd不然后续会蒙蔽。 这四个CRD作用如下 Prometheus: 由 Operator 依据一个自定义资源kind: Prometheus类型中,所描述的内容而部署的 Prometheus Server 集群,可以将这个自定义资源看作是一种特别用来管理Prometheus...
Kubernetes踩坑(一): 部署问题记录
ywq935的博客
04-27 2万+
一、etcd服务启动后报错etcd cluster ID mismatch: 检车service配置cluster选项有无问题,若无问题,则可能是此前的etcd bootstrap加速启动缓存残留导致,坑爹的是rm -rf /var/lib/etcd/* 删除完了之后还是报错,必须 rm -rf /var/lib/etcd/才能彻底清除,删除完成后记得再创建该路径mkdir /...
k8s client-go 之 依赖问题解决
longtails的博客
12-09 1万+
k8s client-go依赖问题解决 记一次go mod依赖版本不一致的解决过程 克隆下client-go的工程,并checkout对应kubernetes版本上,可以直接使用example中的例子,但是在自定义开发时遇到了接口不一致问题,很明显这是依赖版本问题所致。 我们使用client-go/examples/create-update-delete-deployment的例子测试 测试环境...
Failed to list *v1.Secret: secrets is forbidden: User "system:node
06-14 3691
Jun 14 11:40:13 kubelet[22623]: E0614 11:40:13.372894 22623 reflector.go:126] object-""/"": Failed to list *v1.Secret: secrets is forbidden: User "system:node:nodeA" cannot list resource "sec...
kubernetes k8s部署的详细记录
lsysafe的博客
01-05 2516
系统环境:CENTOS7 master,node1:192.168.156.75 node2:192.168.156.76 node3:192.168.156.77 组件版本 Kubernetes 1.10.4 Docker 18.03.1-ce Etcd 3.3.7 Flanneld 0.10.0 一、前期准备无特别说明一般在每一台机器上面执行 主机名称 [root@v75 ~]...
(转载)新浪微博错误提示代码
macken
08-23 1871
{"code":"10025"}:发送重复内容   A00001:"系统繁忙,请稍候再试。" A00003:"无权限操作。" A00004:"该条留言不存在。" A00005:"评论内容含有非法关键字。" A00006:"操作成功" E00001:"系统繁忙" E00002:"参数错误" E00003:&quot
apiVersion: monitoring.coreos.com/v1 kind: Prometheus metadata: labels: prometheus: k8s name: k8s namespace: monitoring spec: alerting: alertmanagers: - name: alertmanager-main namespace: monitoring port: web image: quay.io/prometheus/prometheus:v2.20.0 nodeSelector: kubernetes.io/os: linux podMonitorNamespaceSelector: {} podMonitorSelector: {} replicas: 2 resources: requests: memory: 400Mi ruleSelector: matchLabels: prometheus: k8s role: alert-rules securityContext: fsGroup: 2000 runAsNonRoot: true runAsUser: 1000 serviceAccountName: prometheus-k8s serviceMonitorNamespaceSelector: {} serviceMonitorSelector: {} version: v2.20.0 请解释一下这个yaml文件
02-17
这是一个用于部署Prometheus监控系统的YAML文件,下面对其各部分进行解释: ``` apiVersion: monitoring.coreos.com/v1 kind: Prometheus metadata: labels: prometheus: k8s name: k8s namespace: monitoring spec: alerting: alertmanagers: - name: alertmanager-main namespace: monitoring port: web image: quay.io/prometheus/prometheus:v2.20.0 nodeSelector: kubernetes.io/os: linux podMonitorNamespaceSelector: {} podMonitorSelector: {} replicas: 2 resources: requests: memory: 400Mi ruleSelector: matchLabels: prometheus: k8s role: alert-rules securityContext: fsGroup: 2000 runAsNonRoot: true runAsUser: 1000 serviceAccountName: prometheus-k8s serviceMonitorNamespaceSelector: {} serviceMonitorSelector: {} version: v2.20.0 ``` - `apiVersion`: 定义该对象所使用的Kubernetes API版本,这里使用的是monitoring.coreos.com/v1。 - `kind`: 定义该对象的类型,这里是Prometheus类型。 - `metadata`: 定义该对象的元数据,包括名称、标签和命名空间等信息。 - `spec`: 定义该对象的具体配置信息,包括如何部署和配置Prometheus监控系统。 - `alerting`: 定义如何设置警报。这里设置了警报管理器,使用名称为`alertmanager-main`的警报管理器,并指定其所在的命名空间和Web端口。 - `image`: 定义Prometheus监控系统的镜像,这里使用了`quay.io/prometheus/prometheus:v2.20.0`。 - `nodeSelector`: 定义用于选择部署Prometheus监控系统的节点的标签。这里选择了标签为`kubernetes.io/os: linux`的节点。 - `podMonitorNamespaceSelector` 和 `podMonitorSelector`: 定义选择哪些Pod进行监控。这里未指定任何选择条件,表示将监控所有Pod。 - `replicas`: 定义Prometheus实例的副本数量,这里设置为2。 - `resources`: 定义Prometheus实例使用的资源请求量,这里设置了内存请求为400Mi。 - `ruleSelector`: 定义如何选择要应用的告警规则。这里选择了标签为`prometheus: k8s`和`role: alert-rules`的规则。 - `securityContext`: 定义Prometheus容器的安全上下文,包括运行容器的用户和组等。 - `serviceAccountName`: 指定Prometheus容器所使用的服务账户。 - `serviceMonitorNamespaceSelector` 和 `serviceMonitorSelector`: 定义选择哪些Service进行监控。这里未指定任何选择条件,表示将监控所有Service。 - `version`: 指定Prometheus的版本,这
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值