pods "xxx" is forbidden: SecurityContext.RunAsUser is forbidden

最新推荐文章于 2024-08-15 08:19:06 发布
最新推荐文章于 2024-08-15 08:19:06 发布
阅读量560 收藏
点赞数
原文链接:http://www.cnblogs.com/Dev0ps/p/10778328.html
版权

报错信息如下:

pods "k8s-logs-cndf5" is forbidden: SecurityContext.RunAsUser is forbidden

解决方法:

需要对准入控制器进行修改,然后重启apiserver
--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \
SecurityContextDeny 不enable就行

如下图:

重启kube-apiserver:

systemctl restart kube-apiserver

补充说明

准入控制器
To see which admission plugins are enabled:
kube-apiserver -h | grep enable-admission-plugins
In 1.13, they are:
NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeClaimResize,DefaultStorageClass,DefaultTolerationSeconds,

MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,Priority。

LimitRanger:此准入控制器将确保所有资源请求不会超过 namespace 的 LimitRange。
SecurityContextDeny:此准入控制器将拒绝任何试图设置某些升级的SecurityContext字段的pod 。
ServiceAccount:此准入控制器实现serviceAccounts的自动化。
ResourceQuota:此准入控制器将观察传入请求并确保它不违反命名空间的ResourceQuota对象中列举的任何约束。
NodeRestriction:该准入控制器限制了 kubelet 可以修改的Node和Pod对象。
NamespaceExists:此许可控制器检查除 Namespace 其自身之外的命名空间资源上的所有请求。如果请求引用的命名空间不存在,则拒绝该请求。
NamespaceLifecycle:此准入控制器强制执行正在终止的命令空间中不能创建新对象,并确保Namespace拒绝不存在的请求。此准入控制器还防止缺失三个系统保留的命名空间default、kube-system、kube-public。

转载于:https://www.cnblogs.com/Dev0ps/p/10778328.html

weixin_30830327
关注
Rancher入门到精通-2.0 forbidden: User "system:serviceaccount:efk-logging:filebeat" cannot get resource
隔壁老瓦的专栏
03-06 1340
2020-03-06T09:30:39.475Z INFO crawler/crawler.go:72 Loading Inputs: 1 2020/3/6 下午5:30:392020-03-06T09:30:39.475Z WARN [cfgwarn] docker/input.go:49 DEPRECATED: 'docker' input deprecated. Use 'co...
Kubernetes基础:问题排查方法示例:结合使用kubectl get event
知行合一 止于至善
02-02 6423
这篇文章以Metrics Server部署时碰到的问题为例,介绍如何结合使用kubectl get event命令进行问题的排查。
猫头虎分享已解决Bug || Error from server (Forbidden): podspod-name‘ is forbidden
GoCloudNative - 云原生技术的探索者。
02-13 976
这个Bug通常出现在尝试获取特定命名空间中Pods时。我们将详细分析问题原因,提供详尽的解决方案,并探讨预防措施。准备好了吗?让我们一起深入云原生的奥秘,探索K8s的世界!问题解决策略预防措施调整RBAC配置定期审计RBAC配置用户无法访问特定命名空间的Pod创建适当的Role和RoleBinding使用RBAC策略模板在云原生生态系统中,理解并正确配置Kubernetes的RBAC至关重要。
Kubernetes 系统强化 Pod安全上下文
小楼一夜听春雨,深巷明朝卖杏花
07-06 692
安全上下文(Security Context):K8s对Pod和容器提供的安全机制,可以设置Pod特权和访问控制。 背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。(容器是宿主机上面的进程,该进程有r非常大的权限,容器只是在宿主机上面封装了状态,也是一个实际进程) 可以通过两种方法设置普通用户: • Dockerfi
下面哪些是Security Context的设置项
最新发布
mischen520的博客
08-15 442
runAsUser:‌这个设置项用于指定容器默认用户的UID,‌确保容器以特定的用户身份运行,‌从而控制容器内的文件访问权限。sysctls:‌允许在容器中修改特定的系统调用参数,‌尽管只有一小部分的sysctls可以在每个容器的基础上进行修改,‌但这个设置项提供了对容器内部系统配置的精细控制。‌设置为false将不允许容器内的进程提升权限,‌增加了安全性。这些设置项共同构成了Security Context,‌旨在提供对容器运行环境的细粒度安全控制,‌确保容器化应用的安全性和隔离性。
# 《已解决——Error from server (Forbidden): podspod-name‘ is forbidden问题》
GoCloudNative - 云原生技术的探索者。
10-04 1250
大家好!欢迎回到猫头虎博主的小窝!🐯 在我们探索云原生技术的道路上,经常会遇到一些出乎意料的小挑战,比如今天要探讨的这个Kubernetes的权限问题——。🚀 权限问题常常让我们的工作陷入困境,但别担心,今天我们将一起深入挖掘这个问题背后的原因,并探索解决的方法,让我们的云原生之旅更加顺畅!⛵️虽然这个问题看起来有些棘手,但只要我们深入理解Kubernetes的RBAC机制,就能够轻松找到问题的根源,并制定出解决方案。🔍 在这个过程中,我们不仅解决了问题,还加深了我们对Kubernetes权限控制的理解。
Pod 常见错误及其故障排查思路
潇潇雨歇
04-27 3532
文章目录一、pod的几种状态:1.1常用的排障命令:二、常见故障归类Pod状态 一直处于 Pending2.1故障原因分析:2.1.1Pod --Pending状态2.1.2 Pod --Waiting 或 ContainerCreating状态2.1.3Pod – ImagePullBackOff状态2.1.4Pod – CrashLoopBackOff状态2.1.5Pod --Error 状态2.1.6Pod --Terminating 或 Unknown 状态2.1.7 Pod – Evicted状态
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 8729
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户(用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
Ingress-nginx详解以及部署方案(一)
xiaxia2022的博客
02-22 3039
一. 基于k8s版本:v1.19.1基础上部署ingress。 1. ingress介绍 K8s集群对外暴露服务的方式目前只有三种: Loadblancer Nodeport ingress 前两种熟悉起来比较快,而且使用起来也比较方便,在此就不进行介绍了。 下面详细讲解下ingress这个服务,ingress由两部分组成: a. ingress controller:将新加入的Ingress转化成Nginx的配置文件并使之生效 b. ingress服务:将Nginx的配置抽象成一个Ingress
k8s网络配置文件kube-flannel.yml
zhou_zhao_xu的博客
06-16 8632
--- apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: psp.flannel.unprivileged annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: docker/default seccomp.security.alpha.kubernetes.io/defaultProfileName: docke
7-2 k8s 示例-使用 StatefulSet 部署 MySQL 一主多从
qq_25874461的博客
04-24 861
使用 StatefulSet 在 k8s 上部署 MySQL 一主多从
The ‘xxxx‘ target has transitive dependencies that include statically linked binaries:
u011143466的博客
10-20 454
xcode 使用pod导入SSIDCard库,直接导入报错:The 'xxx' target has transitive dependencies that include statically linked binaries:在pod文件内添加: 修改后pod文件: 注意添加 end,本人第一次没有加end导致报了个错误:
K8S资源quota配置引起的问题
xiaptap123的博客
11-18 2493
k8s资源不足引起的问题背景 背景 今天在使用k8s创建资源的时候 kubectl apply -f app.yaml 里面含有service和deployment,显示 service/xxx created deployment/xxx created 但是使用命令查看pod发现只有service 可以查看pod。deployment 一直没有创建出pod,刚开始以为没有生效,又执行了一次。 service/xxx unchanged deployment/xxx configured 上面的显示
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
热门推荐
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
Kubernetes之(十五)身份认证,授权,准入控制
weixin_30273175的博客
04-12 797
目录 Kubernetes之(十五)身份认证,授权,准入控制 ServiceAccount 创建serviceaccount 自定义serviceaccount 自建证书和账号进行访问apiserver RBAC简介 Kuberne...
VMware Tanzu Kubernetes 集群Deployment无法部署问题
coco3848的博客
07-21 1294
在Tanzu Kubernetes Cluster中部署Deployment出错 报错提示:Pods "xxxxx" is forbidden: unable to validate against any pod security policy: []; Deployment does not have minimum availability. 官方文档说明: Tanzu Kubernetes Grid 服务会置备已启用 PodSecurityPolicy 准入控制器的Tanzu Kub.
k8s常见问题大收集
运维那些事儿
08-05 1万+
第1章 k8s外部不能访问pod 1、问题描述: 在搭建好的k8s集群内创建的容器,只能在其所在的节点上curl可访问,但是在其他任何主机上无法访问容器占用的端口 1.1、解决方案 vim /etc/sysctl.conf 找到这一行,放开注释 # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.i...
记一次k8s的pod间网络无法访问解决
记录博客
09-05 3567
k8s的pod网络访问问题解决
Kubernetes(十九)Security Context(一)
wzj_110的博客
11-24 1281
一 官网文档参考 Pod 安全性标准 为 Pod 或容器配置安全性上下文 二 Security Context (1)背景引入 说明:'privileged'(特权模式) '不等于' root-->比如:root用户无法'关闭容器网卡' 思考:哪些容器需要'修改内核参数'? (2)安全上下文的配置级别 (3)安全上下文的设置方式 三 实战 (1)Pod 设置 Security Context 用法: 在 Pod 定义的'资源清单文件中'添加's...
The ReplicationController "mysql-rc" is invalid: spec.template.metadata.labels: Invalid value: map[string]string{"name":"mysql"}: `selector` does not match template `labels`
07-16
The `selector` field in the ReplicationController's spec is used to match the labels of the Pods it manages, while the `template` field is used to define the desired state of the Pods. To resolve ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值