[运维]7.ingress controller的API组迁移带来的权限问题

最新推荐文章于 2024-11-09 11:27:16 发布
最新推荐文章于 2024-11-09 11:27:16 发布
阅读量205 收藏
点赞数 1
分类专栏: k8s运维 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45396500/article/details/142748348
版权

部署ingress controller pod后发现错误。这里是说没法列出networking.k8s.io 里的资源,也无法在discovery.k8s.io里的endpoints资源。

Failed to watch *v1.EndpointSlice: failed to list *v1.EndpointSlice: endpointslices.discovery.k8s.io is forbidden: User "system:serviceaccount:kube-system:nginx-ingress-serviceaccount" cannot list resource "endpointslices" in API group "discovery.k8s.io" at the cluster scope
ingressclasses.networking.k8s.io is forbidden: User "system:serviceaccount:kube-system:nginx-ingress-serviceaccount" cannot list resource "ingressclasses" in API group "networking.k8s.io" at the cluster scope

原有的rbac设置,可以看到这里ClusterRole设置了apiGroups为extension。但是最新的ingress controller已经从extension的api资源组移动到了networking.k8s.io 的API资源组,所以这里的权限已经不再适用。

apiVersion: v1
kind: ServiceAccount    
metadata:
  name: nginx-ingress-serviceaccount #创建一个serveerAcount
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nginx-ingress-clusterrole   #这个ServiceAcount所绑定的集群角色
rules:
  - apiGroups:
      - "" 
    resources:    #此集群角色的权限,它能操作的API资源 
      - configmaps
      - endpoints
      - nodes
      - pods
      - secrets
    verbs:
      - list
      - watch
  - apiGroups:
      - ""
    resources:
      - nodes
    verbs:
      - get
  - apiGroups:
      - ""
    resources:
      - services
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - "extensions"
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - ""
    resources:
        - events
    verbs:
        - create
        - patch
  - apiGroups:
      - "extensions"
    resources:
      - ingresses/status
    verbs:
      - update

 修改后的ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nginx-ingress-clusterrole
rules:
  - apiGroups:
      - "" 
    resources:    
      - configmaps
      - endpoints
      - nodes
      - pods
      - secrets
    verbs:
      - list
      - watch
  - apiGroups:
      - ""
    resources:
      - nodes
    verbs:
      - get
  - apiGroups:
      - ""
    resources:
      - services
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - "networking.k8s.io"  # 添加对 networking.k8s.io API 组的权限
    resources:
      - ingresses
      - ingressclasses   # 添加对 IngressClass 的权限
      - ingresses/status
    verbs:
      - get
      - list
      - watch
      - update           # 对 ingresses/status 的权限
  - apiGroups:
      - "discovery.k8s.io"  # 添加对 EndpointSlice 的权限
    resources:
      - endpointslices
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - ""
    resources:
        - events
    verbs:
        - create
        - patch
  - apiGroups:
      - "extensions"
    resources:
      - ingresses/status
    verbs:
      - update

其他配置文件:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:         
  name: nginx-ingress-role  #这是一个角色,而非集群角色 
  namespace: kube-system
rules:  #角色的权限 
  - apiGroups:
      - ""
    resources:
      - configmaps
      - pods
      - secrets
      - namespaces
    verbs:
      - get
  - apiGroups:
      - ""
    resources:
      - configmaps
    resourceNames:
      # Defaults to "<election-id>-<ingress-class>"
      # Here: "<ingress-controller-leader>-<nginx>"
      # This has to be adapted if you change either parameter
      # when launching the nginx-ingress-controller.
      - "ingress-controller-leader-nginx"
    verbs:
      - get
      - update
  - apiGroups:
      - ""
    resources:
      - configmaps
    verbs:
      - create
  - apiGroups:
      - ""
    resources:
      - endpoints
    verbs:
      - get
      - create
      - update

随后进行角色权限绑定: 

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding       #角色绑定
metadata:
  name: nginx-ingress-role-nisa-binding
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: nginx-ingress-role
subjects:
  - kind: ServiceAccount
    name: nginx-ingress-serviceaccount #绑定在这个用户 
    namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding      #集群绑定
metadata:
  name: nginx-ingress-clusterrole-nisa-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: nginx-ingress-clusterrole
subjects:
  - kind: ServiceAccount
    name: nginx-ingress-serviceaccount   #集群绑定到这个serviceacount
    namespace: kube-system   #集群角色是可以跨namespace,但是这里只指明给这个namespce来使用

 

weixin_45396500
关注
专栏目录
使用vagrant 搭建 k8s集群
阿磊的博客
05-31 1364
1.部署目标 在所有节点上安装Docker和kubeadm 部署Kubernetes Master 部署容器网络插件
运维拓扑图_云原生架构之【Kubernetes(K8s)】第四部分:资源编排部署和运维管理...
weixin_35273106的博客
01-13 856
kubectl 是 K8s 集群的命令行工具,通过 kubectl 能够对集群本身进行管理,并能够在集群上进行容器化应用的安装部署。kubectl 工具已包含在 K8s 的 Server、Node 编译程序安装包中,无需单独安装。默认情况下,启动时连接本地服务器的 8080 端口访问 K8s APIServer,因此仅可以在 K8s 的任意主控节点上使用(如果需要在工作节点或者其他主机上使用 ku...
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7350
报错: namespaces is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “namespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
二进制部署k8s集群-过程中的问题总结(接上篇的部署)
jingleli21的博客
11-20 797
官方提供的yaml文件中,ip识别策略(IPDETECTMETHOD)没有配置,即默认为first-found,这会导致一个网络异常的ip作为nodeIP被注册,从而影响node-to-node。我们可以修改成can-reach或者interface的策略,尝试连接某一个Ready的node的IP,以此选择出正确的IP。Kubectl logs -f coredns-7cf597cd5f-b6f9c -n kube-system 查看到错误日志如下。1、kube-apiserver部署过程中的问题
k8s常见问题解决
qq_27164239的博客
07-05 978
k8s常见问题解决
Kubernetes实录-第一篇-集群部署配置(9) Kubernetes api版本清单以及api版本选择
新梦易明
12-26 1326
1. Kubernetes api versions清单 如下是Kubernetes 1.16.x 下的API版本清单 # kubectl api-versions 前一部分是apigroup,后一部分是版本 admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 apiextensions.k8s.io/v1 ...
API 网关 vs. Ingress Controller vs. Service Mesh,该怎么选?
NGINX开源社区的博客
05-26 754
当你需要在 Kubernetes 里面用到 API 网关,你应该如何在 API 网关、Ingress controller 和 service mesh 之间选择?我们将通过东西向和南北向 API 流量的示例场景,以及 API 网关被正确使用的用例,来帮助你做出正确的决定。
Ingress controller:Kubernetes 的瑞士军刀
NGINX开源社区的博客
05-29 952
如果部署和配置得当,Ingress controller 能够从根本上简化 Kubernetes 集群的操作,同时增强安全防护并提高性能和弹性,可成为您软件栈中的强大工具。‌
ingress-nginx.tar.gz
03-15
- Ingress是Kubernetes API中的一个对象,用于定义外部网络如何访问内部服务。它提供了一种统一的入口点,可以设置基于路径、域名甚至HTTPS终止等规则,来路由请求到不同的后端服务。 - 使用Ingress可以避免为每个...
基于阿里云的 ingress-nginx 外部认证实战【部分未完成】
wangbeilin123的专栏
05-12 1334
基于阿里云平台,实现了 ingress 网络流量入口相关基础知识和部署说明
云计算学习7——云计算OpenStack运维基础
eryunyong的专栏
07-27 5109
OpenStack云平台运维介绍nova、neutron、cinder、swift、Ceilometer管理、防火墙等服务件操作
APISIX Ingress 是如何支持上千个 Pod 副本的应用
ApacheAPISIX的博客
11-28 496
Endpoints API 是性能瓶颈
Kubernetes写yaml文件遇到的尴尬事情
tracert192的博客
08-20 586
我们在写yaml文件的时候字段是非常的多.我们记字段的时候是非常的麻烦,有时间记住了过了几天就忘记了,对我们写yaml文件的时候是非常不便的,为了解决这个问题我们也是经常查阅一些资料才能继续写yaml文件,但是KUbernetes是给我们提供了非常好的帮助文档,但是一些小伙伴还是不知道怎么去使用这个帮助文档,今天给大家带来的一篇文章解决写yaml文件的尴尬瞬间。 第一: 查看Kubernetes支持的那些api [root@k8s-master ~]# kubectl api-versions admiss
Kubernetes1.91(K8s)安装部署过程(四)--Master节点安装
weixin_34252686的博客
01-04 275
再次明确下架构: 三台虚拟机 centos 7.4系统,docker为17版本,ip为10.10.90.105到107,其中105位master,接下来的master相关件安装到此机器上。 etcd集群为3台,分别复用这3台虚拟机。 作为k8s的核心,master节点主要包含三个件,分别是: 三个件:kube-apiserver kube-scheduler ku...
linux rocky 9.4部署和管理docker harbor私有源
xikui1551的博客
11-08 800
rocky 部署Harbor私有镜像仓库
github加速下载zip
梨子社区
11-08 96
【代码】github加速下载zip。
PVE纵览-从零开始:了解Proxmox Virtual Environment
最新发布
DreamLife
11-09 720
在这篇文章中,我们将从零开始,带你了解Proxmox Virtual Environment(PVE)。作为一款开源虚拟化管理平台,PVE结合了KVM和LXC技术,提供了强大的虚拟机和容器管理功能。无论是家庭实验室用户还是企业IT专业人士,PVE都能满足多样化的需求。通过这篇简明介绍,你将掌握PVE的基本概念、核心功能及其在虚拟化领域的优势,为进一步学习和应用打下坚实基础。
智能运维新时代:机器学习模型的部署与管理
Echo_Wish的博客
11-06 576
通过合理的部署方案、版本管理、监控与自动化部署,可以确保模型在生产环境中的稳定运行和持续优化。Flask是一个轻量级的Web框架,适用于小型和中型模型的部署。通过Docker,可以将模型和其依赖打包成一个容器镜像,方便部署和管理。监控与告警:使用监控工具(如Prometheus和Grafana)实时监控模型的运行状态和性能指标,及时发现并处理异常情况。版本管理:通过版本控制系统(如Git)管理模型的版本,确保能够追踪和回滚模型更新。模型部署的方式多种多样,下面介绍几种常用的部署方法。
nginx.ingress.kubernetes.io/rewrite-target: /$2
09-25
您提到的`nginx.ingress.kubernetes.io/rewrite-target: /$2`是与Nginx Ingress控制器相关的一个注解,用于在Kubernetes环境中重写请求的URL。 这个注解通常用于将请求路径的一部分替换为另一个路径。具体来说,`/$2`表示将请求的URL路径重写为第二个捕获的内容。捕获是在正则表达式中用圆括号括起来的部分,通过这种方式可以提取出URL中的特定部分并进行替换或其他操作。 例如,假设有一个Ingress资源的配置如下: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress annotations: nginx.ingress.kubernetes.io/rewrite-target: /$2 spec: rules: - host: myapp.example.com http: paths: - pathType: Prefix path: "/somepath" backend: service: name: myservice port: number: 80 ``` 在这个例子中,如果请求的URL是`http://myapp.example.com/somepath/abc`,根据配置的`nginx.ingress.kubernetes.io/rewrite-target: /$2`注解,请求将被重写为`http://myapp.example.com/abc`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值