kubectl exec 遇到 unable to upgrade connection Forbidden 的解决办法

于 2024-08-05 13:53:48 发布
阅读量25 收藏
点赞数 1
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62922268/article/details/140925011
版权 
[root@master01 ~]# kubectl get pod -A
NAMESPACE              NAME                                         READY   STATUS             RESTARTS   AGE
default                myapp-test01-7d64789fb5-k5rx6                1/1     Running            1          4d20h
default                myapp-test01-7d64789fb5-q99mh                1/1     Running            1          4d20h
kube-flannel           kube-flannel-ds-bhcqx                        1/1     Running            1          5d1h
kube-flannel           kube-flannel-ds-j8d6j                        1/1     Running            1          5d1h
kube-public            nginx-wl-67f75b9476-7x445                    1/1     Running            0          3d1h
kube-system            coredns-7f8c5c6967-wvzt4                     0/1     Running            59         4d21h
kubernetes-dashboard   dashboard-metrics-scraper-5b8896d7fc-wqvls   1/1     Running            0          134m
kubernetes-dashboard   kubernetes-dashboard-897c7599f-l8z6n         0/1     CrashLoopBackOff   29         134m
xy101                  nginx1-794dd8cb7b-95gfw                      1/1     Running            0          124m
xy101                  nginx1-794dd8cb7b-ps48f                      1/1     Running            0          124m
xy101                  nginx1-794dd8cb7b-w58xs                      1/1     Running            0          115m
[root@master01 ~]# kubectl exec -it -n xy101 nginx1-794dd8cb7b-w58xs -- sh
error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy)

分析解决问题:

在执行 kubectl exec、run、logs 等命令时,apiserver 会将请求转发到 kubelet 的 https 端口,并且我使用的 Kubernetes 集群启用了 RBAC。

这里定义 RBAC 规则,授权 apiserver 使用的证书(kubernetes.pem)用户名(CN:kuberntes-master)访问 kubelet API 的权限:

[root@master01 ~]# kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user kubernetes-master
clusterrolebinding.rbac.authorization.k8s.io/kube-apiserver:kubelet-apis created

授予 kube-apiserver 访问 kubelet API 的权限

完成后再执行:

kubectl exec -it -n xy101 nginx1-794dd8cb7b-w58xs -- sh

解决办法2:
为 system:anonymous 临时绑定一个 cluster-admin 的权限

[root@master01 ~]# kubectl create clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous
clusterrolebinding.rbac.authorization.k8s.io/system:anonymous created

这个权限放太松了,很危险。 可以只对 anonymous 用户绑定必要权限即可,修改为:

kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user=system:anonymous
爱学习的甜甜圈
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes安装系列之kubctl exec权限设定
知行合一 止于至善
04-01 5245
RBAC对于权限的控制更加方便,同时入门使用时需要了解的内容也进一步增多。这篇文章memo一下kubectl exec设定权限的方法。
oracle upgrade 版本升级 解决办法
01-09
oracle 冷备到更高级的实例中 upgrade 方法
error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub
Operational_0624的博客
02-16 1468
解决error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub 查看角色 kubectl getclusterrolebindings 为 k8s-apiserver临时绑定一个 cluster-admin 的权限执行这个即可 kubectl create clusterrolebinding k8s-apiserver --clusterrole...
kubectl exec 遇到Error from server forbidden问题
weixin_34331102的博客
04-13 1676
问题: [root@k8s-master yaml_all]# kubectl get po NAME READY STATUS RESTARTS AGE nginx-648b5cc477-7b5pt 1/1 Running 0 3h41m nginx-648b5cc477-mplmg 1/1 Ru...
kubenetes基本操作
Tilyp的博客
04-12 584
在用户认证等做完后无法运行 kubectl exec -it mysql-st2ch -- /bin/bash 报错如下: error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy) 解决办法: [Tily...
二进制高可用安装报错解决
weixin_30821731的博客
02-09 1482
1、高可用脚本安装完etcd后启动失败 解决:所有节点重启即可解决。这样的情况遇到了三次,就是因为电脑太卡了,当时cpu利用率很高,达到了94%。脚本是正确的,跟脚本没有关系 所以最好分开安装,先安装etcd集群,然后重启所有节点,再安装k8s部分, 2、kube-apiserver报错: Failed to list *core.Secret: unable to t...
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 3682
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
Kubernetes 常见问题排查与解决方案!(纯干货)
热门推荐
云原生实验室
07-29 1万+
毫无疑问,Kubernetes 是个伟大的开源作品,给作者所在团队中极大地提高了生产力,但在使用过程中,相信很多人跟作者一样,会遇到各种各样的问题,有时候解决的过程也是非常享受,某些问题还...
Puppeteer开发过程中遇到的问题及解决方案
莫幽悠
12-10 1万+
工欲善其事必先利其器,请先检查本机是否安装NodeJS环境以及查阅API: Google官方文档:https://developers.google.com/web/tools/puppeteer API(v12.0.1)文档:https://pptr.dev/#?product=Puppeteer&version=v12.0.1&show=outline 问题:如何处理各种验证码? 解决方案:建议大家去搜索对应的解决方案,Puppeteer并无此类解决方案。 问题:某些网站做
RBAC授权
weixin_30312659的博客
02-09 148
给用户授予RBAC权限没有权限会报如下错误:执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy) [root@test4 ~]# kubectl exec -it http-test-dm2-6dbd7...
ubuntu下没有中文输入法的解决办法
09-15
这篇文章将详细介绍如何在Ubuntu下安装和配置中文输入法,以解决这一问题。 首先,我们需要理解为什么新安装的Ubuntu系统可能没有中文输入法。这主要是因为在安装过程中,默认情况下,Ubuntu可能不会自动安装所有...
解决:系统重装后的pip报错:Fatal error in launcher: Unable to create process using
12-20
系统重装后的pip 原为win7旗舰版的系统,升级固态后换成win10系统,可以...Fatal error in launcher: Unable to create process using '"e:\users\administrator\appdata\local\programs\python\python37\python.exe"
解决python -m pip install --upgrade pip 升级不成功问题
09-17
然而,在某些情况下,当我们尝试使用`python -m pip install --upgrade pip`命令来更新`pip`时,可能会遇到升级失败的问题。本文将详细介绍如何解决这一常见问题,并提供一种可行的解决方案。 #### 问题现象 当你...
Dassault system Enovia V6 upgrade to 3Dexperience R2017 Whitepapers
01-04
This White Paper is dedicated to have a single source of information on general aspects related to upgrading from older V6 releases to 3DEXPERIENCE platform
ChatGPT登录后出现429错误的解决办法
05-13
ChatGPT登录后出现429错误的解决办法
python -m pip install –upgrade pip 升级不成功问题汇总及解决办法.rar
03-25
python -m pip install –upgrade pip 升级不成功问题汇总及解决办法.rar 下面是常见的升级pip命令不成功的问题及其解决方案。在遇到升级pip命令不成功的问题时,建议先认真阅读报错信息,分析原因,再根据具体情况...
ASP.NET Core 因为 Nginx 配置 ConnectionUpgrade 导致 Kestrel 返回 400
最新发布
06-03
在某些情况下,当 Nginx 配置不当,尤其是 `Connection` 字段设置为 `Upgrade` 时,可能会导致 Kestrel(ASP.NET Core 的内置 web 服务器)返回 400 错误。这个问题通常与 WebSocket 协议升级有关。 WebSocket 是一...
Unable to locate package xcb-proto怎么解决
03-06
"Unable to locate package xcb-proto" 是一个常见的错误信息,它表示系统无法找到名为 "xcb-proto" 的软件包。这通常是因为软件包名称拼写错误、软件源配置错误或者软件源中没有该软件包导致的。 解决这个问题的方法有以下几种: 1. 检查软件包名称拼写:请确保你输入的软件包名称是正确的。如果可能,可以在搜索引擎中搜索一下该软件包的正确名称。 2. 更新软件源:运行以下命令更新软件源,并尝试重新安装该软件包: ``` sudo apt update sudo apt upgrade ``` 3. 检查软件源配置:有时候,软件源配置可能出错导致无法找到特定的软件包。你可以检查 `/etc/apt/sources.list` 文件以及 `/etc/apt/sources.list.d/` 目录下的其他文件,确保软件源配置正确。 4. 添加额外的软件源:如果你确定该软件包存在于其他软件源中,你可以尝试添加该软件源并重新运行更新命令。具体操作可以参考相关文档或搜索引擎上的指南。 希望以上方法能够帮助你解决问题!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值