我在kubernetes中安装默认令牌时遇到问题它不再适用于我,我想在Github上创建问题之前直接询问,所以我的设置基本上是一个带有手动部署的HA的裸机群集(其中)包括证书ca,密钥)。部署运行节点注册,我只是不能部署pods,总是给出错误:
MountVolume.SetUp failed for volume "default-token-ddj5s" : secrets "default-token-ddj5s" is forbidden: User "system:node:tweak-node-1" cannot get secrets in the namespace "default": no path found to object
其中tweak-node-1是我的节点名称和主机名之一,我发现了一些类似的问题: - https://github.com/kubernetes/kubernetes/issues/18239 - https://github.com/kubernetes/kubernetes/issues/25828
但是没有一个能够解决我的问题,因为问题不一样。我在尝试运行pod时只使用默认命名空间并尝试设置两个RBAC ABAC,两者都给出了相同的结果,这是我用于部署的模板显示版本和etcd配置:
apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
api:
advertiseAddress: IP1
bindPort: 6443
authorizationMode: ABAC
kubernetesVersion: 1.8.5
etcd:
endpoints:
- https://IP1:2379
- https://IP2:2379
- https://IP3:2379
caFile: /opt/cfg/etcd/pki/etcd-ca.crt
certFile: /opt/cfg/etcd/pki/etcd.crt
keyFile: /opt/cfg/etcd/pki/etcd.key
dataDir: /var/lib/etcd
etcdVersion: v3.2.9
networking:
podSubnet: 10.244.0.0/16
apiServerCertSANs:
- IP1
- IP2
- IP3
- DNS-NAME1
- DNS-NAME2
- DNS-NAME3
答案 0 :(得分:0)
您的节点必须使用与其Node API对象名称匹配的凭据,如https://kubernetes.io/docs/admin/authorization/node/#overview
中所述为了获得Node授权者的授权,kubelet必须使用一个凭证来识别它们在系统:nodes组中,用户名为system:node:。此组和用户名格式与为每个kubelet创建的标识匹配,作为kubelet TLS引导的一部分。
答案 1 :(得分:0)
所以具体的解决方案,问题是因为我使用的是1.8.x版并且手动复制证书和密钥,每个kubelet都没有自己的系统:节点绑定或https://kubernetes.io/docs/admin/authorization/node/#overview中指定的特定密钥:
RBAC节点权限在1.8中,根本不会创建绑定。
使用RBAC时,系统:节点集群角色将继续存在 创建,以便与绑定其他的部署方法兼容 该角色的用户或组。
我使用两种方式修复:
1 - 使用kubeadm join而不是从master1复制/ etc / kubernetes文件
2 - 部署修补systemrolebinding for system:node
之后kubectl patch clusterrolebinding system:node -p '{"apiVersion":
"rbac.authorization.k8s.io/v1beta1","kind":
"ClusterRoleBinding","metadata": {"name": "system:node"},"subjects":
[{"kind": "Group","name": "system:nodes"}]}'