在HA kubernetes集群中挂载默认令牌时返回forbidden

时间:2017-12-19 18:05:26

标签: kubernetes kubernetes-security

我在kubernetes中安装默认令牌时遇到问题它不再适用于我,我想在Github上创建问题之前直接询问,所以我的设置基本上是一个带有手动部署的HA的裸机群集(其中)包括证书ca,密钥)。部署运行节点注册,我只是不能部署pods,总是给出错误:

MountVolume.SetUp failed for volume "default-token-ddj5s" : secrets "default-token-ddj5s" is forbidden: User "system:node:tweak-node-1" cannot get secrets in the namespace "default": no path found to object

其中tweak-node-1是我的节点名称和主机名之一,我发现了一些类似的问题:   - https://github.com/kubernetes/kubernetes/issues/18239   - https://github.com/kubernetes/kubernetes/issues/25828

但是没有一个能够解决我的问题,因为问题不一样。我在尝试运行pod时只使用默认命名空间并尝试设置两个RBAC ABAC,两者都给出了相同的结果,这是我用于部署的模板显示版本和etcd配置:

apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
api:
advertiseAddress: IP1
bindPort: 6443
authorizationMode: ABAC
kubernetesVersion: 1.8.5
etcd:
endpoints:
- https://IP1:2379
- https://IP2:2379
- https://IP3:2379

caFile: /opt/cfg/etcd/pki/etcd-ca.crt
certFile: /opt/cfg/etcd/pki/etcd.crt
keyFile: /opt/cfg/etcd/pki/etcd.key
dataDir: /var/lib/etcd
etcdVersion: v3.2.9
networking:
podSubnet: 10.244.0.0/16
apiServerCertSANs:
- IP1
- IP2
- IP3
- DNS-NAME1
- DNS-NAME2
- DNS-NAME3

2 个答案:

答案 0 :(得分:0)

您的节点必须使用与其Node API对象名称匹配的凭据,如https://kubernetes.io/docs/admin/authorization/node/#overview

中所述
  

为了获得Node授权者的授权,kubelet必须使用一个凭证来识别它们在系统:nodes组中,用户名为system:node:。此组和用户名格式与为每个kubelet创建的标识匹配,作为kubelet TLS引导的一部分。

答案 1 :(得分:0)

更新

所以具体的解决方案,问题是因为我使用的是1.8.x版并且手动复制证书和密钥,每个kubelet都没有自己的系统:节点绑定或https://kubernetes.io/docs/admin/authorization/node/#overview中指定的特定密钥:

  

RBAC节点权限在1.8中,根本不会创建绑定。

     

使用RBAC时,系统:节点集群角色将继续存在   创建,以便与绑定其他的部署方法兼容   该角色的用户或组。

我使用两种方式修复:

1 - 使用kubeadm join而不是从master1复制/ etc / kubernetes文件

2 - 部署修补systemrolebinding for system:node

之后
kubectl patch clusterrolebinding system:node -p '{"apiVersion": 
"rbac.authorization.k8s.io/v1beta1","kind": 
"ClusterRoleBinding","metadata": {"name": "system:node"},"subjects": 
[{"kind": "Group","name": "system:nodes"}]}'