我正在尝试在我的群集上启用RBAC并将以下行添加到kube-apiserver.yml:
- --authorization-mode=RBAC
- --runtime-config=rbac.authorization.k8s.io/v1beta1
- --authorization-rbac-super-user=admin
我做了systemctl重启kubelet; apiserver成功启动,但我无法运行kubectl命令,我收到此错误:
kubectl get po
Error from server (Forbidden): pods is forbidden: User "kubectl" cannot list pods in the namespace "default"
我哪里出错或者我应该为kubectl用户创建一些角色?如果可能的话怎么可能
答案 0 :(得分:0)
Error from server (Forbidden): pods is forbidden: User "kubectl" cannot list pods in the namespace "default"
您正在使用kubectl用户通过kubectl实用程序访问群集,但您设置了--authorization-rbac-super-user=admin,这意味着您的超级用户为admin。
要解决此问题,请使用超级用户“kubectl”而不是“admin”启动kube-apiserver。
只需更新选项的值:--authorization-rbac-super-user=kubectl。
答案 1 :(得分:0)
旧问题,但对于Google搜索者,您可以使用不安全的端口:
如果您的API服务器在启用了不安全端口(--insecure-port)的情况下运行,则您还可以通过该端口进行API调用,这不会强制执行身份验证或授权。
因此,在您的kube-apiserver选项中添加--insecure-port=8080,然后重新启动它。
然后运行:
kubectl create clusterrolebinding kubectl-cluster-admin-binding --clusterrole=cluster-admin --user=kubectl
然后关闭不安全端口。