我是kubernetes的新手。我正在尝试通过javascript客户端从容器/容器内部列出命名空间中的所有容器。
import k8s = require('@kubernetes/client-node');
const kc = new k8s.KubeConfig();
kc.loadFromDefault();
const k8sApi = kc.makeApiClient(k8s.Core_v1Api);
k8sApi.listNamespacedPod('development')
.then((res) => {
console.log(res.body);
}).catch((err) => {
console.log(err);
});
当我查看我的pod日志时,响应错误:
{ kind: 'Status',
apiVersion: 'v1',
metadata: {},
status: 'Failure',
message:
'pods is forbidden: User "system:serviceaccount:default:default" cannot list pods in the namespace "development"',
reason: 'Forbidden',
details: { kind: 'pods' },
code: 403 } }
我认为我需要创建一个新用户或向角色添加一些权限,但是我不确定在哪里以及如何进行。谢谢
答案 0 :(得分:3)
按照Robert Panzer中的@ Access Kubernetes API without kubectl的建议,您可以创建角色和角色绑定,以通过以下方式启用广告连播列表:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: pod-reader
subjects:
- kind: ServiceAccount
name: default
namespace: default
roleRef:
kind: ClusterRole
name: pod-reader
apiGroup: rbac.authorization.k8s.io
答案 1 :(得分:0)
关于错误:
'pods is forbidden: User "system:serviceaccount:default:default" cannot list pods in the namespace "development"',
默认服务帐户令牌存储在以下位置的窗格中:
root@nginx-64f497f8fd-jtvgf:/# ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt namespace token
,但是默认服务帐户无法像您尝试的那样访问群集资源,因此您需要创建一个新的服务帐户,角色和角色绑定,然后使用该服务帐户启动Pod ,或将默认服务帐户绑定到具有所需权限的角色。
Kuberentes RBAC details