我正在尝试使用头盔安装istio。我收到一个错误“禁止:尝试授予额外的特权”。我正在使用Azure AKS群集。
这是我没有运气尝试过的。
[root @ 59373cb6f571代码库]#helm install k8s / istio / helm / istio --name istio --namespace istio-system --set servicegraph.enabled = true --set grafana.enabled = true错误:发行istio失败: clusterroles.rbac.authorization.k8s.io“ istio-galley-istio-system”是 禁止:尝试授予额外的特权:[{[] [admissionregistration.k8s.io] [验证webhook配置] [] []} {[获取] [config.istio.io] [] [] []} {[列表] [config.istio.io] [] [] []} {[watch] [config.istio.io] [] [] []} {[获取] [] [部署] [istio-galley] []} {[获取] [] [端点] [istio-galley] []}] user =&{system:serviceaccount:kube-system:default 8134fa11-dd8d-11e8-967b-56582c65801d [system:serviceaccounts system:serviceaccounts:kube-system system:authenticated] map []} ownerrules = [] ruleResolutionErrors = []
答案 0 :(得分:1)
从错误消息中可以看出,在群集中运行的helm的Tiller组件使用kube-system命名空间中的默认serviceaccount在istio-system命名空间中创建资源,但是没有足够的特权。
因此,您可以将Tiller配置为使用另一个serviceaccount,并为该serviceaccount提供群集管理特权,或者继续使用默认serviceaccount,并将cluster admin提供给默认serviceaccount。由于在此命名空间中启动的所有Pod在默认情况下都将使用默认的serviceaccount,因此建议您不为默认的serviceaccount赋予完全特权。
例如,摘录自头盔文件:
setTimeout