我正在用kubeadm创建一个kubernetes集群,而我确实做到了这一点,可能是100次,而且从一开始我就遇到了权限问题。
上下文:
因此,我首先尝试使用k8s 1.15.1,并且在尝试安装Pod Network(它们的束;每个对象1个)时遇到以下错误:
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "/v1, Resource=serviceaccounts", GroupVersionKind: "/v1, Kind=ServiceAccount"
Name: "calico-kube-controllers", Namespace: "kube-system"
Object: &{map["apiVersion":"v1" "kind":"ServiceAccount" "metadata":map["annotations":map["kubectl.kubernetes.io/last-applied-configuration":""] "name":"calico-kube-controllers" "namespace":"kube-system"]]}
from server for: "https://docs.projectcalico.org/v3.8/manifests/calico.yaml": serviceaccounts "calico-kube-controllers" is forbidden: User "system:node:master" cannot get resource "serviceaccounts" in API group "" in the namespace "kube-system": can only create tokens for individual service accounts
我注意到用户不同(为什么我的主节点是用户在配置文件中配置的?):
system:node:master
该用户几乎没有权限:
root@master:~# kubectl auth can-i create deploy
no
我想配置用户,但是我没有保留kubeadm令牌,要获取该令牌,我也会遇到权限错误。
root@master:~# kubeadm token list
failed to list bootstrap tokens: secrets is forbidden: User "system:node:master" cannot list resource "secrets" in API group "" in the namespace "kube-system": No Object name found
所以,我一直在努力; 1.14.4的情况相同。没有任何权限。
然后,我尝试了已经尝试过的最后一个版本,即1.14.3,它可以按预期工作。用户为kubernetes-admin,并且拥有所有权限:
root@master:~$ kubectl auth can-i create clusterrolebinding
yes
我想查看发行说明,但没有太多信息,或者我不了解它。有人知道什么变化吗,或者我做错了什么?