k8s实践6:从解决报错开始入门RBAC

最新推荐文章于 2025-06-09 09:06:34 发布
最新推荐文章于 2025-06-09 09:06:34 发布
阅读量2.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 json 运维
原文链接:http://blog.51cto.com/goome/2364702
本文记录了在K8s集群中遇到的RBAC权限问题,通过分析报错深入学习RBAC的基础知识。首先探讨了User 'kubernetes'的来源及其权限,然后解释了Non-Resource和Resource的权限配置,最后展示了如何解决资源和子资源访问的问题,为理解和配置K8s RBAC提供实战指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.
在k8s集群使用过程中,总是遇到各种rbac的权限问题.
记录了几个报错,见下:

报错1:

"message": "pods is forbidden: User \"kubernetes\" cannot list resource \"pods\" in API group \"\" at the cluster scope"

"message": "pservices is forbidden: User \"kubernetes\" cannot list resource \"pservices\" in API group \"\" at the cluster scope",

报错2:

[root@k8s-master2 ~]# curl https://192.168.32.127:8443/logs  --cacert /etc/kubernetes/cert/ca.pem --cert /etc/kubernetes/cert/kubernetes.pem --key /etc/kubernetes/cert/kubernetes-key.pem
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "forbidden: User \"kubernetes\" cannot get path \"/logs\"",
  "reason": "Forbidden",
  "details": {

  },
  "code": 403
curl https://192.168.32.127:8443/metrics --cacert /etc/kubernetes/cert/ca.pem --cert /etc/kubernetes/cert/kubernetes.pem --key /etc/kubernetes/cert/kubernetes-key.pem
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "forbidden: User \"kubernetes\" cannot get path \"/metrics\"",
  "reason": "Forbidden",
  "details": {

  },
  "code": 403

深入学习了解rbac的各种基础知识,相当必要.

2.
从分析报错开始

报错1:

"message": "pods is forbidden: User \"kubernetes\" cannot list resource \"pods\" in API group \"\" at the cluster scope"

先看这条报错的命令记录:

[root@k8s-master1 ~]# curl https://192.168.32.127:8443/api/v1/pods --cacert /etc/kubernetes/cert/ca.pem --cert /etc/kubernetes/cert/kubernetes.pem --key /etc/kubernetes/cert/kubernetes-key.pem
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "pods is forbidden: User \"kubernetes\" cannot list resource \"pods\" in API group \"\" at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403

这条报错的意思是什么呢?
字面上理解,用户kubernetes在api Group里没有权限,无法获取资源pod列表.
从解决这个报错开始我们的入门学习.

3.
User kubernetes是从哪冒出来的呢?
这个用户是我们部署apiserver时,生成的api访问etcd的用户.
检索用户kubernetes的权限和绑定的群组,见下:

[root@k8s-master1 ~]# kubectl describe clusterrolebindings |grep -B 9 "User  kubernetes "
Name:         discover-base-url
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","metadata":{"annotations":{},"name":"discover-base-url","namespace":""},"roleR...
Role:
  Kind:  ClusterRole
  Name:  discover_base_url
Subjects:
  Kind  Name        Namespace
  ----  ----        ---------
  User  kubernetes 
--
Name:         kube-apiserver
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","metadata":{"annotations":{},"name":"kube-apiserver","namespace":""},"roleRef"...
Role:
  Kind:  ClusterRole
  Name:  kube-apiserver
Subjects:
  Kind  Name        Namespace
  ----  ----        ---------
  User  kubernetes 

权限:

[root@k8s-master1 ~]# kubectl describe clusterroles discover_base_url
Name:         discover_base_url
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","metadata":{"annotations":{"rbac.authorization.kubernetes.io/autoupdate":"true"},"lab...
              rbac.authorization.kubernetes.io/autoupdate=true
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
             [/]                []              [get]
[root@k8s-master1 ~]#

##注意这条权限是上篇apiserver里面新增的权限.

[root@k8s-master1 ~]# kubectl describe clusterroles kube-apiserver
Name:         kube-apiserver
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","metadata":{"annotations":{},"name":"kube-apiserver","namespace":""},"rules":[{"apiGr...
PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  nodes/metrics  []   
最低0.47元/天 解锁文章

200万优质内容无限畅学
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
12-12 5万+
🔴 K8s(二):集群部署----->超详细
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3789
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
Kubernetes基础:is forbidden: User YYY cannot list resourceRBAC问题对应
热门推荐
知行合一 止于至善
09-04 1万+
这篇文章memo一下一种常见的RBAC权限问题的判断和对应方法。
k8s安装遇到问题合集
努力工作学习的程序员
04-13 1416
或有类似的问题,大部分都是kube-flannel.yml的问题,这里建议使用我的文件上传到主节点即可。根据上图可以很明显看到,dashboard的数据包直接被REJECT(拒绝)了,找到原因就好办了,设置成允许(ACCEPT)就行。dashboard的镜像拉取成功,容器创建成功,但容器在启动的时候启动失败,状态为CrashLoopBackOff。4)把创建的dashboard pod删掉并重启下docker,再次创建dashboard,创建成功。从节点解压完成后在主节点查看所有节点状态都是ready。
Kubernetes中HugePages的配置与管理指南
最新发布
gitblog_01126的博客
06-09 276
Kubernetes中HugePages的配置与管理指南 概述 在现代计算环境中,HugePages(大页内存)技术被广泛应用于提升内存密集型应用的性能。Kubernetes作为容器编排平台,提供了对HugePages的原生支持,允许用户将预分配的HugePages作为可调度资源进行管理。 HugePages技术背景 HugePages是Linux内核提供的一种内存管理机制,相比传统的4KB内存页...
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7806
报错: namespaces is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “namespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
Message: Forbidden User admin doesn‘t have permission. namespaces is forbidden: User “admin“ c
蓬蒿雪人⛄️的博客
04-20 3112
java调用k8s api接口时报错信息: Message: Forbidden! User admin doesn't have permission. namespaces is forbidden: User "admin" cannot list resource "namespaces" in API group "" at the cluster scope. 解决方案: kubectl create clusterrolebinding admin-cr --clusterrole=clus
解决二进制K8S布署的metrics-server查看集群资源报错权限问题
学如逆水行舟,不进则退!
12-03 2619
布署完metircs-server后,查看已成功注册apiservices: 使用kubectl top nodes及kubectl top pods报错: Error from server (Forbidden): nodes.metrics.k8s.io is forbidden: User "kubernetes" cannot list resource "nodes" in API group "metrics.k8s.io" at the cluster scope Err
k8s RoCE 部署: k8s-rdma-shared-dev-plugin + macvlan cni
sunshuying1010的博客
05-24 8979
写给自己的入门篇 文章目录前言一、创建 k8s 集群二、启用 primary network三、启用 secondary networkk8s-rdma-shared-dev-pluginMultus CNISecondary CNIMulti-Network CRD四、启用 pod五、在 pod 中启动 RoCE 流量总结 前言 写给自己的扫盲篇。后续会在原理方面持续更新 一、创建 k8s 集群 k8s 集群的创建有多种方法,可以按照官方文档的说明来.
k8s第十五章:Helm入门
m0_66021949的博客
12-06 817
Helm什么是 Helm官方中文网址:https://helm.sh/zh/Helm 是 Kubernetes 的包管理器。包管理器类似于我们在 Ubuntu 中使用的apt、 Centos中使用的yum 或者Python中的 pip 一样,能快速查找、下载和安装软件包。 Helm 由客户端组件 helm 和服务端组件 Tiller 组成, 能够将一组K8S资源打包 统一管理, 是查找、共享和使用为Kubernetes构建的软件的最佳方式。有了 Helm,开发者可以:查找要安装和使用的预打包软件(Chart
curl https方式访问kubernetes集群API
lovely_nn的博客
04-13 1191
使用curl https方式访问kubernetes集群的api,认证方式需要用到token,这里使用变量赋予APISERVER 和TOKEN的值 apiserver: $ APISERVER=$(kubectl config view | grep server | cut -f 2- -d ":" | tr -d " ") token: $ TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut -f1 -
使用 ws-manager 用户 创建企业空间 demo-workspace 报错
gs80140的专栏
10-27 356
kubesphere ws-manager Forbidden workspacetemplates
k8s常见问题解决
qq_27164239的博客
07-05 1037
k8s常见问题解决
解决——cannot get resourcepods‘ in API group ‘‘ in the namespace ‘namespace-name‘ (K8s)问题
GoCloudNative - 云原生技术的探索者。
10-04 1981
您好,云原生的探险者们!猫头虎博主🐯在这里带来了一则关于Kubernetes的探讨——那就是面临的问题时,我们应该怎样挑战并且解决它呢?🚀在云原生领域中,我们经常会遇到Kubernetes的权限和资源管理问题。不过,不要担心,我们将一起深入研究这个问题的原因,解决方法,以及预防措施。🛡️在这次的探讨中,我们不仅解决了这个问题,还进一步了解了Kubernetes的权限和资源管理机制。🌈 这些知识和经验将成为我们云原生之旅中的宝贵财富,帮助我们在未来更好地应对挑战!🚀。
Kubernetes 容器编排(4)
m0_68695491的博客
12-19 2367
用于在容器中获取 POD 的基本信息,kubernetes原生支持Downward API提供了两种方式用于将 POD 的信息注入到容器内部:1.环境变量:用于单个变量,可以将 POD 信息直接注入容器内部。2.Volume挂载:将 POD 信息生成为文件,直接挂载到容器内部中去。
k8s入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 657
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类:User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
curl 访问k8s https 证书和token 几种方式
码农崛起
12-16 1万+
[root@localhost ~]# curl https://172.16.10.87:6443/api/v1/namespaces curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bund...
k8s】Kubernetes版本v1.17.3 kubesphere 3.1.1 默认用户登录失败
oDianZi1234567的博客
09-11 1453
问题解决日志: 最后reboot 重启。
kubesphere 问题解决
怨行客
05-12 8021
镜像下载不下来,到对应节点 docker pull 重启节点后,无监控数据,因为你没有正确退出节点,这样退链接 其实就是停止调度,重启kubectl,docker
解决k8s证书过期:自动轮换与设置长期有效期
"本文档主要介绍了如何处理在k8s(Kubernetes)集群中使用kubeadm安装时,默认证书有效期到期后的处理方法。kubeadm默认为证书设置了一年的有效期,一旦超过这个期限,apiservice将不可用,并可能出现`x509:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值