k8s gce1.8.7 - 禁止使用 pod - 未知用户系统:服务帐户:默认:默认

【问题标题】:k8s gce1.8.7 - pods is forbidden - Unknown user system:serviceaccount:default:defaultk8s gce1.8.7 - 禁止使用 pod - 未知用户系统:服务帐户:默认:默认
【发布时间】:2018-08-08 04:41:41
【问题描述】:

我在 gce 中有一个 mongo 数据库。 (配置见下文)

当我将它部署到 1.7.12-gke.1 时,一切正常。这意味着 sidecar 会解析 pod 和链接

现在,当我将相同的配置部署到 1.8.7-gke.1 时,会导致缺少列出 pod 的权限,请参见下文。

我不明白发生了什么变化。我假设我需要为用户帐户分配特定权限,对吗?

我错过了什么?

错误日志

message: 'pods is forbidden: User "system:serviceaccount:default:default" cannot list pods at the cluster scope: Unknown user "system:serviceaccount:default:default"',

mongo-sidecar | Feb 28, 2018, 11:04:19 AM | status: 'Failure',
mongo-sidecar | Feb 28, 2018, 11:04:19 AM | metadata: {},
mongo-sidecar | Feb 28, 2018, 11:04:19 AM | apiVersion: 'v1',
mongo-sidecar | Feb 28, 2018, 11:04:19 AM | { kind: 'Status',
mongo-sidecar | Feb 28, 2018, 11:04:19 AM | message:
mongo-sidecar | Feb 28, 2018, 11:04:19 AM | Error in workloop { [Error: [object Object]]
mongo-sidecar | Feb 28, 2018, 11:04:14 AM | statusCode: 403 }
mongo-sidecar | Feb 28, 2018, 11:04:14 AM | code: 403 },
mongo-sidecar | Feb 28, 2018, 11:04:14 AM | details: { kind: 'pods' },
mongo-sidecar | Feb 28, 2018, 11:04:14 AM | reason: 'Forbidden',

配置

---
kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: fast
provisioner: kubernetes.io/gce-pd
parameters:
  type: pd-ssd
---
apiVersion: v1
kind: Service
metadata:
  name: mongo
  labels:
    name: mongo
spec:
  ports:
  - port: 27017
    targetPort: 27017
  clusterIP: None
  selector:
    role: mongo
---
apiVersion: apps/v1beta1
kind: StatefulSet
metadata:
  name: mongo
spec:
  serviceName: "mongo"
  replicas: 3
  template:
    metadata:
      labels:
        role: mongo
        environment: test
    spec:
      terminationGracePeriodSeconds: 10
      containers:
        - name: mongo
          image: mongo:3.4.9
          command:
            - mongod
            - "--replSet"
            - rs0
            - "--smallfiles"
            - "--noprealloc"
          ports:
            - containerPort: 27017
          volumeMounts:
            - name: mongo-persistent-storage
              mountPath: /data/db
        - name: mongo-sidecar
          image: cvallance/mongo-k8s-sidecar
          env:
            - name: MONGO_SIDECAR_POD_LABELS
              value: "role=mongo,environment=test"
  volumeClaimTemplates:
  - metadata:
      name: mongo-persistent-storage
      annotations:
        volume.beta.kubernetes.io/storage-class: "fast"
    spec:
      accessModes: [ "ReadWriteOnce" ]
      resources:
        requests:

          storage: 5Gi

【问题讨论】:

  • > 未知用户 "system:serviceaccount:default:default"' 默认服务帐户应该存在。您可以执行“kubectl get serviceAccounts”并查看您有一个名为“default”的帐户吗?
  • 同时运行“kubectl get ns”来查看是否有默认命名空间(理想情况下应该有默认服务帐户)
  • 使用 RBAC 是 1.8 的默认设置。
  • 正确的 RBAC 是触发器。在 1.7 中,旧版身份验证选项默认启用,而在 1.8 中则不启用。 @JonahBenton 如果您发布带有屏幕截图作为解决方案的帖子,我会将其标记为解决方案。当我将遗留身份验证选项设置为启用时,这是有效的。还值得注意的是,将 1.7 集群升级到 1.8 会启用旧版身份验证,这就是另一个 1.8 集群正常工作的原因
  • 也许您可以将此信息添加到问题中或提交答案以帮助将来可能遇到此问题的其他人?

标签: kubernetes google-kubernetes-engine kubernetes-security kubernetes-mongodb-sidecar


【解决方案1】:

根据原解决方案:https://github.com/cvallance/mongo-k8s-sidecar/issues/75

您必须创建将授予默认服务帐户查看权限的角色绑定:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: default-view
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
  - kind: ServiceAccount
    name: default
    namespace: default

【讨论】:

  • 不鼓励在 StackOverflow 上仅链接答案,因为链接可能会中断(例如,GitHub 项目可能会被删除或重命名)。请编辑您的答案以包含解决方案的独立描述。
猜你喜欢
  • 2022-01-17
  • 1970-01-01
  • 2019-05-14
  • 1970-01-01
  • 2017-03-15
  • 1970-01-01
  • 2021-08-31
  • 1970-01-01
  • 2021-12-17
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode