helm install istio возвращает запрещенную ошибку - PullRequest
Новая
       9

helm install istio возвращает запрещенную ошибку

0 голосов
/ 01 ноября 2018

Я пытаюсь установить istio с помощью helm. Я получаю сообщение об ошибке "запрещено: попытка предоставить дополнительные привилегии". Я использую кластер Azure AKS.

Вот то, что я попробовал без удачи.

  • Использование --set rbac.create = false
  • Использование нового кластера с выключенным RBAC
  • Создана привязка роли кластера для администратора кластера для текущего пользователя

[root @ 59373cb6f571 codebase] # helm install k8s / istio / helm / istio --name istio - пространство имен istio-system --set servicegraph.enabled = true --set grafana.enabled = true Ошибка: ошибка выпуска istio: clusterroles.rbac.authorization.k8s.io "istio-galley-istio-system" является запрещено: попытка предоставить дополнительные привилегии: [{[] [admissionregistration.k8s.io] [валидация веб-конфигураций] [] []} {[get] [config.istio.io] [] [] []} {[list] [config.istio.io] [] [] []} {[watch] [config.istio.io] [] [] []} {[get] [] [развертывания] [istio-galley] []} {[get] [] [конечные точки] [istio-galley] []}] Пользователь = & {система: ServiceAccount: Кубэ-система: по умолчанию 8134fa11-dd8d-11e8-967b-56582c65801d [system: serviceaccounts system: serviceaccounts: kube-system система: аутентифицированная] map []} ownerrules = [] ruleResolutionErrors = []

1 Ответ

0 голосов
/ 01 ноября 2018

Из сообщений об ошибках Tiller, компонент helm, работающий в кластере, использует учетную запись службы по умолчанию в пространстве имен kube-system для создания ресурсов в пространстве имен istio-system, но не обладает достаточными привилегиями.

Таким образом, вы можете настроить Tiller для использования другой учетной записи службы и предоставить привилегию администратора кластера этой учетной записи службы или продолжить использовать учетную запись службы по умолчанию и предоставить администратору кластера учетную запись службы по умолчанию. поскольку все Pod, запущенные в этом пространстве имен, по умолчанию будут использовать serviceaccount по умолчанию, давать полную привилегию для serviceaccount по умолчанию не рекомендуется.

например, выдержка из рулевого документа: 

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system
...