Ошибка RBAC: ошибка с сервера (запрещено): ошибка при создании «role-qa.yaml»: role.rbac.authorization.k8s.io «qa-role» запрещена - PullRequest
Новая
       43

Ошибка RBAC: ошибка с сервера (запрещено): ошибка при создании «role-qa.yaml»: role.rbac.authorization.k8s.io «qa-role» запрещена

0 голосов
/ 11 сентября 2018

Я получаю эту ошибку при создании пользовательской роли для пространства имен kubernetes.

Ошибка RBAC: ошибка сервера (запрещена): ошибка при создании "role-qa.yaml": role.rbac.authorization.k8s.io "qa-роль" запрещена

Я пробовал это на многих версиях kubernetes.Я проверил множество решений, предоставленных различными пользователями, о назначении пользователю роли cluster-admin * , и сделал то же самое, но все же это не помогло решить эту проблему.

Ниже приведены необходимые сведения.

namespace.yaml 

apiVersion: v1
kind: Namespace
metadata:
  name: qa
---
apiVersion: v1
kind: Namespace
metadata:
  name: prod

Я дважды проверил пользователя, используемого для доступа к kubernetes, как показано ниже.

список конфигурации gcloud

вывод: 

[core]
account = xyz@gmail.com
disable_usage_reporting = True
project = sonar-198615

список аутентификации gcloud

вывод: 

Credentialed Accounts
ACTIVE  ACCOUNT
*       xyz@gmail.com

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

Я также проверилесли роль кластера назначена пользователю или нет, и у пользователя есть роль администратора кластера.

roles given to user

Ниже приведена полная ошибка, которую я получаю. 

Error from server (Forbidden): error when creating "role-qa.yaml":
roles.rbac.authorization.k8s.io "qa-role" is forbidden: attempt to
grant extra privileges: [PolicyRule{APIGroups:[""],
Resources:["pods"], Verbs:["get"]} PolicyRule{APIGroups:[""],
Resources:["pods"], Verbs:["watch"]} PolicyRule{APIGroups:[""],
Resources:["pods"], Verbs:["list"]}] user=&{xyz@gmail.com 
[system:authenticated]
map[user-assertion.cloud.google.com:[AF1jyJCtSZd2sdmeNfdVbJyylD/nTw8h9aQznfgDOI8n4n7MlK9ncU0r+UXrVCgySWVv4wJHg85db75ekmhV67qyxwVP7tv0KzEKtEz7agxSXSu+qZsxBjoKHIQpjlhrT9mc7cRAvB/OxTxvi8xexAC7fvf563Ttwoejx11F6Bs3qXElIhDDtTKT0O8S0eWIFcHoWMrs+nIdvcsbXaQLHL4+E2+Uufjrp3f+8nyC]]}
ownerrules=[PolicyRule{APIGroups:["authorization.k8s.io"],
Resources:["selfsubjectaccessreviews" "selfsubjectrulesreviews"],
Verbs:["create"]} PolicyRule{NonResourceURLs:["/api" "/api/*" "/apis"
"/apis/*" "/healthz" "/openapi" "/openapi/*" "/swagger-2.0.0.pb-v1"
"/swagger.json" "/swaggerapi" "/swaggerapi/*" "/version" "/version/"],
Verbs:["get"]}] ruleResolutionErrors=[]

Пожалуйста, дайте мне знать, если кому-то нужна дополнительная информация по этому вопросу.

...