Вопрос о разрешении в Куберне

Question

У меня есть файл KUBE_CONFIG, который я использую для доступа к кластеру Kubernetes. Я могу только перечислить стручки. Я не могу перечислить узлы или любой другой ресурс.

Я следовал Запрещено: пользователь не может получить путь "/" (не анонимный пользователь) , но не успешно.

Я пытался создать роль, но получаю следующую ошибку:

Error from server (Forbidden): clusterroles.rbac.authorization.k8s.io is forbidden: User "user2" cannot create resource "clusterroles" in API group "rbac.authorization.k8s.io" at the cluster scope

Некоторые другие ошибки:

Когда я, kubectl get nodes

Error from server (Forbidden): nodes is forbidden: User "user2" cannot list resource "nodes" in API group "" at the cluster scope

Когда я захожу на панель управления Kubernetes в браузере, я получаю:

Forbidden: user cannot get path “/” 

Я ожидаю, что смогу создавать роли кластера, чтобы я мог получить доступ к ресурсам.

Answer 1

Возможно, у вас нет доступа к списку узлов в кластере.

Проверьте роли и привязку роли, связанную с user2, из конфигурации kube.

Получите созданную роль кластера и добавьте соответствующее сопоставление кластера и связывания user2 и роль кластера, чтобы иметь возможность перечислять или создавать или обновлять объекты kubernetes

Answer 2

Уже было сказано.Но я чувствую, что это требует объяснений и дополнительной информации о том, что происходит.

Обычно файл kube-config находится в скрытой папке в домашнем каталоге с именем ~/.kube, вы также можете вызвать его из любого каталога, используя:

kubectl --kubeconfig="kubeconfigname.yaml" get pods

В вашем случае у вас, конечно, нет никаких привилегий, чтобы сделать это, поскольку ваша ошибка прямо гласит, что (эта проблема касается создания clusterroles):

Error from server (Forbidden): clusterroles.rbac.authorization.k8s.io is forbidden: User "user2" cannot create resource "clusterroles" in API group "rbac.authorization.k8s.io" at the cluster scope

User "user2" cannot create resource, поэтому администратор кластера создал пользователя 2, но он не предоставилнеобходимые (кластерные) роли для вас, та же причина лежит в основе создания этих правил.Если вы хотите создавать роли, перечислять узлы, редактировать объекты, вам необходимо запросить эти (кластерные) роли у администратора кластера.Вот краткое руководство о том, как это сделать, поскольку вы не сможете сделать это самостоятельно, вы можете поделиться им с администратором в случае, если ошибка произошла из-за недостатка знаний.Другие полезные ссылки:

Создание пользователя с ограниченным доступом к пространству имен

RoleBinding и ClusterRoleBinding