在 kubernetes 中列出集群范围内的事件的狭窄授权

【问题标题】:Narrow authorisation to list cluster scoped events in kubernetes在 kubernetes 中列出集群范围内的事件的狭窄授权
【发布时间】:2019-08-15 19:35:09
【问题描述】:

我正在尝试让 heapster eventer 在启用了 RBAC 的集群上工作。使用与 /heapster 命令相同的角色似乎是不够的。

在运行 pod 日志时,会填写如下条目:

Failed to load events: events is forbidden: User "system:serviceaccount:kube-system:heapster" cannot list events at the cluster scope

有没有人知道我的 heapster 服务帐户的正确授权,缺乏管理员权限?

Eventer 部署文档:

kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  labels:
    k8s-app: eventer
  name: eventer
  namespace: kube-system
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: eventer
  strategy:
    rollingUpdate:
      maxSurge: 1
      maxUnavailable: 1
    type: RollingUpdate
  template:
    metadata:
      labels:
        k8s-app: eventer
    spec:
      serviceAccountName: heapster
      containers:
        - name: eventer
          image: k8s.gcr.io/heapster-amd64:v1.5.4
          imagePullPolicy: IfNotPresent
          command:
            - /eventer
            - --source=kubernetes:https://kubernetes.default
            - --sink=log
          resources:
            limits:
              cpu: 100m
              memory: 200Mi
            requests:
              cpu: 100m
              memory: 200Mi
          terminationMessagePath: /dev/termination-log
      restartPolicy: Always
      terminationGracePeriodSeconds: 30

RBAC:

# Original: https://brookbach.com/2018/10/29/Heapster-on-Kubernetes-1.11.3.html
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: heapster
rules:
  - apiGroups:
      - ""
    resources:
      - pods
      - nodes
      - namespaces
      - events
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - deployments
    verbs:
      - get
      - list
      - update
      - watch
  - apiGroups:
      - ""
    resources:
      - nodes/stats
    verbs:
      - get

集群角色绑定:

# Original: https://github.com/kubernetes-retired/heapster/blob/master/deploy/kube-config/rbac/heapster-rbac.yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: heapster
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: heapster
subjects:
  - kind: ServiceAccount
    name: heapster
    namespace: kube-system

相关问题: How to propagate kubernetes events from a GKE cluster to google cloud log

【问题讨论】:

    标签: logging kubernetes heapster


    【解决方案1】:

    以上所有对象对我来说似乎都是正确的。

    这只是一种预感,但也许您先创建了 Deployment,然后创建了 ClusterRole 和/或 ClusterBindingRole 和/或 ServiceAccount 本身。确保您首先拥有这 3 个,然后删除当前的 heapster Pod(或 Deployment,并等待 Pod 终止,然后再重新创建 Deployment)。

    (通过kubectl create sa heapster -n kube-system创建ServiceAccount)

    另外,您可以通过以下方式测试 ServiceAccount 是否可以列出事件:

    kubectl get ev --all-namespaces --as system:serviceaccount:kube-system:heapster

    【讨论】:

    • 这是一个非常有用的命令。但是没有运气,我从这个命令中得到了与日志中显示的相同的消息。 > kubectl get ev --all-namespaces --as system:serviceaccount:kube-system:heapsterError from server (Forbidden): events is forbidden: User "system:serviceaccount:kube-system:heapster" cannot list events at the cluster scope
    • 有趣的是,我已经使用引用的 kubectl 命令测试了该角色和绑定,它对我有用!请问可以kubectl version吗?我想弄清楚这一点,我可以
    • 服务器 v1.10.2 和客户端 v1.10.11。
    猜你喜欢
    • 1970-01-01
    • 2010-10-07
    • 1970-01-01
    • 1970-01-01
    • 2018-01-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-06-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode