kubernetes - helm list：无法列出命名空间“kube-system”中的配置映射

Question

我已经在 kubernetes 8 集群上安装了 helm 2.6.2。helm init工作正常。但是当我运行helm list它时会出现这个错误。

 helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"

如何修复此 RABC 错误消息？

Answer 1

一旦这些命令：

kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'      
helm init --service-account tiller --upgrade

运行，问题已解决。

Answer 2

更安全的答案

接受的答案提供了对 Helm 的完全管理员访问权限，这不是最好的安全解决方案。通过更多的工作，我们可以限制 Helm 对​​特定命名空间的访问。Helm 文档中的更多详细信息。

$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

定义一个角色，允许 Tiller 管理tiller-world类似 in 中的所有资源role-tiller.yaml：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-manager
  namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

然后运行：

$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

在rolebinding-tiller.yaml,

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-binding
  namespace: tiller-world
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: tiller-world
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io

然后运行：

$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

之后，您可以运行helm init在tiller-world命名空间中安装 Tiller。

$ helm init --service-account tiller --tiller-namespace tiller-world

现在为所有命令添加前缀--tiller-namespace tiller-world或TILLER_NAMESPACE=tiller-world在您的环境变量中设置。

更多面向未来的答案

停止使用分蘖。Helm 3 完全消除了对 Tiller 的需求。如果您使用的是 Helm 2，则可以使用helm template从 Helm 图表生成 yaml，然后运行kubectl apply以将对象应用到 Kubernetes 集群。

helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml

Answer 3

Helm 使用“默认”服务帐户运行。您应该为其提供权限。

对于只读权限：

kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system

对于管理员访问：例如：安装软件包。

kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default

Answer 4

默认服务帐户没有 API 权限。Helm 可能需要分配一个服务帐户，并且该服务帐户被授予 API 权限。有关授予服务帐户权限的信息，请参阅 RBAC 文档：https ://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions

Answer 5

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

kubectl apply -f your-config-file-name.yaml

然后更新 helm 安装以使用 serviceAccount：

helm init --service-account tiller --upgrade

Answer 6

尝试在离线模式下安装分蘖时出现此错误，我认为“分蘖”服务帐户没有足够的权限，但事实证明网络策略阻止了分蘖和 api-server 之间的通信。

解决方案是为分蘖创建一个网络策略，允许分蘖的所有出口通信

Answer 7

export TILLER_NAMESPACE=<your-tiller-namespace>为我解决了，如果<your-tiller-namespace>不是kube-system。这会将 Helm 客户端指向正确的 Tiller 命名空间。

Answer 8

如果您使用的是来自 AWS 的 EKS 集群并且面临被禁止的问题（例如：forbidden: User ... cannot list resource "jobs" in API group "batch" in the namespace "default"那么这对我有用：

解决方案：

1. 确保您已配置 AWS
2. 确保配置的用户具有访问集群的权限。