我kops在 AWS 中使用来创建我的 Kubernetes 集群。
我已经创建了一个启用了 RBAC 的集群,--authorization=RBAC如此处所述。
我正在尝试使用默认服务帐户令牌与集群交互并收到此错误:
Error from server (Forbidden): User "system:serviceaccount:default:default" cannot list pods in the namespace "default". (get pods)
我是否在某处缺少角色或绑定?
我认为将 cluster-admin 角色赋予default namespace 中的默认服务帐户不是一个好主意。
如果您将在默认命名空间中授予集群管理员访问默认用户的权限 -每个将在集群中部署的应用程序(pod),在默认命名空间中 -将能够操纵集群(删除系统 pod/部署或制作其他坏东西) .
默认情况下,clusterrole cluster-admin 被赋予 kube-system 命名空间中的默认服务帐户。您可以使用它与集群进行交互。
尝试赋予管理员角色并尝试。
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=default:default