6

我目前正在玩 AWS EKS 但我总是error: You must be logged in to the server (Unauthorized)在尝试运行kubectl cluster-info命令时得到。

我已经阅读了很多 AWS 文档,并查看了许多面临相同问题的类似问题。不幸的是,它们都不能解决我的问题。

所以,这就是我所做的

  1. 安装所有必需的软件包
  2. 创建一个用户来访问aws-cli名称crop-portal
  3. 为 EKS 名称创建角色crop-cluster
  4. 通过 AWS 控制台使用角色crop-cluster名称创建 EKS 集群crop-cluster(集群和角色具有相同的名称)
  5. 为用户运行 AWS 配置crop-portal
  6. 运行aws eks update-kubeconfig --name crop-cluster以更新 kube 配置
  7. aws sts assume-role --role-arn crop-cluster-arn --role-session-name eks-access
  8. 将accessKeysecreyKeysessionToken复制到环境变量AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN
  9. 运行aws sts get-caller-indentity,现在结果表明它已经使用了承担角色
{
    "UserId": "AROAXWZGX5HOBZPVGAUKC:botocore-session-1572604810",
    "Account": "529972849116",
    "Arn": "arn:aws:sts::529972849116:assumed-role/crop-cluster/botocore-session-1572604810"
}
  1. kubectl cluster总是跑get error: You must be logged in to the server (Unauthorized)

当我跑步时aws-iam-authenticator token -i crop-cluster,它给了我令牌,当我跑步时aws-iam-authenticator verify -t token -i crop-portal,它也通过了

&{ARN:arn:aws:sts::529972849116:assumed-role/crop-cluster/1572605554603576170 CanonicalARN:arn:aws:iam::529972849116:role/crop-cluster AccountID:529972849116 UserID:AROAXWZGX5HOBZPVGAUKC SessionName:1572605554603576170}

我不知道什么是错的或我想念什么。我非常努力地让它工作,但我真的不知道在这之后该怎么做。有人建议使用 awscli 而不是 GUI 创建集群。我尝试了这两种方法,但都没有奏效。使用 awscli 或 GUI 创建对我来说都是一样的。

请有人帮忙:(

4

1 回答 1

0

我将尝试在此处添加更多信息,希望在设置对 EKS 集群的访问时会有所帮助。

当我们通过 CloudFormation/CLI/EKSCTL 以任何方法创建 EKS 集群时,创建集群的 IAM 角色/用户将自动绑定到默认的 kubernetes RBAC API 组“system:masters”(https://kubernetes.io/docs/ reference/access-authn-authz/rbac/#user-facing-roles),这样集群的创建者将获得对集群的管理员访问权限。

要验证 EKS 集群的角色或用户,我们可以在 cloudtrail 上搜索 CreateCluster Api 调用,它会告诉我们集群的创建者。

现在通常如果我们像您一样使用角色创建集群(例如“crop-cluster”)。在使用 kubectl 进行任何 api 调用之前,我们必须确保我们承担了这个角色,最简单的方法是在 kubeconfig 文件中设置这个角色。我们可以通过从终端运行以下命令轻松地做到这一点。

aws eks --region region-code update-kubeconfig --name cluster_name --role-arn crop-cluster-arn

现在,如果我们将运行上述命令,那么它将在 kube 配置文件中使用 -r 标志设置角色,因此我们告诉 aws/aws-iam-authenticator 在进行任何 api 调用之前它应该首先承担角色通过这种方式,我们不必使用“aws sts assume-role --role-arn crop-cluster-arn --role-session-name eks-access”通过 cli 手动承担角色。

正确设置 kubeconfig 文件后,请确保使用 IAM 用户凭证“crop-portal”正确配置 CLI。我们可以通过运行命令来确认这一点"aws sts get-caller-identity",输出应该在“Arn”部分向我们显示用户 ARN,如下所示。

   $ aws sts get-caller-identity
   { 
        "Account": "xxxxxxxxxxxxx",
        "UserId": "xxxxxxxxxxxxxx",
        "Arn": "arn:aws:iam::xxxxxxxxxxx:user/crop-portal"
    }

完成后,您应该可以直接制作 kubectl 命令而不会出现任何问题。

注意:我假设用户“crop-portal”确实有足够的权限来承担角色“crop-cluster”

注意:更多细节我们也可以参考这个问题的答案Getting error "An error occurred (AccessDenied) when calling the AssumeRole operation: Access denied" after setup EKS cluster

于 2020-03-21T21:35:07.687 回答