1

我目前正在使用 KubernetesPodOperator 在 Kubernetes 集群上运行 Pod。我收到以下错误:

kubernetes.client.rest.ApiException:(403)原因:禁止

HTTP 响应头:HTTPHeaderDict({'Audit-Id': '', 'Cache-Control': 'no-cache, private', 'Content-Type': 'application/json', 'X-Content-Type-Options ':'nosniff','日期':'星期一,2021 年 8 月 30 日 00:12:57 GMT','内容长度':'309'})

HTTP 响应正文:{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","message":"pod 被禁止:用户 "system:serviceaccount :airflow10:airflow-worker-serviceaccount" 无法在命名空间 "default"","re​​ason":"Forbidden","details":{"kind":"pods"} 中列出 API 组 "" 中的资源 "pods", “代码”:403}

我可以通过运行以下命令来解决这个问题:

kubectl create clusterrole pod-creator --verb=create,get,list,watch --resource=pods

kubectl create clusterrolebinding pod-creator-clusterrolebinding --clusterrole=pod-creator --serviceaccount=airflow10:airflow-worker-serviceaccount

但我希望能够在气流中自动设置具有正确权限的服务帐户。什么是无需运行上述命令的好方法?

4

1 回答 1

2

你真的不能。您需要在部署气流时分配和创建角色,否则这将意味着您有巨大的安全风险,因为部署的应用程序将能够提供更多权限。

如果您的意图是使部署自动化,这可以通过多种方式“自动”完成。例如,如果您的气流部署是通过 Helm 图表完成的,则该图表可以添加配置正确的资源以创建适当的角色绑定。你可以看到我们的官方 Helm 图表是如何做到的:

于 2021-08-30T15:01:33.710 回答