问题标签 [kubernetes-rbac]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - aws eks 和 aws sso RBAC 身份验证问题
我创建了一个新的 AWS SSO(使用内部 IDP 作为身份源,因此不使用 Active Directory)。
我能够登录 AWS CLI、AWS GUI,但无法执行任何 kubectl 操作。
我认为这与 RBAC 有关,因为我可以通过
aws eks get-token.
kubeconfig
aws-身份验证
team-sso-devops 用户的 clusterrole 绑定:
azure - kubectl 错误:您必须在 AKS 中一段时间后登录到服务器(未经授权)
我在 AKS 中有一个带有 RBAC 的集群,它工作得很好,但有时(似乎在我的笔记本电脑进入睡眠状态后)我只是收到此错误,必须再次创建上下文:
kubectl error: You must be logged in to the server (Unauthorized)
它似乎并不总是发生。有时许多睡眠周期(几天)过去了,有时只是几个小时。它似乎完全随机。
将不胜感激任何帮助弄清楚为什么会发生这种情况。
我的设置是这样的(虽然我不知道这是否重要):
我通常在 Linux 2 的 Windows 子系统上工作,但我在 Windows 本身上有相同版本的 kubectl,并且两者之间的配置文件相同(我从 linux 链接了 kubectl config)。
我很确定虽然我上次没有使用 windows kubectl,但只有 linux 版本
kubernetes - Kubernetes - 用户“system:serviceaccount:management:gitlab-admin”无法在命名空间“services”中的 API >group“”中获取资源“serviceaccounts”
我收到此错误 -
错误:呈现的清单包含已存在的资源。无法继续>安装:无法获取有关资源的信息:服务帐户“simpleapi”被禁止:>用户“系统:服务帐户:管理:gitlab-admin”无法在API>组“”中获取资源“服务帐户”在命名空间中“服务”
我将它用于 RBAC 作为集群管理员。为什么我会得到这个。我也尝试了以下但仍然遇到同样的问题。有人可以解释我在这里做错了什么 -
kubernetes - 使用带有 RBAC(X509 证书)的 Helm 3 和 K8s 集群,Helm 需要哪些权限?我认为它会为发布信息创建 ConfigMap?
我已经将集群 (k3d) 设置为具有一些 RBAC 规则,并且还创建了一个证书来识别我的用户的kubectl命令。我已将用户设置为在特定命名空间中有一个Rolevia a 。RoleBinding
我想这样做,以便他们可以创建Deployments, Pods, Services 但不能创建Secretor ConfigMap。如果我这样做,他们能使用 Helm 来安装东西吗?Helm 不会将其有关发布的信息存储在Secrets 或ConfigMaps 中吗?
我是否需要授予用户访问权限才能创建这些东西?
示例角色
kubernetes - K3s 上的 RBAC(角色绑定访问控制)
在 kubernetes 上观看了关于 RBAC(基于角色的访问控制)的视频后(其中这个对我来说是最透明的),我遵循了这些步骤,但是在 k3s 上,而不是在所有消息来源所暗示的 k8s 上。根据我收集到的信息(不工作),问题不在于实际的角色绑定过程,而在于 API 服务未确认的 x509 用户证书
$ kubectl 获取 pods --kubeconfig userkubeconfig
错误:您必须登录到服务器(未经授权)
也没有记录在Rancher 的关于 K3s 安全性的 wiki 上(同时记录了他们的 k8s 实现)?虽然描述了 Rancher 2.x本身,但不确定这是我的实现问题,还是 k3s <-> k8s 的问题。
通过重复该过程,我的步骤如下:
- 获取 k3s ca 证书
这被描述为在/etc/kubernetes/pki (k8s) 下,但基于此似乎在/var/lib/rancher/k3s/server/tls/ (server-ca.crt & server-ca.key) .
- 来自 ca certs 的 Gen 用户证书
... 都好:
- 根据证书为用户创建 kubeConfig 文件:
- 创建的配置文件:
- 设置角色和角色绑定(在指定的命名空间“rbac”内)
- 角色
- 角色绑定
在这一切之后,我得到了有趣的时光......
请问有什么建议吗?
显然这个stackOverflow问题提出了一个解决问题的方法,但是在github提要之后,它或多或少地归结为这里遵循的相同方法(除非我遗漏了什么)?
kubernetes - 角色绑定组到系统的 RBAC yaml 语法/结构:masters
更新:语法定义 - 我知道它只是一个名称,但它是一些结构化的名称/字符串。
在以下角色绑定中,主题中的冒号是什么: - apiGroup“system:masters” 在做什么 - 它不是 url,它是 YAML 参考语法标准方式吗?
kubernetes - 允许 helm hooks (jobs) 创建 k8s 资源
我想运行一个预安装 helm hook。
这将运行一个将使用自定义图像的作业,其入口点将执行以下命令
可以通过 RBAC 允许此操作吗?
如果是这样,执行此任务需要授予特定 pod/作业的最小权限是多少?
kubernetes - 通过 argo-events 的传感器创建作业时,我遇到了权限问题(无法在 API 组“批处理”中创建资源“作业”)
我正在尝试从传感器触发创建工作,但出现以下错误:
虽然我创建了一个serviceaccount,role和rolebinding. 这是我的serviceaccount创建文件:
这是我的rbac.yaml:
这是我的sensor.yaml:
传感器被正确触发,但未能创建作业。有人可以帮忙吗,我错过了什么?
kubernetes - kubernetes 身份验证错误:模拟请求已被拒绝,角色中不允许组标头值
我无法在 kubernetes 1.21 中扮演组
那么如何在 kubernetes 中冒充一个特定的组呢?
kubernetes - 对集群角色“视图”的编辑不会保留在 aws eks 中吗?
然后我在其中添加条目
但是当我再次编辑它时 - 这些条目已经消失了,如何添加它们?看来这个角色是纯粹动态的。