Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy）

2023-11-24

我正在运行启用了 RBAC 的 Kubernetes 1.6.2。我已经创建了一个用户kube-admin具有以下集群角色绑定

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: k8s-admin
subjects:
- kind: User
  name: kube-admin
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

当我尝试kubectl exec进入正在运行的 Pod 时出现以下错误。

kubectl -n kube-system exec -it kubernetes-dashboard-2396447444-1t9jk -- /bin/bash
error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy)

我的猜测是我错过了ClusterRoleBindingref，我缺少哪个角色？

kubectl 和 api 之间的连接良好，并且授权正确。

为了满足 exec 请求，apiserver 会联系运行 pod 的 kubelet，而该连接是被禁止的。

您的 kubelet 配置为对请求进行身份验证/授权，并且 apiserver 未提供 kubelet 识别的身份验证信息。

apiserver 向 kubelet 进行身份验证的方式是使用客户端证书和密钥，配置为--kubelet-client-certificate=... --kubelet-client-key=...提供给 API 服务器的标志。

See https://kubernetes.io/docs/admin/kubelet-authentication-authorization/#overview了解更多信息。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Kubernetes

kubectl

Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy）的相关文章

为什么我的 GKE 集群没有显示任何事件？

我有一个 GKE 集群并在其上部署了一些工作负载我注意到每当我这样做kubectl get events all namespaces 我没有看到任何结果 kubectl describe deployment
java.lang.ClassNotFoundException：找不到类 org.apache.hadoop.fs.azurebfs.SecureAzureBlobFileSystem

我是 Spark 和 Kubernetes 世界的新手我使用 docker image tool sh 实用程序使用与 Hadoop 3 2 捆绑在一起的官方 Spark 3 0 1 构建了 Spark docker 映像我还为 Jup
添加istio出口网关后，Pod无法curl外部网站

我正在关注 Istio 文档 https istio io docs examples advanced egress egress gateway https istio io docs examples advanced egress
将mysql数据导入kubernetes pod

有谁知道如何将我的 dump sql 文件中的数据导入到 kubernetes pod 中直接与处理 docker 容器的方式相同 docker exec i container name mysql uroot password se
我可以在私有 GCP 网络子网中启动 Google 容器引擎 (GKE) 吗？

我正在尝试在私有 GCP 网络子网中启动 Google 容器引擎 GKE 我创建了自定义 Google Cloud VPC 然后我也在该 VPC 下创建了自定义专用网络访问子网 1 当我使用私有子网创建 GKE 集群时我的 Kuberne
如何对 nginx ingress 中的特定 HTTP 方法进行基本身份验证？

我可以使用基本身份验证创建入口我遵循 kubernetes ingress nginx 中的模板 apiVersion extensions v1beta1 kind Ingress metadata name ingress with
如何在 Istio 上禁用 mtls？

我在使用 Istio 连接 Kubernetes 上的两个服务时遇到问题我的服务向 elasticsearch 发出 POST 请求 2020 11 18T21 51 53 758079131Z org elasticsearch cli
如何配置手动预配的 Azure 托管磁盘以用作 Kubernetes 持久卷？

我正在尝试运行Jenkins Helm 图表 https github com kubernetes charts tree master stable jenkins 作为此设置的一部分我想传递我提前配置的持久卷或者可能在迁移期间从另
Kubectl 推出重启以实现有状态集

根据kubectl 文档 https kubernetes io docs reference generated kubectl kubectl commands rollout kubectl rollout restart适用于部署
从我的应用程序 Helm 图表配置第三方 Helm 图表

我似乎在任何地方都找不到任何关于此的明确信息但是 Helm 图表中是否有可能需要第三方例如stable jenkins 并指定配置值我看到的所有示例都是为了运行helm install直接命令但我希望能够将其配置为我的应用程序的一部
Kubernetes - 滚动更新杀死旧的 Pod，而不启动新的 Pod

我目前正在使用 Deployments 来管理 K8S 集群中的 pod 我的一些部署需要 2 个 pod 副本一些需要 3 个 pod 副本还有一些只需要 1 个 pod 副本我遇到的问题是只有一个 pod 副本我的 YAML 文
kubectl：在 WSL 终端中找不到

我按照以下说明在 Windows10 上安装了 WSL2 https learn microsoft com en us windows wsl install win10 https learn microsoft com en us w
使用 JWT 的 Istio Origin 身份验证不起作用

我一直在使用 JWT 将身份验证策略应用于我的测试服务我已关注本指南 https istio io docs tasks security authn policy end user authentication它确实按预期工作了但是
检查 Kubernetes 资源 CronJob 的日志

我创建了一个CronJob https kubernetes io docs concepts workloads controllers cron jobs Kubernetes 中的资源我想检查日志以验证我的 cron 是否正在运行
microk8s加入节点没有效果

我确实命令 om 主节点 microk8s add node From the node you wish to join to this cluster run the following microk8s join 192 168 0
为什么ReadWriteOnce在不同的节点上工作？

我们在 K8s 上运行的平台有不同的组件我们需要在其中两个组件 comp A 和 comp B 之间共享存储但我们错误地将 PV 和 PVC 定义为ReadWriteOnce即使这两个组件在不同的节点上运行一切都正常我们能够从两个组
如何在 Helm 图表中配置 docker 入口点

我有以下内容docker compose文件我不明白如何设置working dir and entrypoint在掌舵deployment yaml 有人有关于如何执行此操作的示例吗 docker compose version 3 5
Microk8s 节点未准备好 - InvalidDiskCapacity

microk8s的节点不想启动 Kube system Pod 处于挂起状态 kubectl describe nodes说是警告InvalidDiskCapacity 我的服务器有足够的资源 PODS NAMESPACE NAME REA
Spark 上的 Kubernetes 驱动程序 pod 清理

我在 kubernetes 1 19 上运行 Spark 3 1 1 作业完成后执行程序 Pod 就会被清理但驱动程序 Pod 仍处于完成状态驱动程序完成后如何清理要设置任何配置选项吗 NAME READY STATUS RESTA
Kubernetes 集群中的 Websocket 连接与 nginx-ingress

我正在尝试在 Kubernetes 集群中运行的服务器上建立一个简单的 Websocket 连接 Websocket 连接能够在我的本地测试计算机上建立但在使用 nginx ingress 部署到 GKE 后我无法将客户端连接到服务器

随机推荐

如何使用 JavaBeans 集合数据集填充图表数据？

我已经创建了一个工作 jrxml 报告其中显示了一个由集合的数据集填充的表 List 的 Java bean 现在我想使用相同的数据集来创建图表初学者的基本条形图每个 bean 包含 4 个我想在条形图上显示的值月份正常时间旅行
`all: unset` 和 `all: revert' 有什么区别

根据 MDN 在许多情况下 revert 关键字的工作方式与 unset 完全相同这唯一的区别是具有由浏览器设置值的属性或由用户创建的自定义样式表在浏览器端设置我不明白浏览器和自定义样式表浏览器和自定义样式表都可以替换为all
Docker-Compose持久数据MySQL

如果我运行我似乎无法让 MySQL 数据持久化 docker compose down与以下 yml version 2 services other services data container name flask data ima
（如何）我可以计算枚举中的项目吗？

当我有类似的事情时我想到了这个问题 enum Folders FA FB FC 并想为每个文件夹创建一个容器数组 ContainerClass m containers 3 m containers FA etc 使用地图会更优雅 std
WebDriver Selenium API：当 Element 明显存在时，出现 ElementNotFoundErrorException！

有时在关闭 Javascript 的情况下在 WebDriver 上运行测试时 WebDriver 在找到某个元素并尝试单击它时会因 ElementNotFound 错误而崩溃然而这个元素显然是存在的读完这篇文章后 http cod
制作使用项目字段作为键的查找表的惯用方法是什么？

我有一个收藏Foo struct Foo k String v String 我想要一个HashMap哪个有钥匙 foo k和价值foo 显然不重新设计是不可能的Foo通过介绍Rc或克隆复制k fn t1 let foo Foo k k
迁移期间 Laravel 未配置数据库

这可能是重复的问题但我对以前的答案没有运气 I just git clone一个 Laravel 项目现在我尝试做php artisan migrate 它返回以下错误 InvalidArgumentException Database
.NET 中的引用是如何定位的？

NET 使用什么过程在运行时定位引用的程序集它与在编译期间定位引用的程序集的过程是否不同我对搜索的位置及其搜索顺序以及可能影响结果的任何参数配置设置特别感兴趣 NET 应用程序中可以进行三种类型的引用此答案仅涵盖下面列表中的前两个
POSIX pthread 编程

我必须编写一个多线程比如 2 个线程程序其中每个线程执行不同的任务此外这些线程一旦启动就必须在后台无限运行这是我所做的如果方法好或者您发现一些问题有人可以给我一些反馈吗另外我想知道如何在使用 Ctrl C 终止执行后以系
C# FileSystemWatcher.Deleted 不触发“正常”删除？

Code FileSystemWatcher fileSystemWatcher new FileSystemWatcher path exe fileSystemWatcher IncludeSubdirectories true fil
Asp.Net WebApi2 启用 CORS 不适用于 AspNet.WebApi.Cors 5.2.3

我尝试按照以下步骤操作http enable cors org server aspnet html让我的 RESTful API 使用 ASP NET WebAPI2 实现处理跨源请求启用 CORS 除非我修改 web config
java - 分割字符串后，数组中的第一个元素是什么？

我试图将一个字符串拆分为单个字母的数组这就是我所做的 String str abcddadfad System out println str length output 10 String strArr str split System
NSCachedURLResponse 返回对象，但 UIWebView 不解释内容

我正在向 UIWebView 发送请求加载的网页上有 AJAX 调用我需要分析 AJAX 流量以确定用户是否登录为此我在 AppDelegate 中安装了 NSURLCache MYURLCache cache MYURLCache
Safari 中的 HTML5 日期字段和占位符文本

我遇到了一个问题但我不确定是否是我做错了什么或者是否尚不支持此功能基本上我有以下几行代码
我怎样才能让 PHP 魔法常量 __FILE__ 与 Eclipse 和 PDT 一起工作

最近当我使用 XDebug 在 Ubuntu 上的 Eclipse 下调试一些 PHP 文件时我遇到了一个奇怪的行为 print FILE 导致 xdebug eval GEE 所以这个神奇常数看起来not来处理这个有人知道修复或可
如何处理 Passport 中密码授予令牌的 client_id 和 client_secret

我想弄清楚如何处理 Passport 包中的密码授予令牌我应该将 client id 和 client secret 存储在 env 文件中还是在请求令牌时直接从数据库获取值这取决于您最终想要实现的目标 Passport令牌始终存储在D
强制 EPPLUS 以文本形式读取

我正在开发一个应用程序来读取 xlsx 文件进行一些验证并插入数据库不幸的是当我尝试读取标记为数字的列带有 EAN 13 代码的 fe 时我得到了 int 的最小值用户看不到这一点因为 Excel 可以正确显示它如何让它以纯
Google Apps 脚本复制整个 Google Drive 文件结构；如何避免超时？

我的组织正在切换到 Google Business 帐户每个人都需要将其云端硬盘文件转移到新帐户云端硬盘不允许在这些帐户之间转移所有权因此我创建了一个脚本来将文件和文件夹从旧帐户复制到新帐户旧帐户的内容已移至与新帐户共享的文件夹中
自定义 Django 404 错误

我有一个 404 html 页面但在某些情况下我希望能够发送 json 错误消息对于 404 和 500 等我读了以下页面 https docs djangoproject com en dev topics http views t
Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy）

我正在运行启用了 RBAC 的 Kubernetes 1 6 2 我已经创建了一个用户kube admin具有以下集群角色绑定 kind ClusterRoleBinding apiVersion rbac authorization k8

Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy）

Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy） 的相关文章

随机推荐

热门标签

Kubernetes RBAC 无法升级连接：禁止（user=system:anonymous、verb=create、resource=nodes、subresource=proxy）的相关文章