io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问

2024-04-28

Config config = new ConfigBuilder().withMasterUrl("https://c2.eu-de.containers.cloud.ibm.com:78945").build(); 尝试（KubernetesClient客户端=新的DefaultKubernetesClient（config））{

        client.pods().inNamespace("default").list().getItems().forEach(
                pod -> System.out.println(pod.getMetadata().getName())
        );

    } catch (KubernetesClientException ex) {
        // Handle exception
        ex.printStackTrace();
    }

我收到 io.fabric8.kubernetes.client.KubernetesClientException: 执行失败: GET at:https://c2.eu-de.containers.cloud.ibm.com:78945/api/v1/namespaces https://c2.eu-de.containers.cloud.ibm.com:78945/api/v1/namespaces。消息：禁止！配置的服务帐户无权访问。服务帐户可能已被撤销。命名空间被禁止：用户“system:serviceaccount:badefault”无法在集群范围的 API 组“”中列出资源“命名空间”。这个错误

从你的错误看来你的ServiceAccount没有执行该特定操作所需的访问权限。您已发布列表代码Pod对象，但你的错误是抱怨列表Namespace对象。

User "system:serviceaccount:badefault" cannot list resource "namespaces" in API group "" at the cluster scope

您可以向您的集群管理员提供访问权限ServiceAccount用这个命令：

kubectl create clusterrolebinding default-pod --clusterrole cluster-admin --serviceaccount=<namespace>:badefault

如果您不想授予它集群管理员访问权限，您可以定义 Custom ClusterRole 来限制您想要的 apiGroups 和资源ServiceAccount访问：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: badefault-cluster-role
rules:
- apiGroups:
  - "" 
  resources: 
  - pods
  - namespaces
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

然后您可以定义一个ClusterRoleBinding绑定这个ClusterRole给你的ServiceAccount object:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: badefault-cluster-role-binding
subjects:
  - kind: ServiceAccount
    name: badefault
    namespace: default
roleRef:
  kind: ClusterRole
  name: badefault-cluster-role
  apiGroup: rbac.authorization.k8s.io

有了这个你的ServiceAccount应该能够访问pods and namespace集群范围内的对象。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问的相关文章

在 Kubernetes API 中启用 CORS

有没有办法在 Kubernetes API 上启用 CORS 以便我可以使用不同的域向 Kubernetes API 发送 ajax 请求通过将 cors allowed origins http 参数添加到 etc default ku
一个持久卷是否可以被多个持久卷声明消耗？

假设一个 PV 可以被多个 PVC 消耗并且每个 pod 实例需要一个 PVC 绑定这样的假设是否正确我这么问是因为我创建了一个 PV 然后创建了一个具有不同尺寸要求的 PVC 例如 kind PersistentVolume apiV
在 Kubernetes 中向 MySQL 添加另一个用户

这是我的MySQL apiVersion apps v1beta1 kind Deployment metadata name abc def my mysql namespace abc sk test labels project ab
Kubernetes ConfigMap 大小限制

Though resourceQuotas可能会限制命名空间中的配置映射的数量是否有任何这样的选项来限制单个配置映射的大小我不喜欢某些用户开始上传大型文本文件作为配置映射 ConfigMap etcd 支持的最大大小是多少如果 etc
从头开始使用映像部署无法启动

我正在使用以下内容构建图像Dockerfile FROM golang 1 19 2 bullseye as builder COPY src src WORKDIR src RUN CGO ENABLED 1 go build race
如何将类成员函数的返回类型设置为私有结构的对象

很抱歉这个又长又令人困惑的标题但我想不出更好的方法来问这个问题所以我有一堂课 template
有没有更快的方法将数字转换为名称？

以下代码定义了映射到数字的名称序列它的设计目的是获取一个号码并检索一个特定的名称该类通过确保名称存在于其缓存中来进行操作然后通过索引到其缓存中来返回名称问题在这如何在不存储缓存的情况下根据数字计算出名称该名称可以被认为是一个以
在 Kubernetes/Openshift 中将客户端-服务器流量保持在同一区域的最佳方法？

我们运行兼容 Kubernetes OKD 3 11 的本地私有云集群其中后端应用程序与用作缓存和 K V 存储的低延迟 Redis 数据库进行通信新的架构设计将在两个地理上分布的数据中心区域之间平均划分工作节点我们可以假设节点
Kubernetes coredns pod 陷入待处理状态。无法启动仪表板[关闭]

Closed 这个问题是与编程或软件开发无关 help closed questions 目前不接受答案我正在按照此构建 Kubernetes 集群tutorial https www profiq com kubernetes clus
Kubernetes Pod 动态环境变量

我需要能够将自定义环境变量分配给 Pod 的每个副本一个变量应该是一些随机的 uuid 另一个唯一的数字怎么可能实现呢我更愿意继续使用带有副本的部署如果这不是开箱即用的如何通过自定义复制控制器控制器管理器来实现有没有可用的钩
Kubernetes 集群自动缩放器似乎不适用于 GKE？

我定义了一个节点池最小实例设置为 1 最大实例设置为 5 并启用了自动缩放但它似乎并没有缩小规模我已经封锁了一个节点已经过去12个多小时了没有待处理的 Pod 删除节点不会减少我自己的部署的副本数量相关节点上运行以下 pod f
在容器中运行多个相似的进程有意义吗？

提供有关该问题的背景的简要背景目前我和我的团队正在将微服务迁移到 k8s 以减少维护多个部署工具和管道的工作量我们计划迁移的微服务之一是 ETL Worker 它监听 SQS 上的消息并执行多阶段处理它是使用 PHP Laravel
除了 80 / 443 之外，我还可以为 Kubernetes 入口设置自定义端口来侦听吗？

我并不是说能够路由到特定端口我的意思是实际更改入口侦听的端口这可能吗如何这是在哪里记录的不从Kubernetes 文档 https kubernetes io docs concepts services networking
如何使用 PHP SoapClient 添加任意命名空间？

如何使用 PHP SoapClient 添加任意名称空间命名空间实际上并未在请求中使用但我认为它阻止了我的消息被正确使用 WSDL 在这里 http abr business gov au abrxmlsearchRPC ABRXMLS
如何将新的 Kubernetes Minion 添加到当前集群

我有一个运行在 3 台服务器上的 Kubernetes 集群一台主服务器和 2 台服务器我想添加另一个小黄人是否可以添加 Minion 而无需再次进行完整安装到目前为止在寻找执行此操作的指南时我只能找到有关建立整个集群的优秀指南
有没有办法用Lettuce自动发现Redis集群中新的集群节点IP

我有一个Redis集群 3主3从运行在一个库伯内斯簇该集群通过Kubernetes 服务 Kube 服务我将我的应用程序服务器连接到 Redis 集群使用Kube 服务作为 URI 通过 Redis 的 Lettuce java 客
如何从命名空间内重载运算符<<

这是我能想到的最小的包含示例首先是类的标题每当使用 pragma once ifndef EURO H define EURO H include
Php Define() 命名空间内的常量说明

正如标题所示我真的很想澄清这一点我读过一些关于这个主题的文章和帖子但有些东西不适合我我会补充一点我对 Php 有点陌生好吧这就是我想了解的 namespace Information define ROOT URL infor
Kubernetes 通过基于时间的触发器扩展 Pod

我有一台在 Kubernetes 上运行的服务器来处理每小时的处理作业考虑使用服务来公开 pod 并使用外部 cron 作业来访问负载均衡器以便 kubernetes 可以根据需要自动缩放以处理更高的负载然而在实现中如果 cron
通过 kubernetes 标签或注释对 prometheus 目标进行分组？

我有两个关于普罗米修斯的问题我使用这个舵图 https artifacthub io packages helm prometheus community prometheus modal values https artifacthub

随机推荐

获取 HTML 元素相对于窗口的边界框的正确方法是什么？

我正在编写一个 Firefox 扩展我试图将其限制为仅 XUL Javascript 无 XPCOM 当我得到一个mouseover对于 HTML 元素的事件我需要获取其在 Windows 坐标系中的边界框即内置 XUL 文档 bro
你能在 MS Windows 上用 Python 将 stdin 作为文件打开吗？

在 Linux 上我使用 subbprocess Popen 来运行应用程序该应用程序的命令行需要输入文件的路径我了解到我可以将路径 dev stdin 传递到命令行然后使用 Python 的 subproc stdin write
Google Spreadsheet Api 结构化查询语法的官方参考

我正在寻找用于创建的查询语法的官方参考结构化查询用于请求 Google Spreadsheet API 中的行如所讨论的here https developers google com google apps spreadsheets s
R 识别数据框列中的文本字符串

我的数据框的一列包含单词和短语我正在尝试为此列中具有特定文本字符串的字段创建一个虚拟变量例如 kite cars 箱形风筝模型车我喜欢飞翔的风筝世界汽车 myvector lt c kite cars box kites mode
张量流：简单 LSTM 网络的共享变量错误

我正在尝试构建一个最简单的 LSTM 网络只是想让它预测序列中的下一个值np input data import tensorflow as tf from tensorflow python ops import rnn cell im
使 div 为浏览器窗口的 100% 高度

我的网站有两列现在背景颜色以左列的最后一段内容结束用于导航我试过高度 100 最小高度 100 等等似乎不起作用这是CSS container width 100 height 100 min width 960px backgro
批处理脚本一次运行多个 Jar 文件

我有两个批处理文件我想立即运行它们所以我写了这个 echo off java jar happyjar jar java jar sadjar jar pause 当我运行脚本时它首先运行 happyjar 然后运行 Sadjar 是
调整容器 div 内部 div 的 margin-top 会将内部 div 和容器 div 从 body 向下推

我觉得这一定是我做了一些愚蠢的事情的问题但我无法弄清楚这是显示我的问题的演示页面 http boxofbaskets com html demo html页面来源
war文件可以部署在任何服务器上吗？

如果这个问题很愚蠢请原谅我假设我使用 Spring 框架和 MS SQL Server 数据库以及 WebSphere 应用程序服务器开发一个 J2EE Web 应用程序我后来为此应用程序创建了一个 WAR 文件我可以在不更改代码的
Firefox createMediaStreamDestination 使用 rtc 的错误？

我通过 rtc 流式传输音频并想要静音和取消静音音频这有效但没有增益控制 function stream getUserMedia stream console log Access granted to audio video pee
如何获取 VESA BIOS 信息

我正在跟踪Phil Opp 教程 https os phil opp com 关于用 Rust 编写一个操作系统在稍微尝试了一下之后我想在屏幕上显示真实的图形我发现我应该从使用带有 VESA 的线性帧缓冲区开始我在 osdev or
端口不是所有 Docker 网络都通用的吗？

我创建了两个docker网络中国网络 docker network create subnet 172 19 0 0 16 chnetwork 内部网络 docker network create internal subnet 10 1
没有循环匹配指定的签名和转换错误

我是 python 和机器学习的初学者当我尝试将数据放入 statsmodels formula api OLS fit 时出现以下错误回溯最近一次调用最后一次文件第 47 行位于 regressor OLS sm OLS y
C/C++ 删除与删除[] [重复]

这个问题在这里已经有答案了可能的重复 new 与 delete 配对怎么可能只导致内存泄漏 https stackoverflow com questions 1913343 how could pairing new with dele
如何使用 Whatsapp Cloud API 发送短信

我在使用 Whatsapp Cloud API 已于 5 月 22 日向公众发布时遇到问题我做了一切在入门 https developers facebook com docs whatsapp cloud api get starte
在终端中访问文件“添加日期”

在我的 Mac 上的下载文件夹中文件有一个添加日期列我正在尝试创建一个脚本来将超过 x 天的文件移至我的垃圾文件夹以下方法有效但它是根据创建修改日期提取文件而不是我从 Finder 中看到的添加日期有没有办法显示使用这
角度指令可以将参数传递给指令属性中指定的表达式中的函数吗？

我有一个使用指定的表单指令callback具有隔离范围的属性 scope callback 它位于一个ng repeat所以我传入的表达式包括id对象作为回调函数的参数
Oracle的服务器JRE包含JDK？

我刚刚下载了适用于 Java SE 7 的 Oracle Server JRE link http www oracle com technetwork java javase downloads server jre7 downloads
使用 JodaTime 将 UTC 转换为本地时间（以毫秒为单位）

我正在尝试使用 Jodatime 显示特定时间段内的交易我们的服务器要求开始日期和结束日期采用 UTC 这可能是显而易见的因此围绕这些的任何业务逻辑都使用 DateTime 对象并将时区设置为DateTimeZone UTC e g
io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问

Config config new ConfigBuilder withMasterUrl https c2 eu de containers cloud ibm com 78945 build 尝试 KubernetesClient客户端

io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问

io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问 的相关文章

随机推荐

热门标签

io.fabric8.kubernetes.client.KubernetesClientException：禁止！配置的服务帐户无权访问的相关文章