Регистрация Войти
Рейтинг:0
avatar Server

Под, работающий с kubectl, пытается получить доступ к внешнему кластеру

флаг cn
brgsousa

Я использую модуль (bitnami/kubectl) в кластере kubernetes (clusterA), но kubeconfig настроен на другой кластер (clusterB).

Использование локальной версии kubernetes 1.21.7 (на виртуальных машинах), установленной через kubeadm.

Используемый kubeconfig:

апиВерсия: v1
вид: Конфигурация
кластеры:
- имя: кластер по умолчанию
  кластер:
    данные центра сертификации: XXXXXXXXXXXXXXXXXXXXXXXXX
    сервер: https://clusterB:6443
контексты:
- имя: контекст по умолчанию
  контекст:
    кластер: кластер по умолчанию
    пространство имен: по умолчанию
    пользователь: пользователь по умолчанию
текущий контекст: контекст по умолчанию
пользователи:
- имя: пользователь по умолчанию
  пользователь:
    токен: YYYYYYYYYYYYYYYYYYYYYY

Но даже несмотря на то, что kubeconfig верен, кластер A не позволяет запросу покинуть кластер A и достичь кластера B. Кажется, что плоскость управления kubernetes в clusterA интерпретирует запрос pod kubectl так, как будто он пытается контролировать сам clusterA, но это не то, что я пытаюсь сделать. Вместо этого я пытаюсь связаться с clusterB (определено в «сервере» в kubeconfig).

Это ошибка при запуске kubectl:

Ошибка с сервера (Запрещено): ошибка при получении текущей конфигурации:
Ресурс: "/v1, Resource=secrets", GroupVersionKind: "/v1, Kind=Secret"
Имя: "mysecret", пространство имен: "istio-system"
с сервера для: "STDIN": секреты "mysecret" запрещены: Пользователь "system:serviceaccount:mynamespace:default" не может получить ресурс "secrets" в группе API "" в пространстве имен "istio-system"

РЕДАКТИРОВАТЬ: Я использую kubectl, устанавливая пользовательский kubeconfig:

# kubectl --kubeconfig=/etc/custom.kubeconfig информация о кластере
Для дальнейшей отладки и диагностики проблем с кластером используйте «дамп информации о кластере kubectl».
Ошибка сервера (запрещено): услуги запрещены: пользователь «system:serviceaccount:mynamespace:default» не может перечислить ресурсы «services» в группе API «» в пространстве имен «kube-system»

# grep-сервер /etc/letsencrypt/custom.kubeconfig
сервер: https://clusterB:6443

РЕДАКТИРОВАТЬ2:

# kubectl --kubeconfig=/etc/custom.kubeconfig дамп информации о кластере
Ошибка сервера (запрещено): узлы запрещены: пользователь «system:serviceaccount:cadeado--producao:default» не может перечислить ресурсные «узлы» в группе API «» в области кластера
97
0 + 0
Mikołaj Głodziak avatar
флаг id
Mikołaj Głodziak
Какую версию Kubernetes вы использовали и как настроили кластер? Вы использовали установку на «голое железо» или какого-то облачного провайдера? Важно воспроизвести вашу проблему.
0
Ответить
флаг cn
brgsousa
Использование локальной версии kubernetes 1.21.7 (на виртуальных машинах), установленной через kubeadm.
0
Ответить
Mikołaj Głodziak avatar
флаг id
Mikołaj Głodziak
Вы пытались запустить эту команду: `kubectl cluster-info dump`? Не могли бы вы вставить результаты в вопрос?
0
Ответить
флаг cn
brgsousa
Я добавил второе редактирование
0
Ответить
Mikołaj Głodziak avatar
флаг id
Mikołaj Głodziak
См. [эту аналогичную проблему] (https://stackoverflow.com/questions/69535118/user-systemserviceaccountdefaultflink-cannot-list-resource-nodes-in-api-g). Это связано с другим продуктом, но в ответ вы получите информацию, что вы должны проверить и как вы можете решить вашу проблему. Пожалуйста, дайте мне знать, если это было полезно.
0
Ответить
флаг cn
brgsousa
Вроде. Проблема в этом посте находится внутри того же кластера. То, что я пытаюсь сделать здесь, — это «межкластерный» доступ. Pod в кластере A пытается получить доступ к кластеру B
0
Ответить
Mikołaj Głodziak avatar
флаг id
Mikołaj Głodziak
У меня есть еще одна [похожая проблема] (https://stackoverflow.com/questions/67151953/forbidden-resource-in-api-group-at-the-cluster-scope) на вашу. Если это будет бесполезно, запустите команду `kubectl auth can-i list nodes ` (аналогично команде из связанного вопроса) и вставьте сюда результаты.
0
Ответить
Рейтинг:0
gayan ranasinghe avatar Server
флаг us
gayan ranasinghe

После выдачи из модуля:

информация о кластере kubectl

что вы получаете?

Кажется, проблема, с которой вы столкнулись, связана с доступом пользователя, вам необходимо предоставить
пользователь по умолчанию с соответствующими правами RBAC.

0 + 0
флаг cn
brgsousa
Получил эту ошибку: для дальнейшей отладки и диагностики проблем с кластером используйте «дамп информации о кластере kubectl». Ошибка сервера (запрещено): услуги запрещены: пользователь "system:serviceaccount:mynamespace:default" не может перечислить ресурсы "services" в группе API "" в пространстве имен "kube-system"
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.