Kubernetes 首次创建Pod报错No API token found for service account "default", retry after the token is auto

最新推荐文章于 2022-09-06 16:49:28 发布
原创 最新推荐文章于 2022-09-06 16:49:28 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Pod #Kubernetes #K8s

本文解决Kubernetes创建首个Pod时遇到的错误:找不到服务帐户API令牌。提供两种解决方案:禁用ServiceAccount或正确配置ServiceAccount,包括生成密钥、修改apiserver和controller-manager配置。

Kubernetes 初始集群创建首个Pod时候报错:

Error from server (ServerTimeout): error when creating "hello-world-pod.yaml": No API token found for service account "default", retry after the token is automatically created and added to the service account

 

解决方案:

1)禁用ServiceAccount

编辑/etc/kubernetes/apiserver:

删除配置文件中KUBE_ADMISSION_CONTROL的ServiceAccount的选项

即将:KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"

改为:KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota"

 

2)配置ServiceAccount

1:首先生成密钥

openssl genrsa -out /etc/kubernetes/serviceaccount.key 2048

2: 编辑/etc/kubernetes/apiserver

添加内容

KUBE_API_ARGS="--service_account_key_file=/etc/kubernetes/serviceaccount.key"

3:编辑/etc/kubernetes/controller-manager

添加内容

KUBE_CONTROLLER_MANAGER_ARGS="--service_account_private_key_file=/etc/kubernetes/serviceaccount.key"

重启对应的服务: systemctl restart etcd kube-apiserver kube-controller-manager kube-scheduler

重新创建Pod, ok

 

kubernetes最小调度单元pod原理介绍,应用创建与实战案例
景天科技苑
01-03 1343
PodKubernetes中的最小调度单元,k8s是通过定义一个Pod的资源,然后在Pod里面运行容器,容器需要指定一个镜像,这样就可以用来运行具体的服务。一个Pod封装一个容器(也可以封装多个容器),Pod里的容器共享存储、网络等。也就是说,应该把整个pod看作虚拟机,然后每个容器相当于运行在虚拟机的进程。Pod是需要调度到k8s集群的工作节点来运行的,具体调度到哪个节点,是根据scheduler调度器实现的。白话解释:可以把pod看成是一个“豌豆荚”,里面有很多“豆子”(容器)。
解决kubectl get pods时报错 No resources found.
行走的IT
03-06 2万+
redis-rc.yaml文件编写完成后进行注册,使用k8s命令kubectl get pods命令无法获取,提示 No resources found. 原因 暂时没有找到,启动什么的无异常,网上搜索后初步判断:systemd 单元文件包含ServiceAccount许可控制器,需要指定所需的签名密钥,详见Gitbub。 解决方案 跳过ServiceAccount(未成功) 打开kube-a...
解决k8s创建pod报错No API token found for service accountdefault“, retry after the token is automatically
03-23 9810
前言 也是刚开始学习k8s,在创建pod的时候发现报了这个错误: Error from server (ServerTimeout): error when creating "busybox.yaml": No API token found for service account "default", retry after the token is automatically cr...
kubernetes No API token found for service accountdefault“, retry after the token is automatically
weixin_38367535的博客
03-24 316
在monitoring命名空间下创建deploy资源失败 阿里云无状态列表中显示如下报错No API token found for service account "default", retry after the token is automatically 经过排查是serviceaccountsdefault丢失导致 kubectl get sa -n monitoring default为0 阿里云客服让我pull helm 的 chart,从中找到serv
错误: No API token found for service account "default",
weixin_30325071的博客
06-29 313
[root@kubernetes-master pods]# kubectl create -f mysql.yaml Error from server (ServerTimeout): error when creating "mysql.yaml": No API token found for service account "default", retry after the token...
k8s出现的问题:(ServerTimeout): error when creating "k8s_pod.yml": No API token found for service
AZXHNLS81的博客
03-09 2089
错误提示: Error from server (ServerTimeout): error when creating “k8s_pod.yml”: No API token found for service accountdefault”, retry after the token is automatically created and adde 问题分析:来自服务器的错误(Serv...
k8s dashboard2.6 创建用户token失败
qq_44838329的博客
09-06 2315
dashboard2.6.0获取token报错
Kubernetes 帮助文档查看(kubectl -h,kubectl explain)
oopxiajun博客专栏
04-19 3935
参考:https://kubernetes.io/docs/reference/generated/kubectl/kubectl-command 在使用k8s时,很多时候记不清命令如何写、且无法访问互联网查资料。我们可以用到k8s本地的一些帮助。 kubectl -h # kubectl -h kubectl controls the Kubernetes cluster manager...
Kubernetes集群搭建过程中遇到的问题
slowtech的博客
03-10 4345
1. 创建Nginx Pod过程中报如下错误:     #kubectlcreate -f nginx-pod.yaml Error from server: error when creating "nginx-pod.yaml": Pod "nginx" is forbidden: no API token found for service account default/defau
k8s实践(9)--深入了解Pod
黄规速博客:学如逆水行舟,不进则退
06-30 2373
一、Pod简介 Podk8s系统中可以创建和管理的最小单元,是资源对象模型中由用户创建或部署的最小资源对象模型,也是在k8s上运行容器化应用的资源对象,其他的资源对象都是用来支撑或者扩展Pod对象功能的,比如控制器对象是用来管控Pod对象的,Service或者Ingress资源对象是用来暴露Pod引用对象的,PersistentVolume资源对象是用来为Pod提供存储等等,k8...
serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 4217
错误信息 serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “serviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
Mac系统kubernetes安装笔记
JsonHuang的博客
05-10 1295
1、kubernetes dashboard apply报错 Mac终端执行命令: kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.2.0/aio/deploy/recommended.yaml报 The connection to the server raw.githubusercontent.com was refused - did you specify the right host or por
k8s-安装dashboard
河静
08-10 571
k8s-安装dashboard 1.下载recommended.yaml vi /etc/hosts 添加如下内容: # GitHub Start 192.30.253.112 github.com 192.30.253.119 gist.github.com 151.101.100.133 assets-cdn.github.com 151.101.100.133 raw.githubusercontent.com 151.101.100.133 gist.githubusercontent.c
安装 k8s-dashboard 并通过 ingress 暴露访问
Vic的博客
07-27 2562
安装 dashboard 1.1 下载 yaml 文件 [root@uk8s-a ~]# mkdir web-ui [root@uk8s-a ~]# cd web-ui/ [root@uk8s-a web-ui]# wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml 1.2 制作证书 因为要使用 ingress 通过域名的方式对外暴露访问,所以需要自己制作证书
k8s踩过的坑
qq_23435961的博客
06-10 3612
k8s踩过的坑 文章目录k8s踩过的坑1、命令自动补全2、kubelet服务无法启动,报错`Failed to start Kubernetes API Server`。3、容器镜像加速4、容器时间和宿主机时间不一致5、创建pod报错No API token found for service account "default", retry after the token is automatically6、 DNS 间歇性 5 秒延迟问题问题说明及原因如何避免这个问题7、k8s证书过期①、说明②、证书过
一个kubernetes无法启动apiserver:'FailedCreate' No API token found for service account "default"
世间再无晏小山
07-19 4422
如题, 在虚拟机上部署kubernetes,启动时出现如下图的状况,一头雾水: 很尴尬的是之前在两台服务器上,按照同样的步骤安装,是没有这样的问题的。 在服务器上安装的过程同样尴尬,一切部署好之后发现无法创建pod,无论什么样的json,yaml,命令行。 后来发现两台服务器,服务器1能ping通服务器2,服务器2却不能ping通服务器1,两台服务器都是外网的IP,且其中一个是
kubernetes环境搭建
weiguang1017的专栏
05-08 1万+
一.环境准备 三台vm虚拟机(centos7) 192.168.125.164  node1 192.168.125.165  node2 192.168.125.166  node3 1.各节点修改各自的主机名(hostnamectl set-hostname node1),并将上面的内容添加到/etc/hosts中。 2.各节点安装kubernetes    #yum -y i
kubernetes报错Error from server (AlreadyExists): error when creating "kubernetes-dashboard.yaml": serv
热门推荐
汐银的博客
11-12 3万+
在执行: kubectl apply -f kubernetes-dashboard.yaml 报错 Error from server (AlreadyExists): error when creating "kubernetes-dashboard.yaml": services "kubernetes-dashboard" already exist 初步判断是存在dashboa...
使用io.fabric8:kubernetes-client:5.12.4获取podip报错Forbidden!Configured service account doesn't have access
最新发布
08-23
<think>我们正在使用fabric8 Kubernetes客户端(5.12.4版本)来获取Pod IP,但遇到了“Forbidden! Configured service account doesn't have access”错误。这表明当前Pod使用的服务账号(ServiceAccount)没有足够的权限来获取Pod信息。下面我们将一步步解决这个问题。 ### 1. **确认服务账号和权限** 首先,我们需要确认当前Pod使用的服务账号以及该账号是否具有获取Pod信息的权限。 - 默认情况下,Pod使用`default`服务账号,但可能没有足够的权限。 - 我们可以通过创建RBAC(Role-Based Access Control)规则来授予服务账号必要的权限。 ### 2. **创建RBAC规则** 我们需要为服务账号创建一个`Role`(或`ClusterRole`)和`RoleBinding`(或`ClusterRoleBinding`)来授予访问Pod的权限。 **示例YAML文件(rbac.yaml)**: ```yaml # 创建一个Role,允许获取Pod信息 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: your-namespace # 替换为你的命名空间 name: pod-reader rules: - apiGroups: [""] resources: ["pods"] # 资源类型为pods verbs: ["get", "list", "watch"] # 授予的权限 --- # 将Role绑定到服务账号(例如defaultapiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: your-namespace subjects: - kind: ServiceAccount name: default # 服务账号名称,通常为default namespace: your-namespace roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 应用这个配置: ```bash kubectl apply -f rbac.yaml ``` > 注意:如果你需要跨命名空间访问Pod,则应该使用`ClusterRole`和`ClusterRoleBinding`[^4]。 ### 3. **在代码中使用fabric8客户端** 确保你的代码正确使用了服务账号的token。在Pod内部,fabric8客户端会自动使用挂载的token来访问Kubernetes API。 **Java代码示例(使用fabric8客户端)**: ```java import io.fabric8.kubernetes.api.model.Pod; import io.fabric8.kubernetes.api.model.PodList; import io.fabric8.kubernetes.client.DefaultKubernetesClient; import io.fabric8.kubernetes.client.KubernetesClient; public class PodIPFetcher { public static void main(String[] args) { try (KubernetesClient client = new DefaultKubernetesClient()) { // 获取指定命名空间中的所有Pod PodList podList = client.pods().inNamespace("your-namespace").list(); for (Pod pod : podList.getItems()) { System.out.println("Pod Name: " + pod.getMetadata().getName() + " IP: " + pod.getStatus().getPodIP()); } } } } ``` - 当在Pod中运行时,`DefaultKubernetesClient`会自动使用Pod内的服务账号token(通过`/var/run/secrets/kubernetes.io/serviceaccount`目录挂载)。 ### 4. **检查服务账号挂载** 确保你的Pod配置中已经挂载了服务账号的token。通常,这是默认行为,但可以通过以下方式检查: **Pod配置示例**: ```yaml apiVersion: v1 kind: Pod metadata: name: my-app spec: serviceAccountName: default # 使用default服务账号,也可以指定自定义账号 automountServiceAccountToken: true # 确保自动挂载token(默认为true) containers: - name: main image: my-java-app:latest ``` ### 5. **验证权限** 在应用RBAC规则后,我们可以验证服务账号是否具有所需权限: ```bash kubectl auth can-i get pods --as=system:serviceaccount:your-namespace:default ``` 如果返回`yes`,则表示权限已生效。 ### 6. **常见问题排查** - **权限未生效**:RBAC更改可能需要几秒钟才能生效,请稍等重试。 - **Token未挂载**:检查Pod的描述信息(`kubectl describe pod <your-pod>`),查看是否有关于服务账号挂载的错误。 - **跨命名空间访问**:如果你需要访问其他命名空间的Pod,请使用`ClusterRole`和`ClusterRoleBinding`。 - **Kubernetes版本**:确保你的Kubernetes集群版本支持RBAC(1.6+版本默认启用)。 ### 7. **使用fabric8客户端的注意事项** - 确保你的项目依赖了正确版本的fabric8客户端(本例中为5.12.4): ```xml <dependency> <groupId>io.fabric8</groupId> <artifactId>kubernetes-client</artifactId> <version>5.12.4</version> </dependency> ``` - 如果使用Spring Boot等框架,注意依赖冲突问题。 通过以上步骤,你应该能够解决使用fabric8 Kubernetes客户端获取Pod IP时的权限问题。如果问题仍然存在,请检查集群的RBAC设置和日志以获取更多信息。 §§相关问题§§ 1. 如何在Kubernetes创建自定义服务账号? 2. fabric8 Kubernetes客户端与官方客户端的主要区别是什么? 3. 如何调试Kubernetes API的权限问题?</think>### 解决 Fabric8 Kubernetes 客户端获取 Pod IP 时的权限问题 当使用 Fabric8 Kubernetes 客户端(5.12.4 版本)获取 Pod IP 遇到 `Forbidden! Configured service account doesn't have access` 错误时,根本原因是当前服务账号缺少必要的 RBAC 权限。以下是完整的解决方案: --- ### 解决方案步骤 #### 1. **创建 RBAC 权限规则** 在目标命名空间创建 Role 和 RoleBinding(示例使用 `your-namespace`): ```yaml # pod-reader-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: your-namespace name: pod-reader rules: - apiGroups: [""] resources: ["pods"] # 授予访问 Pod 资源的权限 verbs: ["get", "list", "watch"] # 必需的操作权限 --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: your-namespace subjects: - kind: ServiceAccount name: default # 绑定到默认服务账号 namespace: your-namespace roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 应用配置: ```bash kubectl apply -f pod-reader-role.yaml ``` > 注意:如果需跨命名空间访问,改用 `ClusterRole` 和 `ClusterRoleBinding`[^4] #### 2. **验证服务账号权限** ```bash # 检查 default 账号是否具有 Pod 读取权限 kubectl auth can-i get pods \ --as=system:serviceaccount:your-namespace:default \ -n your-namespace ``` 返回 `yes` 表示权限生效 #### 3. **Java 代码示例(Fabric8 5.12.4)** 确保使用正确的服务账号凭据: ```java import io.fabric8.kubernetes.api.model.Pod; import io.fabric8.kubernetes.api.model.PodList; import io.fabric8.kubernetes.client.DefaultKubernetesClient; import io.fabric8.kubernetes.client.KubernetesClient; public class PodIPFetcher { public static void main(String[] args) { try (KubernetesClient client = new DefaultKubernetesClient()) { // 获取指定命名空间的 Pod PodList podList = client.pods() .inNamespace("your-namespace") .list(); // 提取 Pod IP for (Pod pod : podList.getItems()) { String ip = pod.getStatus().getPodIP(); System.out.println( "Pod: " + pod.getMetadata().getName() + " | IP: " + ip ); } } catch (Exception e) { System.err.println("Error: " + e.getMessage()); } } } ``` #### 4. **关键配置检查** 在部署配置中确保: ```yaml spec: serviceAccountName: default # 显式指定服务账号 automountServiceAccountToken: true # 必须启用 token 挂载 ``` #### 5. **依赖确认(Maven)** ```xml <dependency> <groupId>io.fabric8</groupId> <artifactId>kubernetes-client</artifactId> <version>5.12.4</version> <!-- 指定正确版本 --> </dependency> ``` --- ### 常见问题排查 1. **权限延迟**:RBAC 变更需 1-2 分钟生效 2. **Token 挂载失败**: ```bash kubectl describe pod your-pod-name | grep Mounts ``` 检查是否包含 `serviceaccount token` 3. **跨命名空间问题**: - 使用 `ClusterRole` 替代 `Role` - 在 `ClusterRoleBinding` 中指定命名空间 4. **客户端认证问题**: ```java // 调试模式查看认证信息 System.getenv("KUBERNETES_SERVICE_HOST"); System.getenv("KUBERNETES_SERVICE_PORT"); ``` --- ### Fabric8 客户端最佳实践 1. **资源清理**:使用 `try-with-resources` 确保客户端关闭 2. **错误处理**:捕获 `KubernetesClientException` 处理特定错误 3. **版本兼容**:定期检查[客户端兼容性矩阵](https://github.com/fabric8io/kubernetes-client#compatibility-matrix) > 提示:生产环境建议创建专用服务账号(非 default)并分配最小权限
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值