error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub

最新推荐文章于 2024-05-22 08:21:33 发布
原创 最新推荐文章于 2024-05-22 08:21:33 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#p2p #linq #.net

本文介绍了如何在遇到'Forbidden'错误时,通过临时为k8s-apiserver角色绑定cluster-admin权限,以便执行必要的操作,如kubectl exec。步骤包括查看角色绑定并创建新的clusterrolebinding。

解决error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub

查看角色

 kubectl get clusterrolebindings

k8s-apiserver 临时绑定一个 cluster-admin 的权限 执行这个即可

kubectl create clusterrolebinding k8s-apiserver   --clusterrole=cluster-admin   --user=k8s-apiserver

然后就可以使用 kubectl exec -it podname 。。。。。。

kubectl exec 遇到 unable to upgrade connection Forbidden 的解决办法
weixin_62922268的博客
08-05 669
在执行 kubectl exec、run、logs 等命令时,apiserver 会将请求转发到 kubelet 的 https 端口,并且我使用的 Kubernetes 集群启用了 RBAC。这个权限放太松了,很危险。为 system:anonymous 临时绑定一个 cluster-admin 的权限。授予 kube-apiserver 访问 kubelet API 的权限。
kata container in cluster
immerarbeiten的博客
08-12 2016
自用笔记
kubernetes1.16 错误排查
热门推荐
运维Carl的博客
12-08 1万+
目录一.环境说明1.使用kubectl get node命令,查看集群的状态。2.到node节点查看组件的状态3.于是我查看master节点的apiserver日志4.查看etcd集群的健康状态,并检查192.168.1.123节点上的etcd服务是否正常;5.问题猜测,并尝试解决6.再次查看K8S节点,已恢复正常,并查看etcd集群健康状态,已正常; 一.环境说明 一.环境说明 操作系统:cen...
k8s投射数据卷
Neko的博客
03-20 673
文章目录投射数据一、Secret详解1、secret介绍2、secret类型3、创建secret3.1、命令方式创建secret3.2、Yaml方式创建Secret4、使用Secret4.1、在Pod中以文件的形式使用secret4.2、映射secret key到指定的路径4.3、Secret文件权限4.4、secret扩展内容4.5、secret练习实验二、ConfigMap详解1、与 Secret 的区别2、创建ConfigMap2.1 通过命令行参数--from-literal创建2.2 通过指定文件
部署CNI网络组件+k8s多master集群部署+负载均衡
sea_bunch的博客
05-22 1612
仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到 Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如deployment,job,daemonset等)。例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序。仪表板还提供有关群集中Kubernetes资源状态以及可能发生的任何错误的。
Kubernetes安装系列之kubctl exec权限设定
知行合一 止于至善
04-01 5535
RBAC对于权限的控制更加方便,同时入门使用时需要了解的内容也进一步增多。这篇文章memo一下kubectl exec设定权限的方法。
K8s二进制安装部署
m0_75000405的博客
02-26 996
从 Master 节点获取自己节点上 Pod 的期望状态(比如运行什么容器、运行的副本数量、网络或者存储如何配置等), 直接跟容器引擎交互实现容器的生命周期管理,如果自己节点上 Pod 的状态与期望状态不一致,则调用对应的容器平台接口(即 docker 的接口)达到这个状态。在K8S的集群里,虽然每个Pod会被分配一个单独的IP地址,但由于Pod是有生命周期的(它们可以被创建,而且销毁之后不会再启动),随时可能会因为业务的变更,导致这个 IP 地址也会随着 Pod 的销毁而消失。K8S 的存储服务。
k8serror: unable to upgrade connection: Unauthorized
weixin_45066823的博客
12-22 1261
我这里遇到的情况是,master节点的/etc/kubernetes/pki/apiserver-kubelet-client.crt 证书文件过期导致的无法验证的问题,将该证书更新后就恢复正常了。在执行kubectl exec命令时遇到了报错,所有的pod都无法exec进入。
error: unable to upgrade connection: pod does not exist
浮云
02-18 1148
error: unable to upgrade connection: pod does not exist。
error: unable to upgrade connection: Unauthorized在k8s实现kubectl exec -it pod_ID sh出错解决
chang_rj的博客
03-30 1万+
在创建pod时,进入pod失败 kubectl exec -it nginx-deployment-d55b94fd-xcrtg sh 检查问题,一直找不到答案,通过logs发现,同样不能实现 查其原因,是kubelet的配置问题,这里修改node节点的kubelet.json配置, 在node中分别修改 vi /opt/kubernetes/cfg/kubelet.config -----...
K8S-安全(认证、授权、准入控制)
迷雾总会解
08-26 1742
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
RBAC授权
weixin_30312659的博客
02-09 225
给用户授予RBAC权限没有权限会报如下错误:执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy) [root@test4 ~]# kubectl exec -it http-test-dm2-6dbd7...
Kubernetes二进制部署CoreDNS遇到报错
Hard work results, technology is willing to dream
05-11 325
报错解决方案
2020-12-28
大宝剑博客分享
03-30 1345
[redisson-timer-4-1] <ERROR> {org.redisson.client.handler.PingConnectionHandler} - Unable to send PING command over channel: [id: 0x371d2faf, L:/11.2.14.73:63815 - R:/11.2.14.131:6379] org.redisson.client.RedisTimeoutException: Command execution tim
【RuoYi-Vue-Plus】问题笔记 07 - V3.5.0 Redisson 报错 Unable to send PING command over channel
MichelleChung的星球
09-29 1万+
解决 Redisson 报错:Unable to send PING command over channel。
[root@k8s-master ~]# kubectl exec -it nfs-client-provisioner-84f69b54c8-57q2q -- sh error: unable to upgrade connection: container not found ("nfs-client-provisioner")
最新发布
08-22
<think>我们正在解决用户的问题:kubectl exec 时出现错误 "unable to upgrade connection: container not found"(针对nfs-client-provisioner Pod) 这个错误通常表示kubectl exec命令无法连接到指定的容器。可能的原因包括: 1. 容器还未完全启动或已经终止 2. 容器名称不正确 3. Pod处于非运行状态(如CrashLoopBackOff) 4. 节点或网络问题 根据用户之前的上下文,我们注意到nfs-client-provisioner之前有日志显示连接API Server超时(i/o timeout),这可能是由于集群网络问题导致Pod无法正常工作,进而可能使容器状态异常。 解决步骤: 1. 检查Pod状态 首先确认Pod当前的状态,因为如果Pod处于非运行状态(如CrashLoopBackOff、Error等),则容器可能不存在或已经退出。 ```bash kubectl get pod nfs-client-provisioner-84f69b54c8-57q2q -o wide ``` 2. 查看Pod事件 通过describe命令查看Pod的事件,以了解是否有调度失败、镜像拉取失败、容器启动失败等问题。 ```bash kubectl describe pod nfs-client-provisioner-84f69b54c8-57q2q ``` 3. 检查容器名称 确保在exec命令中使用的容器名称是正确的。如果Pod中只有一个容器,则可以省略容器名;如果有多个容器,则必须使用`-c`参数指定容器名称。 查看Pod中的容器列表: ```bash kubectl get pod nfs-client-provisioner-84f69b54c8-57q2q -o jsonpath='{.spec.containers[*].name}' ``` 如果用户没有指定容器名称,而Pod中又包含多个容器,则必须指定容器名称。例如: ```bash kubectl exec -it nfs-client-provisioner-84f69b54c8-57q2q -c nfs-client-provisioner -- sh ``` 4. 检查Pod日志 查看Pod的日志,以确认容器是否已经启动并运行,或者是否有错误导致容器退出。 ```bash kubectl logs nfs-client-provisioner-84f69b54c8-57q2q ``` 注意:如果Pod中有多个容器,则需要通过`-c`指定容器名来查看日志。 5. 检查节点状态 如果Pod所在节点出现问题(如NotReady),则可能导致无法连接。 ```bash kubectl get nodes ``` 6. 等待Pod启动 如果Pod正在启动中(如状态为ContainerCreating),则等待一段时间再尝试。 7. 重启Pod 如果Pod处于错误状态,可以尝试删除Pod,让控制器重新创建。 ```bash kubectl delete pod nfs-client-provisioner-84f69b54c8-57q2q ``` 8. 检查网络问题 如果之前有网络问题(如API Server无法连接),需要确保集群网络已经恢复正常。参考之前的网络排查步骤。 9. 检查kubelet日志 在Pod所在节点上,检查kubelet日志,看是否有相关错误。 ```bash journalctl -u kubelet -n 100 --no-pager ``` 注意:用户的问题中,之前nfs-client-provisioner的日志显示连接API Server超时,这可能是根本原因。如果网络问题没有解决,那么Pod可能无法正常工作,进而导致容器无法正常运行。 因此,在解决网络问题后,再尝试exec进入容器。 根据用户提供的引用[1],他们之前部署过dashboard,但引用内容与当前问题关联不大。引用[2]显示nfs安装成功,但可能是另一个nfs安装。 综合以上,我们建议用户按照上述步骤排查。 相关问题: 1. 如何解决Kubernetes中Pod的CrashLoopBackOff错误? 2. 如何诊断Kubernetes集群中的网络问题? 3. kubectl exec命令的使用方法有哪些? 4. 如何查看Kubernetes Pod的事件和日志? 5. 如何排查Kubernetes节点故障?</think>### 解决 `kubectl exec` 错误:`unable to upgrade connection: container not found` 当执行 `kubectl exec` 进入 nfs-client-provisioner Pod 时出现 **container not found** 错误,通常是由容器状态异常或 Pod 生命周期问题导致。以下是系统化的排查步骤: --- ### 1. 验证 Pod 状态 检查 Pod 是否处于可操作状态: ```bash kubectl get pod nfs-client-provisioner-84f69b54c8-57q2q -o wide ``` 重点关注: - **STATUS**:非 `Running` 状态(如 `CrashLoopBackOff`/`Error`)会导致容器不可访问 - **READY**:`0/1` 表示容器未就绪 - **AGE**:运行时间过短(<30秒)可能仍在初始化 --- ### 2. 检查容器状态 查看容器详细状态: ```bash kubectl describe pod nfs-client-provisioner-84f69b54c8-57q2q ``` 在输出中查找: ```markdown Containers: nfs-client-provisioner: Container ID: State: Waiting Reason: CrashLoopBackOff # 容器崩溃重启 Last State: Terminated Reason: Error # 退出原因 Exit Code: 1 # 非0退出码表示错误 ``` --- ### 3. 分析根本原因(常见场景) #### 场景1:容器持续崩溃(CrashLoopBackOff) 1. **检查日志**: ```bash kubectl logs nfs-client-provisioner-84f69b54c8-57q2q --previous # 查看前一次崩溃日志 ``` 2. **典型原因**: - 配置错误(如 NFS 服务器地址无效) - 权限问题(如 RBAC 授权不足) - 资源不足(OOMKilled) #### 场景2:容器已终止 1. **检查退出码**: ```bash kubectl get pod -o jsonpath='{.status.containerStatuses[0].lastState.terminated.exitCode}' ``` 2. **排查方向**: - `exitCode=137`:内存不足 - `exitCode=1`:应用启动错误 #### 场景3:容器未启动 1. **检查事件**: ```bash kubectl get events --field-selector involvedObject.name=nfs-client-provisioner-84f69b54c8-57q2q ``` 2. **常见问题**: - `Failed to pull image`:镜像拉取失败 - `Failed to create pod sandbox`:容器运行时错误 --- ### 4. 临时解决方法 #### 强制重建 Pod: ```bash kubectl delete pod nfs-client-provisioner-84f69b54c8-57q2q --force --grace-period=0 ``` 等待控制器自动重建新 Pod 后重试。 #### 检查 NFS 服务端: ```bash # 在 NFS 服务器验证共享 showmount -e <NFS_SERVER_IP> # 测试挂载 mount -t nfs <NFS_SERVER_IP>:/share /mnt/test ``` --- ### 5. 预防性配置建议 1. **增加存活探针**(在 Deployment 中): ```yaml livenessProbe: exec: command: ["ls", "/mnt/nfs"] # 验证挂载点 initialDelaySeconds: 30 periodSeconds: 10 ``` 2. **资源限制**: ```yaml resources: limits: memory: "256Mi" cpu: "500m" ``` 3. **RBAC 权限验证**: ```bash kubectl auth can-i create persistentvolumeclaims --as=system:serviceaccount:default:nfs-provisioner ``` --- ### 相关问题 1. 如何诊断 Kubernetes Pod 的 CrashLoopBackOff 错误? 2. 如何配置 NFS-Client-Provisioner 的持久化存储卷? 3. Kubernetes 容器退出码 137 和 1 分别代表什么错误? 4. 如何为 Kubernetes Pod 配置有效的存活探针? 5. Kubernetes RBAC 权限不足会导致哪些常见问题?[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

米利都

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值