kubectl exec 遇到 unable to upgrade connection Forbidden 的解决办法

最新推荐文章于 2024-08-29 18:04:11 发布
原创 最新推荐文章于 2024-08-29 18:04:11 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #kubectl #rbac #k8s

本文探讨了在Kubernetes集群中使用kubectl exec命令遇到的RBAC权限问题,详细分析了错误原因并提供了两种解决方案,一种是创建用户认证授权的kubeconfig文件,另一种是为system:anonymous用户绑定必要的权限。

通过 Kubernetes 进行业务部署时,经常需要登陆到 Pod 里面进行调试,这个时候可以用 kubectl exec 命令来登陆到 Pod 里面进行操作。比如使用这个命令:

```bash

kubectl exec 123456-7890 -c ruby-container -i -t -- bash

```

可以登陆到 Pod=123456-789, container=ruby-container。

由于我使用的 Kubernetes 集群启用了 RBAC, 执行 kubectl exec 返回了如下错误:

```bash

kubectl exec -it frontend-5l2hn bash

error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy)

```

## 分析问题

- 从返回的错误信息来看,应该是访问权限的问题,是 kubectl 执行权限问题?但是执行 kubectl get pods 等命令时又能正常返回。

    ```bash

    kubectl get pods

    NAME                                READY   STATUS    RESTARTS   AGE

    frontend-22hmh                      1/1     Running   0          73d

    frontend-4cpbk                      1/1     Running   0          73d

    frontend-5l2hn                      1/1     Running   0          73d

    redis-master-fpks7                  1/1     Running   1          74d

    redis-slave-44ltt                   1/1     Running   1          73d

    redis-slave-jm86r                   1/1     Running   1          73d

    ```  

    **原因**  

    使用 kubectl exec 命令时,会转到kubelet,需要对 apiserver 调用 kubelet API 的授权。所以跟 kubectl 的其他命令又些区别。  

## 解决办法

1. 解决办法1:

    为 kubectl 创建一个用于鉴权的用户信息,并存在 kubeconfig 中,然后使用 RoleBinding 绑定用户权限,这个方法比较复杂,可参考这边文章配置,[创建用户认证授权的kubeconfig文件](https://jimmysong.io/kubernetes-handbook/guide/kubectl-user-authentication-authorization.html)

2. 解决办法2:

    为 system:anonymous 临时绑定一个 cluster-admin 的权限

    ```bash

    kubectl create clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous

    ```

    这个权限放太松了。 可以只对 anonymous 用户绑定必要权限即可,修改为:

    ```bash

    kubectl create clusterrolebinding kube-apiserver:kubelet-apis --clusterrole=system:kubelet-api-admin --user=system:anonymous

    ```

Kubernetes安装系列之kubctl exec权限设定
知行合一 止于至善
04-01 5571
RBAC对于权限的控制更加方便,同时入门使用时需要了解的内容也进一步增多。这篇文章memo一下kubectl exec设定权限的方法。
kubenetes基本操作
Tilyp的博客
04-12 783
在用户认证等做完后无法运行 kubectl exec -it mysql-st2ch -- /bin/bash 报错如下: error: unable to upgrade connection: Forbidden (user=system:anonymous, verb=create, resource=nodes, subresource=proxy) 解决办法: [Tily...
error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub
Operational_0624的博客
02-16 1631
解决error: unable to upgrade connection: Forbidden (user=k8s-apiserver, verb=create, resource=nodes, sub 查看角色 kubectl getclusterrolebindings 为 k8s-apiserver临时绑定一个 cluster-admin 的权限执行这个即可 kubectl create clusterrolebinding k8s-apiserver --clusterrole...
[root@master ~]# kubectl logs myapp-pod -c main-container Main container is running! [root@master ~]# kubectl exec -it myapp-pod -c main-container -- /bin/bash error: unable to upgrade connection: container not found ("main-container")
05-15
好的,用户遇到了kubectl exec命令报错“container not found”的问题,需要帮助解决。首先,我需要回忆一下相关的Kubernetes知识,并结合提供的引用内容来寻找可能的解决方案。 根据用户提供的引用,特别是引用[4]...
83、 项目的发布和容器的重启策略
m0_74149099的博客
08-29 849
把服务器分为蓝组和绿组,先停其中的一部分,先停蓝组,绿组依然对外提供服务,等蓝组更新维护完毕,上线之后,再把绿组关闭维护,可以做业务更新和发布过程的对外服务不受影响。副本3个-----3个副本+测试版本(暂停点)-----测试版没问题,取消暂停--------1个正式,其余两个滚动。pod1-------1.12-----1.18–测试服—192.168.168.81:30000。pod2-------1.12-----1.18–正式服—192.168.168.81:31000。发布的策略比较复杂。
Kubeedge安装配置
qq_51382761的博客
04-16 4340
(全是踩过的坑,能踩的差不多踩了个遍,呜呜呜┭┮﹏┭┮)
k8serror: unable to upgrade connection: Unauthorized
weixin_45066823的博客
12-22 1283
我这里遇到的情况是,master节点的/etc/kubernetes/pki/apiserver-kubelet-client.crt 证书文件过期导致的无法验证的问题,将该证书更新后就恢复正常了。在执行kubectl exec命令时遇到了报错,所有的pod都无法exec进入。
error: unable to upgrade connection: pod does not exist 解决方案
shelutai的博客
01-27 3090
在vagrant 创建的VirtualBox 里部署了k8s , [root@master yaml]# kubectl get pods NAME READY STATUS RESTARTS AGE app-7bcbdd4dfd-l2xkv 0/1 CrashLoopBackOff 582 2d5h db-756759796-gfl8d 1/1 Run
error: unable to upgrade connection: pod does not exist
浮云
02-18 1169
error: unable to upgrade connection: pod does not exist。
error: unable to upgrade connection: Unauthorized在k8s实现kubectl exec -it pod_ID sh出错解决
热门推荐
chang_rj的博客
03-30 1万+
在创建pod时,进入pod失败 kubectl exec -it nginx-deployment-d55b94fd-xcrtg sh 检查问题,一直找不到答案,通过logs发现,同样不能实现 查其原因,是kubelet的配置问题,这里修改node节点的kubelet.json配置, 在node中分别修改 vi /opt/kubernetes/cfg/kubelet.config -----...
docker安装xxl-job连接数据库时显示无法连接问题
不忘的博客
09-11 2834
这些地址代表的都是容器内的系统,根本没有访问到宿主机,会一直报连接mysql/redis异常。在docker容器中,不同容器直接是相互隔离互不影响的,如果使用localhost、或者127.0.0.1是无法生效的。1、是否在同一服务器中操作的,不同服务器之间就不能直接使用局域网ip地址,需要使用公网ip进行访问连接数据库。或者使用:容器名加端口号的方式访问,例如我的mysql数据库的容器名是 n_mysql。3、检测防火墙是否放行相应的端口,不过都能访问后台地址了,不会是防火墙的问题。
K8S问题:执行kubectl create命令报禁止错误
hongweigg的专栏
10-26 864
问题: 执行kubectl create命令,报Error from server(Forbidden)… 解决: Export KUBECONFIG=/etc/kubernetes/admin.conf 或 拷贝/etc/kubernetes/admin.conf 至当前用户目录下的.kube文件夹,拷贝后的新文件名config。
Kubernetes二进制部署CoreDNS遇到报错
Hard work results, technology is willing to dream
05-11 329
报错解决方案
unable to upgrade connection: container not found
喝醉酒的小白
02-19 1453
https://appdividend.com/2023/01/08/error-unable-to-upgrade-connection-container-not-found/
kubernetes k8s 最新版(1.13)二进制搭建
左魏
01-18 1928
                                            强大自己是唯一获得幸福的途径,这是长远的,而非当下的玩乐! 本次环境: 环境 版本 操作系统 Centos7.4 docker 18.09-ce kubernetes 1.13 etcd 3.3.11 主机: 服务 IP 组件 k8s-ma...
[root@k8s-master01 ~/public-k8s]#kubectl exec -it tomcat-demo bash kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead. error: unable to upgrade connection: container not found ("tomcat")
最新发布
08-05
### 问题分析 在使用 `kubectl exec` 命令进入容器时,出现 `error: container not found: tomcat` 错误,通常表示指定的容器名称不在目标 Pod 中。Kubernetes 的 Pod 可能包含多个容器,如果未明确指定容器名称,`kubectl exec` 会尝试进入第一个容器;如果 Pod 中没有名为 `tomcat` 的容器,则会报错。 ### 解决方法 1. **确认 Pod 中的容器名称** 使用以下命令查看 Pod 的详细信息,以确定容器名称: ```bash kubectl describe pod <pod-name> ``` 在输出中查找 `Containers` 部分,确认容器的名称和镜像信息。 2. **执行 `kubectl exec` 命令** 如果 Pod 中包含多个容器,必须使用 `-c` 参数指定容器名称。例如,若容器名称为 `my-container`,则执行以下命令: ```bash kubectl exec -it <pod-name> -c my-container -- /bin/sh ``` 如果容器中没有 `/bin/sh`,可以尝试使用 `/bin/bash` 或其他可用的 shell。 3. **验证 Pod 状态** 确保 Pod 处于 `Running` 状态,否则无法执行 `exec` 操作: ```bash kubectl get pods ``` 4. **检查容器是否启动成功** 如果容器在启动过程中失败,可能会导致 `exec` 命令无法执行。可以使用以下命令查看容器日志: ```bash kubectl logs <pod-name> -c <container-name> ``` 5. **创建 Pod 时定义容器名称** 在创建 Pod 时,可以通过 YAML 文件定义容器名称,确保后续执行 `exec` 命令时能够正确识别容器。例如: ```yaml apiVersion: v1 kind: Pod metadata: name: tomcat-pod spec: containers: - name: tomcat-container image: tomcat:9.0 ports: - containerPort: 8080 ``` 创建 Pod 后,使用以下命令进入容器: ```bash kubectl exec -it tomcat-pod -c tomcat-container -- /bin/bash ``` ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值