forbidden: User “system:serviceaccount:argo:default“ cannot patch resource “services“ in API group “

最新推荐文章于 2025-04-03 16:37:58 发布
最新推荐文章于 2025-04-03 16:37:58 发布
阅读量321 收藏 1
点赞数 1
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37362891/article/details/143885249
版权

解决方案

  1. 为 Argo 工作流的 ServiceAccount 授权访问 services 资源
    错误提示表明 Argo 的 ServiceAccount (system:serviceaccount:argo:default) 没有权限在 argo 命名空间下执行 patch 操作。你需要为该 ServiceAccount 授予适当的权限,允许其更新服务(services)。
    创建一个 Role 或 ClusterRole 来授予 Argo 的 default ServiceAccount 更新服务的权限。

创建一个名为 argo-service-account-role.yaml 的文件,内容如下:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: argo
  name: argo-service-account-role
rules:
  - apiGroups: [""]
    resources: ["services"]
    verbs: ["get", "list", "create", "update", "patch", "delete"]

然后,创建一个 RoleBinding 将该角色绑定到 argo 命名空间下的默认 ServiceAccount:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: argo-service-account-role-binding
  namespace: argo
subjects:
  - kind: ServiceAccount
    name: default
    namespace: argo
roleRef:
  kind: Role
  name: argo-service-account-role
  apiGroup: rbac.authorization.k8s.io

然后应用这些文件:

kubectl apply -f argo-service-account-role.yaml
kubectl apply -f argo-service-account-role-binding.yaml

这样,Argo 的默认 ServiceAccount 就有权限更新服务了。

检查 Argo Workflow 的权限(确保它有足够权限)

如果你依赖于 Argo Workflow 来管理资源,确保你在工作流中应用了正确的权限策略。如果有权限问题,可以通过以下步骤来排查和修复:

通过 kubectl auth can-i 来检查当前 ServiceAccount 是否具有所需的权限。

kubectl auth can-i patch services --as system:serviceaccount:argo:default -n argo

如果返回 no,说明权限不足,你需要按照上面的步骤为该 ServiceAccount 分配适当的 Role 或 ClusterRole。

it噩梦
关注
Spark on Kubernetes提交测试任务失败报错:User "system:serviceaccount:default:default" cannot get resource "pods
merrily01的博客
11-06 8452
Spark On Kubernetes 通过cluster方式提交spark-submit example.jar包测试任务,driver-pod创建成功,任务失败,driver pod报错日志如下: External scheduler cannot be instantiated Caused by: io.fabric8.kubernetes.client.KubernetesClien...
Rancher入门到精通-2.0 forbidden: User "system:serviceaccount:efk-logging:filebeat" cannot get resource
隔壁老瓦的专栏
03-06 1387
2020-03-06T09:30:39.475Z INFO crawler/crawler.go:72 Loading Inputs: 1 2020/3/6 下午5:30:392020-03-06T09:30:39.475Z WARN [cfgwarn] docker/input.go:49 DEPRECATED: 'docker' input deprecated. Use 'co...
Kubernetes基础:is forbidden: User YYY cannot list resource的RBAC问题对应
知行合一 止于至善
09-04 1万+
这篇文章memo一下一种常见的RBAC权限问题的判断和对应方法。
Usersystem:serviceaccount:xxx:defaultcannot get resource “endpoints“ in API group ““问题解决
小末的博客
11-27 1万+
一、报错信息描述 错误信息: Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namesp
RBAC 权限问题解决 io.argoproj.workflow.ApiException: Forbidden
陈锐的技术笔记
11-19 432
某个之前安装的环境使用argo进行任务提交时发现报错。
error looking up service account argo/workflow: serviceaccount “workflow“ not found
batman
11-17 797
错误信息 Usersystem:serviceaccount:argo:workflow” cannot patch resource “pods” in API group “” in the namespace “argo” 表示 workflow ServiceAccount 没有足够的权限去修改(patch)pods 资源。
K8S初级入门系列之十一-安全
恰恰虎的博客
07-23 926
metadata:创建完成后,查看详情可以看到 mountable secret和tokens都关联了一个名为my-servicesaccount-token-cz8kp的secret,我们查看其secret的详情Data====其data包含ca.crt,namespace,token密钥三部分,其中ca.crt即颁发的CA证书,namespace即命名空间,token文件中存放的密钥。这三部分的用途我们待会讲到。
SpringCloudKubernetesServiceAccount配置
qingdao666666的博客
08-22 1872
1、报错信息描述 错误信息: Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namespa
pipeline流水线无法部署yaml-system:serviceaccount:kube-ops:defaultcannot get resourceservicesin API g
qq_48349180的博客
10-20 2014
pipeline流水线无法部署yaml-"system:serviceaccount:kube-ops:default" cannot get resource "services" in API g
error initially creating leader election record: endpoints is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot create resource "endpoints" in API group "" in the namespace "default"
06-11
这个错误是因为 "system:serviceaccount:default:nfs-client-provisioner" 这个用户在 default 命名空间中没有创建 endpoints 资源的权限。要解决这个问题,你可以给这个用户赋予创建 endpoints 资源的权限,具体...
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.youkuaiyun.com/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
kubernetes:pods is forbidden: Usersystem:serviceaccount:dev:defaultcannot create resource “pods”
feiger的专栏
09-25 2万+
背景: 在gitlib-ci 对接kubernetes的时候报错: ERROR: Job failed (system failure): pods is forbidden: Usersystem:serviceaccount:dev:defaultcannot create resource “pods” in API group “” in the namespace “dev” ...
k8s实践14:dashboard部署访问用户权限一箩筐
weixin_34198453的博客
04-25 3493
1.准备配置文件 [root@k8s-master1 ~]# wget https://raw.githubusercontent.com/kubernetes/dashboard/master/aio/deploy/recommended/kubernetes-dashboard.yaml --2019-04-23 11:11:25-- https://raw.githubuserconten...
Kubernetes删除资源后持续terminating状态
weixin_33726943的博客
01-26 2900
Error from server (Forbidden): error when creating "/root/istio.yaml": configmaps "istio-galley-configuration" is forbidden: unable to create new content in namespace istio-system because it is being ...
Kubernetes踩坑(一): 部署问题记录
ywq935的博客
04-27 2万+
一、etcd服务启动后报错etcd cluster ID mismatch: 检车service配置cluster选项有无问题,若无问题,则可能是此前的etcd bootstrap加速启动缓存残留导致,坑爹的是rm -rf /var/lib/etcd/* 删除完了之后还是报错,必须 rm -rf /var/lib/etcd/才能彻底清除,删除完成后记得再创建该路径mkdir /...
Kubernetes1.13安装kubernetes-dashboard及遇到的坑
热门推荐
丿灬飞鱼的博客
12-11 2万+
Kubernetes1.13安装kubernetes-dashboardkubernetes-dashboard.yaml简介RBAC配置dashboard安装启动执行kubectl proxy命令直接通过apiserver访问最终解决方案该方案遇到的问题解决方案 kubernetes-dashboard.yaml简介 官网参考 官网推荐安装模式 kubectl create -f https:/...
AI智算-K8s如何利用IB RDMA网络加速大模型分布式训练
Kason_iWiki
04-03 62
在AI人工智能领域,大模型的微调是提升性能不可或缺的一环。通过结合InfiniBand RDMA网络的高速互联、Kubernetes的云原生容器化部署,以及智能算力调度平台,可以打造一个高效、灵活且可扩展的分布式训练环境。
K8s的资源管理
Hurry6的博客
04-02 488
kubernetes中,所有的内容都抽象为资源,用户需要通过操作资源来管理kuberneteskubernetes的本质上就是一个集群系统,用户可以在集群中部署各种服务,所谓的部署服务,其实就是在kubernetes集群中运行一个个的容器,并将指定的程序跑在容器中。kubernetes的最小管理单元是pod而不是容器,所以只能将容器放在Pod中,而kubernetes一般也不会直接管理Pod,而是通过Pod控制器来管理Pod的。Pod。
K8S学习之基础七十三:Istio简介和部署
最新发布
云上艺旅的博客
04-03 257
Istio简介部署
events is forbidden: User "system:serviceaccount:kube-system:service-controller" cannot list resource "events" in API group "" in the namespace "default"
06-09
kubectl create clusterrolebinding permissive-binding --clusterrole=cluster-admin --user=admin --user=kubelet --group=system:serviceaccounts ``` 3.等待几分钟,让权限更改生效。 4.重新运行您的操作,看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值