User “system:serviceaccount:xxxx:default“ cannot get resource “namespaces“ in API group ““

最新推荐文章于 2025-03-17 23:30:46 发布
原创 最新推荐文章于 2025-03-17 23:30:46 发布 · 3.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

博客详细介绍了在Kubernetes中遇到的权限问题,即默认用户无法在'kube-system'命名空间下获取'monitoring'命名空间资源。解决方案包括创建新的ServiceAccount 'tiller',并配置ClusterRoleBinding赋予cluster-admin权限,然后通过kubectl命令更新tiller-deploy的ServiceAccount以避免错误。此方法有助于管理Kubernetes集群中的权限控制。

namespaces “monitoring” is forbidden: User “system:serviceaccount:kube-system:default” cannot get resource “namespaces” in API group “” in the namespace “monitoring”
这里大概是说,使用 kube-system 命名空间下的default用户进行资源操作但是default 用户没有权限
解决方案如下:
创建一个 tillerServiceAccount.yaml,并使用 kubectl apply -f tillerServiceAccount.yaml 创建账号解角色,其中kube-system就是xxxx就是你的命名空间

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

重点:kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}' 使用这个命令修改你的默认调用账号为刚创建的 tiller 账号,否则依然会报错。

qq_37928045
关注
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3973
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
KubeSphere+DevOps部署遇到的坑 Usersystem:serviceaccount:kubesphere-devops-worker:defaultcannot get res
hcw52592的博客
01-24 7649
环境说明: kubernetes v1.21.5 kubesphere v3.2.1 KubeSphere+DevOps构建和部署 Maven 项目流程(官方推荐): 构建和部署 Maven 项目 下面记录一下本人遇到的问题: 如图,主要问题是出现在流水线第五步:将镜像自动部署到k8s集群 报错如上图: + envsubst + kubectl apply -f - Error from server (Forbidden): error when retrieving curre.
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7879
报错: namespaces is forbidden: Usersystem:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resourcenamespacesin API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
k8s搭建dashboard权限问题:forbidden “default
ChampionDong的博客
09-24 2103
起因: kubeadm手动部署dashboard问题,记录一下 网页端错误如下: forbidden: User "system:anonymous" cannot get resource "pods" in API group "" in the namespace "default" 需要新增用户和权限 创建: vi admin-user.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace
Usersystem:serviceaccount:xxx:defaultcannot get resource “endpoints“ in API group ““问题解决
热门推荐
小末的博客
11-27 1万+
一、报错信息描述 错误信息: Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namesp
已解决——cannot get resource ‘pods‘ in API group ‘‘ in the namespace ‘namespace-name‘ (K8s)问题
GoCloudNative - 云原生技术的探索者。
10-04 2131
您好,云原生的探险者们!猫头虎博主🐯在这里带来了一则关于Kubernetes的探讨——那就是面临的问题时,我们应该怎样挑战并且解决它呢?🚀在云原生领域中,我们经常会遇到Kubernetes的权限和资源管理问题。不过,不要担心,我们将一起深入研究这个问题的原因,解决方法,以及预防措施。🛡️在这次的探讨中,我们不仅解决了这个问题,还进一步了解了Kubernetes的权限和资源管理机制。🌈 这些知识和经验将成为我们云原生之旅中的宝贵财富,帮助我们在未来更好地应对挑战!🚀。
K8S快速部署
weixin_43752106的博客
03-17 959
确保能够访问到 quay.io 这个 registery。如果 Pod 镜像下载失败,可以改这个镜像地址。这里尤其需要注意,K8S把POD分配在了哪个节点,我这里是master,那就必须在master pull。执行完后正常应该是都ready了,然后docker ps集群的各个节点也会多出很多k8s相关容器。换成镜像源或者添加对应的ip,这个网上有相应教程,搜这个网址的关键词就行。这条指令执行完后会自动部署k8s的容器,执行完成后会有。集群中的任一节点ip都能访问pod。这个我没加后面也能跑。
Docker学习(五)-Kubernetes 集群搭建 - Spring Boot 应用
释迦苦僧的专栏
02-04 1191
kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。
SpringCloud2021.0.2使用k8s作为注册中心
qq_43278717的博客
05-17 3891
介绍 springCloud使用k8s作为注册中心,实现服务的发现和注册。 本文使用Provider和Comsumer两个服务 官网:https://docs.spring.io/spring-cloud-kubernetes/docs/2.1.0-M3/reference/html/#starters 版本 springBoot:2.6.7 springCloud:2021.0.2 源码 https://gitee.com/wfh_fly/springcloud-k8s Provider 主要依赖 dep
最完整,最详细的离线部署kubernetes
唐唐的专栏
02-05 1669
连接本机的8080端口被拒绝了,需要修改配置文件/etc/kubernetes/manifests/kube-apiserver.yaml,将- --insecure-port=0修改为- --insecure-port=8080,然后重启kubelet服务。为节点添加角色,将3个节点都加进去后,如果此时保存退出,相同的主体添加了多个条目,则最后添加的主体会把前面主体覆盖,所以我们编辑好后,把文件拷贝出来,直接退出,新建一个文件,例如node-cluster-admin-binding.yaml。
"system:serviceaccount:rook-ceph-system:rook-ceph-system" cannot get pods/log in the namespace "rook...
weixin_30853329的博客
11-14 441
1.kubectl logs -f rook-ceph-operator-86776bbc44-cv5hs -n rook-ceph-system 日志:E | op-cluster: unknown ceph major version. failed to get version job log to detect version. failed to read from strea...
【错误解决】kubectl权限不够,报错:Userkubernetescannot create resourceclusterrolebindingsin API group “rb
weixin_42072280的博客
03-11 9746
错误: kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes --clusterrole=cluster-admin --user=kubernetes 报错信息: error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern
serviceaccounts is forbidden: Usersystem:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 4220
错误信息 serviceaccounts is forbidden: Usersystem:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resourceserviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
KubeSphere+DevOps部署到K8S问题
huangh0914的博客
02-29 1173
按照KubeSphere官方文档使用jenkinsfile部署流水线时遇到关于权限的问题
system:serviceaccount:kube-ops:jenkins“ cannot list resource “pods“ in API group ““ in the namespace
qq_48349180的博客
10-17 1873
在我们使用k8s部署jenkins访问jenkins进行连接k8s集群时报错,这个问题是在2021年11月到至今博主又遇到此问题,发现竟是部署jenins的yaml文件中clusterrolebinding中的serviceaccount中的namespace写错了导致的,需在clusterrolebinding填写serviceaccount创建时的namespace。文章简短希望能给大家带来实用性的文档。
helm install Error: no available release name found的解决方法
guizaijianchic的博客
05-11 3864
sudo kubectl --namespace=kube-system edit deployment/tiller-deploy 将automountServiceAccountToken修改为:true 保存退出即可 另外参考《每天5分钟玩转 Kubernetes》,可以尝试下面的方法 kubectl create serviceaccount --namespace kub...
K8S - 各节点的kube-flannel-ds-amd64-xxxxx不能正常启动的问题
crabdave的博客
04-29 1339
- pods "kube-flannel-ds-amd64-xxxxx" is forbidden: User "system:serviceaccount:kube-system:flannel" cannot get resource "pods" in API group "" in the namespace "kube-system"
User "system:node:k8s-master" cannot list resource "namespaces" in API group "" at the cluster scope
最新发布
03-28
<think>好的,我现在需要解决用户提到的Kubernetes权限问题:“k8s master node cannot list namespaces api group rbac permission error”。首先,我得理解这个错误的原因。用户可能在执行类似`kubectl get namespaces`时遇到了权限拒绝的问题,提示无法列出命名空间资源。这通常与RBAC配置有关,用户的服务账户或角色没有相应的权限。 根据用户提供的引用内容,用户smoke需要在applications命名空间中有创建和删除Pods、Deployments和StatefulSets的权限,并且在除kube-system外的所有命名空间有查看权限。但当前可能缺少对namespaces资源的访问权限。 首先,Kubernetes中的namespaces资源属于集群范围的资源,其API组是核心API组(空字符串)。因此,正确的权限应该包括在rbac的规则中指定资源为namespaces,并赋予相应的verbs,如list、get等。 接下来,用户可能需要检查现有的ClusterRole或Role是否授予了这些权限。例如,默认的view ClusterRole通常不包括对namespaces的访问权限,所以需要自定义Role或ClusterRole。 解决方案可能包括创建一个新的ClusterRole,允许列出和获取namespaces,然后将这个ClusterRole绑定到用户smoke。但根据用户需求,smoke不需要在kube-system中有权限,所以可能需要使用RoleBinding在特定命名空间,或者使用ClusterRoleBinding但结合资源过滤。不过namespaces是集群级别的资源,所以必须使用ClusterRole和ClusterRoleBinding。 需要确保ClusterRole包含以下规则: - apiGroups: [""] resources: ["namespaces"] verbs: ["list", "get"] 然后通过ClusterRoleBinding将这一ClusterRole绑定到用户smoke。但根据引用中的要求,用户smoke在kube-system中不应有查看权限。然而,namespaces是集群范围的资源,无法按命名空间限制访问。因此,如果用户需要列出所有命名空间,但无法排除kube-system,可能需要其他方法,比如在应用层进行过滤,或者调整权限策略。但根据问题描述,用户可能只是需要基本的list权限,而现有的权限配置缺少这一点。 此外,验证权限是否正确,可以使用`kubectl auth can-i list namespaces --as smoke`来测试。 综上,解决方案步骤可能包括创建ClusterRole,绑定到用户,并验证权限。同时要注意用户在其他命名空间的view权限是否正确,可能需要结合多个角色绑定。</think>### Kubernetes权限问题解决方案:无法列出命名空间(cannot list resource namespaces) #### 1. 问题分析 错误`cannot list resource namespaces`表明当前用户(如示例中的`smoke`)缺少对`namespaces`资源的访问权限。在Kubernetes中,`namespaces`属于集群级资源,其API组为空字符串(核心API组),需要显式配置RBAC规则[^1]。 #### 2. 解决方案步骤 **步骤1:创建自定义ClusterRole** 创建允许访问`namespaces`的ClusterRole: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: namespace-viewer rules: - apiGroups: [""] resources: ["namespaces"] verbs: ["list", "get"] # 授予列出和读取命名空间的权限 ``` **步骤2:绑定权限到用户** 通过ClusterRoleBinding将权限授予用户`smoke`: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: smoke-namespace-access subjects: - kind: User name: smoke apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: namespace-viewer apiGroup: rbac.authorization.k8s.io ``` **步骤3:验证权限** ```bash kubectl auth can-i list namespaces --as smoke # 预期输出应为"yes" kubectl auth can-i get namespaces --as smoke # 预期输出应为"yes" ``` #### 3. 补充说明 - **与其他权限的兼容性**:用户`smoke`在`applications`命名空间中的操作权限(如创建Pod)需通过单独的RoleBinding实现[^1]。 - **kube-system限制**:由于`namespaces`是集群级资源,无法直接排除对`kube-system`的访问。若需隐藏敏感命名空间,建议使用策略引擎(如OPA Gatekeeper)或自定义API拦截逻辑。 #### 4. 完整权限配置示例 ```yaml # 1. 授予命名空间访问权限 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: namespace-viewer rules: - apiGroups: [""] resources: ["namespaces"] verbs: ["list", "get"] # 2. 绑定到用户 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: smoke-namespace-access subjects: - kind: User name: smoke apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: namespace-viewer apiGroup: rbac.authorization.k8s.io # 3. 原有applications命名空间权限(引用[1]内容) apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: applications name: app-admin rules: - apiGroups: ["", "apps"] resources: ["pods", "deployments", "statefulsets"] verbs: ["create", "delete", "get", "list", "update"] # 4. 全局view权限(排除kube-systemapiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: smoke-global-view subjects: - kind: User name: smoke apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: view apiGroup: rbac.authorization.k8s.io --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: deny-kube-system-view namespace: kube-system subjects: - kind: User name: smoke apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: view apiGroup: rbac.authorization.k8s.io # 通过设置空verbs实现权限排除 rules: [] # 关键配置:覆盖原有view权限 ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值