kubernetes:pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods”

最新推荐文章于 2025-05-02 17:02:35 发布
原创 最新推荐文章于 2025-05-02 17:02:35 发布
· 2.1w 阅读 · 16 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

背景:
在gitlib-ci 对接kubernetes的时候报错:

ERROR: Job failed (system failure): pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods” in API group “” in the namespace “dev”
在这里插入图片描述
原因:

k8s使用的RBAC权限访问控制,当前对namespace dev 没有操作权限
我在gitlab-ci.yml 文件里面 使用 --kubeconfig 带 kubeadm.conf 的admin权限管理文件去认证操作
一般存在于master节点的/root/.kube/config
kubectl --kubeconfig dev.conf -n dev get pod
我的集群使用的kubeadm安装的, 默认对每一个命名空间有一个默认的serviceaccount :default
在这里插入图片描述
如果在CI里面没有特别指定serviceaccount 那么将使用默认账户 system:serviceaccount:dev:default
最终的原因就是没有创建 对应 namespaces 的 集群角色绑定clusterrolebinding
解决办法:
执行一下命令,创建clusterrolebinding即可

kubectl create clusterrolebinding gitlab-cluster-admin --clusterrole=cluster-admin --group=system:serviceaccounts --namespace=dev

效果
在这里插入图片描述
附件:
gitlab-ci.yml

stages:
  - build
  - deploy
k8s-deploy:
  stage: deploy
  image: http://myharbor/kubectl:latest
  only:
    - ci-test
  script:
    -  kubectl --kubeconfig dev.conf -n dev  get pod 
  tags:
    - k8s-runner

runner配置文件config.toml

[runners.kubernetes]
    host = ""
    bearer_token_overwrite_allowed = false
    image = "docker:dind"
    namespace = "dev"
    namespace_overwrite_allowed = ""
    privileged = true
    pull_policy = "if-not-present"
    helper_image = "http://myharbor/cfss/gitlab-runner-helper:x86_64-ac2a293c"
    service_account_overwrite_allowed = ""
    pod_annotations_overwrite_allowed = ""

参考:
https://gist.github.com/Machy8/da45ed785b0a14ab625f9b2614b9829b

Kubernetes】 configmaps is forbidden User system:anonymous cannot list resource configmaps
九师兄
07-01 3733
1.背景 mac安装Kubernetes后登录报错 【Docker】Mac下Docker启动Kubernetes 给匿名用户授权即可解决,测试环境可用此快速解决 (base) lcc@lcc kubernetes$ kubectl create clusterrolebinding test:anonymous --clusterrole=cluster-admin --user=system:anonymous clusterrolebinding.rbac.authorization.k8s.io/.
Spark on Kubernetes提交测试任务失败报错:User "system:serviceaccount:default:default" cannot get resource "pods
merrily01的博客
11-06 8483
Spark On Kubernetes 通过cluster方式提交spark-submit example.jar包测试任务,driver-pod创建成功,任务失败,driver pod报错日志如下: External scheduler cannot be instantiated Caused by: io.fabric8.kubernetes.client.KubernetesClien...
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
热门推荐
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.youkuaiyun.com/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
KubernetesUser Account 与 Service Account 全面讲解
最新发布
weixin_43991457的博客
05-02 529
经验点说明1. 不建议直接用 default ServiceAccount容易出现过大权限问题,建议每个应用自己定义专属 ServiceAccount。2. User Account 统一接入 OIDC/LDAP方便企业内部统一认证管理,避免分散管理账号。3. CI/CD集成要用专用的 ServiceAccountUserAccount并且做到最小权限化(比如只允许 apply Deployment,不能删Namespace)。4. ServiceAccount token 轮换。
已解决——cannot get resourcepods‘ in API group ‘‘ in the namespace ‘namespace-name‘ (K8s)问题
GoCloudNative - 云原生技术的探索者。
10-04 1896
您好,云原生的探险者们!猫头虎博主🐯在这里带来了一则关于Kubernetes的探讨——那就是面临的问题时,我们应该怎样挑战并且解决它呢?🚀在云原生领域中,我们经常会遇到Kubernetes的权限和资源管理问题。不过,不要担心,我们将一起深入研究这个问题的原因,解决方法,以及预防措施。🛡️在这次的探讨中,我们不仅解决了这个问题,还进一步了解了Kubernetes的权限和资源管理机制。🌈 这些知识和经验将成为我们云原生之旅中的宝贵财富,帮助我们在未来更好地应对挑战!🚀。
# 《已解决——Error from server (Forbidden): pods ‘pod-name‘ is forbidden问题》
GoCloudNative - 云原生技术的探索者。
10-04 1627
大家好!欢迎回到猫头虎博主的小窝!🐯 在我们探索云原生技术的道路上,经常会遇到一些出乎意料的小挑战,比如今天要探讨的这个Kubernetes的权限问题——。🚀 权限问题常常让我们的工作陷入困境,但别担心,今天我们将一起深入挖掘这个问题背后的原因,并探索解决的方法,让我们的云原生之旅更加顺畅!⛵️虽然这个问题看起来有些棘手,但只要我们深入理解Kubernetes的RBAC机制,就能够轻松找到问题的根源,并制定出解决方案。🔍 在这个过程中,我们不仅解决了问题,还加深了我们对Kubernetes权限控制的理解。
猫头虎分享已解决Bug || Kubernetes权限管理之旅 Error from server (Forbidden): pods ‘pod-name‘ is forbidden: User ‘u
GoCloudNative - 云原生技术的探索者。
02-24 1475
嗨,云原生的朋友们!猫头虎博主今天带大家探索Kubernetes(K8s)的一个常见权限问题。遇到这样的报错,是不是感觉像走进了迷宫?别担心,跟着猫头虎,我们一起深入探究RBAC(Role-Based Access Control)、Service Account、Namespace等关键概念,解决这个Bug。现在,让我们像探险家一样,开始这趟神秘的技术之旅吧!通过深入了解和配置RBAC、Service Account及Namespace,我们成功解决了Kubernetes中的权限问题。
Usersystem:serviceaccount:xxx:defaultcannot get resource “endpoints“ in API group ““问题解决
小末的博客
11-27 1万+
一、报错信息描述 错误信息: Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namesp
Kubernetes prometheus services is forbidden: User \“system:serviceaccount:monitoring:prometheus-k8s\
u013584020的博客
05-15 905
forbidden: User \"system:serviceaccount:monitoring:prometheus-k8s
"message": "pods is forbidden: User \"system:serviceaccount:default:default\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
03-27
kubectl auth can-i list pods --as=system:serviceaccount:kube-system:kubernetes-dashboard -n default ``` 若返回结果为 yes 则表示成功授予权利[^3]。 --- ### 注意事项 即使调整了权限分配方案,请始终遵循...
Rancher入门到精通-2.0 forbidden: User "system:serviceaccount:efk-logging:filebeat" cannot get resource
隔壁老瓦的专栏
03-06 1411
2020-03-06T09:30:39.475Z INFO crawler/crawler.go:72 Loading Inputs: 1 2020/3/6 下午5:30:392020-03-06T09:30:39.475Z WARN [cfgwarn] docker/input.go:49 DEPRECATED: 'docker' input deprecated. Use 'co...
system:serviceaccount:kube-ops:jenkins“ cannot list resourcepods“ in API group ““ in the namespace
qq_48349180的博客
10-17 1825
在我们使用k8s部署jenkins访问jenkins进行连接k8s集群时报错,这个问题是在2021年11月到至今博主又遇到此问题,发现竟是部署jenins的yaml文件中clusterrolebinding中的serviceaccount中的namespace写错了导致的,需在clusterrolebinding填写serviceaccount创建时的namespace。文章简短希望能给大家带来实用性的文档。
spark on k8s报错:pods “spark-pi-4f2cd9772397764d-driver“ is forbidden: Usersystem:anonymous“
学亮编程手记
01-21 638
解决办法: #'指定集群中的匿名用户有管理员权限' [root@master ~]# kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous 参考链接: 在k8s中查看pod日志报错
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 6107
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
K8S - 各节点的kube-flannel-ds-amd64-xxxxx不能正常启动的问题
crabdave的博客
04-29 1240
- pods "kube-flannel-ds-amd64-xxxxx" is forbidden: User "system:serviceaccount:kube-system:flannel" cannot get resource "pods" in API group "" in the namespace "kube-system"
Kubernetes之(十五)身份认证,授权,准入控制
weixin_30273175的博客
04-12 837
目录 Kubernetes之(十五)身份认证,授权,准入控制 ServiceAccount 创建serviceaccount 自定义serviceaccount 自建证书和账号进行访问apiserver RBAC简介 Kuberne...
k8s部署的jenkins对接k8s集群
m0_55116875的博客
02-01 721
k8s部署的jenkins对接k8s集群
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7723
报错: namespaces is forbidden: Usersystem:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “namespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值