înregistrare Logare
Puncte:0
avatar Server

Pod rulează kubectl încercând să ajungă la un cluster extern

drapel cn
brgsousa

Folosesc un pod (imagine bitnami/kubectl) într-un cluster kubernetes (clusterA), dar kubeconfig este setat să indice un alt cluster (clusterB).

Utilizarea locală a kubernetes 1.21.7 (pe VM) instalată prin kubeadm.

kubeconfig folosit:

apiVersion: v1
fel: Config
clustere:
- nume: implicit-cluster
  cluster:
    date-autoritatea-de-certificat: XXXXXXXXXXXXXXXXXXXXXX
    server: https://clusterB:6443
contexte:
- nume: implicit-context
  context:
    cluster: cluster-implicit
    spatiu de nume: implicit
    utilizator: utilizator implicit
contextul curent: contextul implicit
utilizatori:
- nume: utilizator implicit
  utilizator:
    jeton: YYYYYYYYYYYYYYYYYYYYYY

Dar chiar dacă kubeconfig este corect, clusterA nu permite cererii să părăsească clusterA pentru a ajunge la clusterB. Se pare că planul de control kubernetes din clusterA interpretează cererea pod kubectl ca și cum ar încerca să controleze clusterA în sine, dar nu asta încerc să fac. În schimb, încerc să ajung la clusterB (definit în „server” în kubeconfig).

Aceasta este eroarea când rulează kubectl:

Eroare de la server (interzis): eroare la preluarea configurației curente a:
Resursa: "/v1, Resource=secrets", GroupVersionKind: "/v1, Kind=Secret"
Nume: „mysecret”, spațiu de nume: „istio-system”
de la server pentru: „STDIN”: secretele „mysecret” este interzis: utilizatorul „system:serviceaccount:mynamespace:default” nu poate obține resursa „secrete” în grupul API „” în spațiul de nume „istio-system”

EDITAȚI | ×: Folosesc kubectl setarea unui kubeconfig personalizat:

# kubectl --kubeconfig=/etc/custom.kubeconfig cluster-info
Pentru a depana și a diagnostica în continuare problemele clusterului, utilizați „kubectl cluster-info dump”.
Eroare de la server (interzis): serviciile sunt interzise: utilizatorul „system:serviceaccount:mynamespace:default” nu poate enumera resursele „services” din grupul API „” în spațiul de nume „kube-system”

# server grep /etc/letsencrypt/custom.kubeconfig
server: https://clusterB:6443

EDIT2:

# kubectl --kubeconfig=/etc/custom.kubeconfig cluster-info dump
Eroare de la server (interzis): nodurile sunt interzise: utilizatorul „system:serviceaccount:cadeado--producao:default” nu poate lista resursele „noduri” în grupul API „” în domeniul clusterului
97
0 + 0
Mikołaj Głodziak avatar
drapel id
Mikołaj Głodziak
Ce versiune de Kubernetes ați folosit și cum ați configurat clusterul? Ați folosit instalație bare metal sau vreun furnizor de cloud? Este important să vă reproduceți problema.
0
Răspunde
drapel cn
brgsousa
Utilizarea locală a kubernetes 1.21.7 (pe VM) instalată prin kubeadm.
0
Răspunde
Mikołaj Głodziak avatar
drapel id
Mikołaj Głodziak
Ați încercat să rulați această comandă: `kubectl cluster-info dump`? Ai putea lipi rezultatele la întrebare?
0
Răspunde
drapel cn
brgsousa
Am adăugat o a doua editare
0
Răspunde
Mikołaj Głodziak avatar
drapel id
Mikołaj Głodziak
Vă rugăm să vedeți [această problemă similară](https://stackoverflow.com/questions/69535118/user-systemserviceaccountdefaultflink-cannot-list-resource-nodes-in-api-g). Este legat de un alt produs, dar în răspuns veți obține informații despre ce ar trebui să verificați și cum vă puteți repara problema. Vă rog să-mi spuneți dacă a fost de ajutor.
0
Răspunde
drapel cn
brgsousa
Cam. Problema din acea postare este în același cluster. Ceea ce încerc să fac aici este un acces „încrucișat”. Podul din clusterul A încearcă să acceseze clusterul B
0
Răspunde
Mikołaj Głodziak avatar
drapel id
Mikołaj Głodziak
Mai am o [problemă similară](https://stackoverflow.com/questions/67151953/forbidden-resource-in-api-group-at-the-cluster-scope) cu a ta. Dacă nu va fi de ajutor, rulați comanda `kubectl auth can-i list nodes ` (similar cu comanda de la întrebarea legată) și lipiți aici rezultatele.
0
Răspunde
Puncte:0
gayan ranasinghe avatar Server
drapel us
gayan ranasinghe

După ce a emis următoarele de la pod:

kubectl cluster-info

ce obții?

Se pare că problema pe care o aveți este legată de accesul utilizatorului, trebuie să furnizați
utilizator implicit cu drepturi RBAC corespunzătoare.

0 + 0
drapel cn
brgsousa
Am primit această eroare: pentru a depana și a diagnostica în continuare problemele clusterului, utilizați „kubectl cluster-info dump”. Eroare de la server (interzis): serviciile sunt interzise: utilizatorul „system:serviceaccount:mynamespace:default” nu poate enumera resursele „services” din grupul API „” în spațiul de nume „kube-system”
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.