111 votes

sfgroups avatar

helm list: impossible de lister les cartes de configuration dans l'espace de noms "kube-system"

Demandé el 10 de Octobre, 2017
Quand la question a-t-elle été
35483 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai installé helm 2.6.2 sur le cluster kubernetes 8. helm init a bien travaillé. mais quand je lance helm list il donne cette erreur. 

  helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"

Comment réparer ce message d'erreur RABC?

Demandé el 10 de Octobre, 2017 par sfgroups

Réponses

Trop de publicités?

234voto

sfgroups avatar
sfgroups Points 692

Une fois ces commandes: 

 kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'      
helm init --service-account tiller --upgrade

ont été exécutés, le problème a été résolu.

Répondu el 11 de Octobre, 2017 par sfgroups (692 Points )

36voto

Rehan Saeed avatar
Rehan Saeed Points 125

Plus Sûr Répondre

La accepté de répondre donne le plein accès admin à la Barre de ce qui n'est pas la meilleure solution sage de la sécurité. Avec un peu plus de travail, nous pouvons restreindre l'Barre l'accès à un espace de nom particulier. Plus de détails dans la Barre de documentation.

$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

Définir un Rôle qui permet de Talle de gérer toutes les ressources en tiller-world comme en role-tiller.yaml:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-manager
  namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

Ensuite, exécutez:

$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

En rolebinding-tiller.yaml,

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-binding
  namespace: tiller-world
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: tiller-world
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io

Ensuite, exécutez:

$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

Ensuite, vous pouvez exécuter helm init installer Laboureur en la tiller-world d'espace de noms.

$ helm init --service-account tiller --tiller-namespace tiller-world

Maintenant préfixe toutes les commandes avec --tiller-namespace tiller-world ou un ensemble TILLER_NAMESPACE=tiller-world dans vos variables d'environnement.

Plus L'Avenir De Réponse

Arrêt à l'aide de la barre franche. Barre 3 supprime la nécessité pour Motoculteur complètement. Si vous êtes à l'aide de la Barre 2, vous pouvez utiliser helm template pour générer le fichier yaml à partir de votre Barre de graphique, puis exécutez kubectl apply d'appliquer les objets de votre Kubernetes cluster.

helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml
Répondu el 13 de Novembre, 2018 par Rehan Saeed (125 Points )

20voto

suresh Palemoni avatar
suresh Palemoni Points 373

Helm fonctionne avec un compte de service "par défaut". Vous devez lui donner des autorisations.

Pour les autorisations en lecture seule: 

 kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system

Pour un accès administrateur, par exemple: installer des packages. 

 kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default
Répondu el 16 de Juillet, 2018 par suresh Palemoni (373 Points )

4voto

Jordan Liggitt avatar
Jordan Liggitt Points 828

Le compte de service par défaut ne dispose pas d'autorisations d'API. Helm doit probablement se voir attribuer un compte de service, et ce compte de service dispose d'autorisations API. Consultez la documentation RBAC pour l'octroi d'autorisations aux comptes de service: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions

Répondu el 11 de Octobre, 2017 par Jordan Liggitt (828 Points )

0voto

Elieser Jose Pereira Reyes avatar
Elieser Jose Pereira Reyes Points 21 
 apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

kubectl apply -f your-config-file-name.yaml

puis mettez à jour instalation de la barre pour utiliser serviceAccount:

helm init --service-account tiller --upgrade

Répondu el 28 de Février, 2019 par Elieser Jose Pereira Reyes (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X