kubespray предупреждение о запрещении всплывающих окон

Question

kubespray предупреждение о запрещении всплывающих окон

Я пытаюсь настроить новый кластер kubernetes на одном компьютере с помощью kubespray (commit 7e84de2ae116f624b570eadc28022e924bd273bc).

После запуска playbook (на новой Ubuntu 16.04) я открываю панель управления и вижу всплывающие окна с предупреждением:

- configmaps is forbidden: User "system:serviceaccount:default:default" cannot list configmaps in the namespace "default"
- persistentvolumeclaims is forbidden: User "system:serviceaccount:default:default" cannot list persistentvolumeclaims in the namespace "default"
- secrets is forbidden: User "system:serviceaccount:default:default" cannot list secrets in the namespace "default"
- services is forbidden: User "system:serviceaccount:default:default" cannot list services in the namespace "default"
- ingresses.extensions is forbidden: User "system:serviceaccount:default:default" cannot list ingresses.extensions in the namespace "default"
- daemonsets.apps is forbidden: User "system:serviceaccount:default:default" cannot list daemonsets.apps in the namespace "default"
- pods is forbidden: User "system:serviceaccount:default:default" cannot list pods in the namespace "default"
- events is forbidden: User "system:serviceaccount:default:default" cannot list events in the namespace "default"
- deployments.apps is forbidden: User "system:serviceaccount:default:default" cannot list deployments.apps in the namespace "default"
- replicasets.apps is forbidden: User "system:serviceaccount:default:default" cannot list replicasets.apps in the namespace "default"
- jobs.batch is forbidden: User "system:serviceaccount:default:default" cannot list jobs.batch in the namespace "default"
- cronjobs.batch is forbidden: User "system:serviceaccount:default:default" cannot list cronjobs.batch in the namespace "default"
- replicationcontrollers is forbidden: User "system:serviceaccount:default:default" cannot list replicationcontrollers in the namespace "default"
- statefulsets.apps is forbidden: User "system:serviceaccount:default:default" cannot list statefulsets.apps in the namespace "default"

Команды kubectl кажутся хорошими (прокси работает, перечисляет модули и т. Д., Не возвращает ошибок, /api достижимо), однако, приборная панель, кажется, не в состоянии извлечь любую полезную информацию. Как мне отладить это?

2

kubernetes kubespray

Источник

user1327651 23 окт '18 в 17:33

2 ответа

Другие вопросы по тегам kubernetes kubespray

user1327651 23 окт '18 в 18:27 2018-10-23 18:27 · Answer 1 · 2018-10-23 18:27

kubectl create clusterrolebinding default-admin --clusterrole cluster-admin --serviceaccount=default:default

кажется, делает свое дело - хотя я бы приветствовал объяснение. (Это упущение в kubespray? Мне нужно установить переменную там? Это связано с RBAC?)

7

Источник

user1327651 23 окт '18 в 18:27

user4550110 23 окт '18 в 18:32 2018-10-23 18:32 · Answer 2 · 2018-10-23 18:32

Модуль панели мониторинга работает с учетной записью службы по умолчанию, и эта учетная запись по умолчанию не имеет разрешений. Вы можете увидеть маркер учетной записи службы по умолчанию в модуле панели мониторинга:

kubectl exec -it <dashboard-pod> bash
ls -al /var/run/secrets/kubernetes.io/serviceaccount

Команда, которую вы запускаете в своем ответе, устанавливает необходимые разрешения для учетной записи службы по умолчанию, используемой модулем панели мониторинга.