Tham gia Đăng nhập
Điểm:0
avatar Server

Pod đang chạy kubectl đang cố truy cập cụm bên ngoài

lá cờ cn
brgsousa

Tôi đang sử dụng một nhóm (bitnami/kubectl hình ảnh) trong cụm kubernetes (cụmA) nhưng kubeconfig được đặt để trỏ đến một cụm khác (cụmB).

Sử dụng tại chỗ kubernetes 1.21.7 (trên máy ảo) được cài đặt qua kubeadm.

kubeconfig đã sử dụng:

phiên bản api: v1
loại: Cấu hình
cụm:
- tên: cụm mặc định
  cụm:
    chứng chỉ-tổ chức-dữ liệu: XXXXXXXXXXXXXXXXXXXXX
    máy chủ: https://clusterB:6443
bối cảnh:
- tên: bối cảnh mặc định
  bối cảnh:
    cụm: cụm mặc định
    không gian tên: mặc định
    người dùng: người dùng mặc định
bối cảnh hiện tại: bối cảnh mặc định
người dùng:
- tên: người dùng mặc định
  người dùng:
    mã thông báo: YYYYYYYYYYYYYYYYYYYYYY

Nhưng ngay cả khi kubeconfig đúng, clusterA không cho phép yêu cầu rời khỏi clusterA để đến clusterB. Có vẻ như mặt phẳng điều khiển kubernetes trong clusterA diễn giải yêu cầu pod kubectl như thể nó đang cố gắng kiểm soát chính clusterA nhưng đó không phải là điều tôi đang cố gắng thực hiện. Thay vào đó, tôi đang cố truy cập clusterB (được xác định trong 'máy chủ' trong kubeconfig).

Đây là lỗi khi kubectl chạy:

Lỗi từ máy chủ (Bị cấm): lỗi khi truy xuất cấu hình hiện tại của:
Tài nguyên: "/v1, Tài nguyên=bí mật", GroupVersionKind: "/v1, Kind=Secret"
Tên: "mysecret", Không gian tên: "istio-system"
từ máy chủ cho: "STDIN": bí mật "mysecret" bị cấm: Người dùng "system:serviceaccount:mynamespace:default" không thể lấy tài nguyên "bí mật" trong nhóm API "" trong không gian tên "istio-system"

CHỈNH SỬA: Tôi đang sử dụng kubectl, cài đặt kubeconfig tùy chỉnh:

# kubectl --kubeconfig=/etc/custom.kubeconfig cluster-info
Để tiếp tục gỡ lỗi và chẩn đoán các vấn đề về cụm, hãy sử dụng 'kết xuất thông tin cụm kubectl'.
Lỗi từ máy chủ (Bị cấm): dịch vụ bị cấm: Người dùng "system:serviceaccount:mynamespace:default" không thể liệt kê tài nguyên "dịch vụ" trong nhóm API "" trong không gian tên "kube-system"

# máy chủ grep /etc/letsencrypt/custom.kubeconfig
máy chủ: https://clusterB:6443

CHỈNH SỬA2:

# kubectl --kubeconfig=/etc/custom.kubeconfig kết xuất thông tin cụm
Lỗi từ máy chủ (Bị cấm): các nút bị cấm: Người dùng "system:serviceaccount:cadeado--productao:default" không thể liệt kê các "nút" tài nguyên trong nhóm API "" ở phạm vi cụm
97
0 + 0
Mikołaj Głodziak avatar
lá cờ id
Mikołaj Głodziak
Bạn đã sử dụng phiên bản Kubernetes nào và bạn đã thiết lập cụm như thế nào? Bạn đã sử dụng cài đặt kim loại trần hoặc một số nhà cung cấp đám mây? Điều quan trọng là tái tạo vấn đề của bạn.
0
Hồi đáp
lá cờ cn
brgsousa
Sử dụng tại chỗ kubernetes 1.21.7 (trên máy ảo) được cài đặt qua kubeadm.
0
Hồi đáp
Mikołaj Głodziak avatar
lá cờ id
Mikołaj Głodziak
Bạn đã thử chạy lệnh này chưa: `kubectl cluster-info dump`? Bạn có thể dán kết quả vào câu hỏi không?
0
Hồi đáp
lá cờ cn
brgsousa
Tôi đã thêm một chỉnh sửa thứ hai
0
Hồi đáp
Mikołaj Głodziak avatar
lá cờ id
Mikołaj Głodziak
Vui lòng xem [vấn đề tương tự này](https://stackoverflow.com/questions/69535118/user-systemserviceaccountdefaultflink-cannot-list-resource-nodes-in-api-g). Nó liên quan đến một sản phẩm khác, nhưng trong câu trả lời, bạn sẽ nhận được thông tin về những gì bạn nên kiểm tra và cách bạn có thể khắc phục sự cố của mình. Xin vui lòng cho tôi biết nếu nó là hữu ích.
0
Hồi đáp
lá cờ cn
brgsousa
Loại. Sự cố trong bài đăng đó nằm trong cùng một cụm. Điều tôi đang cố gắng thực hiện ở đây là quyền truy cập "liên cụm". Nhóm trong cụm A đang cố truy cập cụm B
0
Hồi đáp
Mikołaj Głodziak avatar
lá cờ id
Mikołaj Głodziak
Tôi có thêm một [vấn đề tương tự](https://stackoverflow.com/questions/67151953/forbidden-resource-in-api-group-at-the-cluster-scope) cho bạn. Nếu nó không hữu ích, vui lòng chạy lệnh `kubectl auth can-i list nodes ` (tương tự như lệnh từ câu hỏi được liên kết) và dán kết quả vào đây.
0
Hồi đáp
Điểm:0
gayan ranasinghe avatar Server
lá cờ us
gayan ranasinghe

Sau khi phát hành như sau từ nhóm:

thông tin cụm kubectl

bạn được những gì?

Có vẻ như vấn đề bạn gặp phải liên quan đến quyền truy cập của người dùng, bạn cần cung cấp
người dùng mặc định có quyền RBAC thích hợp.

0 + 0
lá cờ cn
brgsousa
Đã xảy ra lỗi này: Để tiếp tục gỡ lỗi và chẩn đoán các sự cố cụm, hãy sử dụng 'kết xuất thông tin cụm kubectl'. Lỗi từ máy chủ (Bị cấm): dịch vụ bị cấm: Người dùng "system:serviceaccount:mynamespace:default" không thể liệt kê tài nguyên "dịch vụ" trong nhóm API "" trong không gian tên "kube-system"
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.