helm list:无法在命名空间“kube-system”中列出configmaps

问题描述 投票:73回答:5

我在kubernetes 8集群上安装了helm 2.6.2。 helm init工作得很好。但是当我运行helm list时,它给出了这个错误。

 helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"

如何修复此RABC错误消息?

kubernetes kubernetes-helm
5个回答
186
投票

一旦这些命令:

kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'      
helm init --service-account tiller --upgrade

跑了,问题已经解决了。


29
投票

More Secure Answer

接受的答案提供对Helm的完全管理员访问权限,这不是最明智的安全解决方案。通过更多工作,我们可以限制Helm对特定命名空间的访问。更多细节在Helm documentation

$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

定义一个角色,允许Tiller像tiller-world一样管理role-tiller.yaml中的所有资源:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-manager
  namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

然后运行:

$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

rolebinding-tiller.yaml

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-binding
  namespace: tiller-world
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: tiller-world
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io

然后运行:

$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

之后,您可以运行helm inittiller-world命名空间中安装Tiller。

$ helm init --service-account tiller --tiller-namespace tiller-world

现在使用--tiller-namespace tiller-world为所有命令添加前缀或在环境变量中设置TILLER_NAMESPACE=tiller-world

More Future Proof Answer

停止使用Tiller。 Helm 3彻底消除了对Tiller的需求。如果您使用的是Helm 2,则可以使用helm template从Helm图表生成yaml,然后运行kubectl apply将对象应用于Kubernetes集群。

helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml

18
投票

Helm使用“默认”服务帐户运行。您应该为它提供权限。

对于只读权限:

kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system

对于管理员访问:例如:安装包。

kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default

3
投票

默认的serviceaccount没有API权限。可能需要为Helm分配一个服务帐户,并为该服务帐户授予API权限。请参阅RBAC文档以获取服务帐户的权限:https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions


0
投票
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

kubectl apply -f your-config-file-name.yaml

然后更新helm安装以使用服务帐户:

helm init --service-account tiller --upgrade

© www.soinside.com 2019 - 2024. All rights reserved.