在HA kubernetes集群中挂载默认令牌时返回forbidden

问题描述 投票:0回答:2

我在kubernetes中安装默认令牌时遇到问题它不再适用于我,我想在Github上创建问题之前直接询问,所以我的设置基本上是一个手动部署的ET裸机群(包括证书ca) ,键)。部署运行节点注册,我只是不能部署pods,总是给出错误:

MountVolume.SetUp failed for volume "default-token-ddj5s" : secrets "default-token-ddj5s" is forbidden: User "system:node:tweak-node-1" cannot get secrets in the namespace "default": no path found to object

tweak-node-1是我的节点名称和主机名之一,我发现了一些类似的问题: - https://github.com/kubernetes/kubernetes/issues/18239 - https://github.com/kubernetes/kubernetes/issues/25828

但是没有一个接近修复我的问题因为问题不一样。我在尝试运行pod时只使用默认名称空间并尝试设置两个RBAC ABAC,两者都给出了相同的结果,这是我用于部署显示版本的模板etcd配置:

apiVersion: kubeadm.k8s.io/v1alpha1
kind: MasterConfiguration
api:
advertiseAddress: IP1
bindPort: 6443
authorizationMode: ABAC
kubernetesVersion: 1.8.5
etcd:
endpoints:
- https://IP1:2379
- https://IP2:2379
- https://IP3:2379

caFile: /opt/cfg/etcd/pki/etcd-ca.crt
certFile: /opt/cfg/etcd/pki/etcd.crt
keyFile: /opt/cfg/etcd/pki/etcd.key
dataDir: /var/lib/etcd
etcdVersion: v3.2.9
networking:
podSubnet: 10.244.0.0/16
apiServerCertSANs:
- IP1
- IP2
- IP3
- DNS-NAME1
- DNS-NAME2
- DNS-NAME3
kubernetes kubernetes-security
2个回答
0
投票

您的节点必须使用与其Node API对象名称匹配的凭据,如https://kubernetes.io/docs/admin/authorization/node/#overview中所述

为了获得Node授权者的授权,kubelet必须使用一个凭证来识别它们在系统:nodes组中,用户名为system:node:。该组和用户名格式与为每个kubelet创建的标识匹配,作为kubelet TLS引导的一部分。


0
投票

更新

所以具体的解决方案,问题是因为我使用的是1.8.x版并且手动复制证书和密钥,每个kubelet都没有自己的系统:节点绑定或https://kubernetes.io/docs/admin/authorization/node/#overview中指定的特定密钥:

RBAC节点权限在1.8中,根本不会创建绑定。

使用RBAC时,将继续创建系统:节点集群角色,以便与将其他用户或组绑定到该角色的部署方法兼容。

我用两种方法修复:

1 - 使用kubeadm join而不是从master1复制/ etc / kubernetes文件

2 - 在部署之后修补clusterrolebinding for system:node

kubectl patch clusterrolebinding system:node -p '{"apiVersion": 
"rbac.authorization.k8s.io/v1beta1","kind": 
"ClusterRoleBinding","metadata": {"name": "system:node"},"subjects": 
[{"kind": "Group","name": "system:nodes"}]}'
© www.soinside.com 2019 - 2024. All rights reserved.