J'ai installé helm 2.6.2 sur le cluster kubernetes 8. helm inita bien fonctionné. mais quand je l'exécute helm listen donnant cette erreur.
helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"
Comment réparer ce message d'erreur RABC?
Réponses:
Une fois ces commandes:
kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'
helm init --service-account tiller --upgrade
ont été exécutés, le problème a été résolu.
The accepted answer gives full admin access to Helm which is not the best solution security wise(voir stackoverflow.com/a/53277281/2777965 ).
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'je reçoisError from server (NotFound): deployments.extensions "tiller-deploy" not found
La réponse acceptée donne un accès administrateur complet à Helm, ce qui n'est pas la meilleure solution en termes de sécurité. Avec un peu plus de travail, nous pouvons restreindre l'accès de Helm à un espace de noms particulier. Plus de détails dans la documentation Helm .
$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created
Définissez un rôle qui permet à Tiller de gérer toutes les ressources tiller-worldcomme dans role-tiller.yaml:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-manager
namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
Puis exécutez:
$ kubectl create -f role-tiller.yaml
role "tiller-manager" created
Dans rolebinding-tiller.yaml,
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-binding
namespace: tiller-world
subjects:
- kind: ServiceAccount
name: tiller
namespace: tiller-world
roleRef:
kind: Role
name: tiller-manager
apiGroup: rbac.authorization.k8s.io
Puis exécutez:
$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created
Ensuite, vous pouvez exécuter helm initpour installer Tiller dans l' tiller-worldespace de noms.
$ helm init --service-account tiller --tiller-namespace tiller-world
Maintenant, préfixez toutes les commandes avec --tiller-namespace tiller-worldou définies TILLER_NAMESPACE=tiller-worlddans vos variables d'environnement.
Arrêtez d'utiliser Tiller. Helm 3 supprime complètement le besoin de Tiller. Si vous utilisez Helm 2, vous pouvez utiliser helm templatepour générer le yaml à partir de votre graphique Helm, puis exécuter kubectl applypour appliquer les objets à votre cluster Kubernetes.
helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml
--tiller-namespace tiller-worldou définir TILLER_NAMESPACE=tiller-worlddans vos variables d'environnement.
Helm fonctionne avec le compte de service "par défaut". Vous devez lui fournir des autorisations.
Pour les autorisations en lecture seule:
kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system
Pour l'accès administrateur: Par exemple: pour installer des packages.
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default, puis couru, helm listje reçois toujoursError: configmaps is forbidden: User "system:serviceaccount:tiller:default" cannot list configmaps in the namespace "tiller": no RBAC policy matched
Le compte de service par défaut ne dispose pas des autorisations API. Helm doit probablement se voir attribuer un compte de service et ce compte de service doit disposer des autorisations API. Consultez la documentation RBAC pour accorder des autorisations aux comptes de service: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions
apiVersion: v1
kind: ServiceAccount
metadata:
name: tiller
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: tiller
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: tiller
namespace: kube-system
kubectl apply -f your-config-file-name.yaml
puis mettez à jour l'installation de barre pour utiliser serviceAccount:
helm init --service-account tiller --upgrade
J'ai eu cette erreur en essayant d'installer le motoculteur en mode hors ligne, je pensais que le compte de service `` timon '' n'avait pas assez de droits, mais il s'avère qu'une politique réseau bloquait la communication entre le timon et le serveur api.
La solution était de créer une politique de réseau pour le timon permettant toutes les communications de sortie du timon
Si vous utilisez un cluster EKS AWS et sont confrontés à la question interdit ( par exemple : forbidden: User ... cannot list resource "jobs" in API group "batch" in the namespace "default"alors cela a fonctionné pour moi:
Solution:
--clusterrole=cluster-admin, ce qui résoudra certainement les problèmes d'autorisations, mais pourrait ne pas être le correctif souhaité. Il est préférable de créer vos propres comptes de service, rôles (cluster) et liaisons de rôle (cluster) avec les autorisations exactes dont vous avez besoin.