kubernetes 8 클러스터에 helm 2.6.2를 설치했습니다. helm init잘 작동했습니다. 하지만 실행 helm list하면이 오류가 발생합니다.

 helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"

이 RABC 오류 메시지를 수정하는 방법은 무엇입니까?

다음 명령이 실행되면 :

kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'      
helm init --service-account tiller --upgrade

실행되면 문제가 해결되었습니다.

보다 안전한 답변

허용되는 답변은 최고의 보안 솔루션이 아닌 Helm에 대한 전체 관리자 액세스 권한을 부여합니다. 조금 더 작업하면 Helm의 액세스를 특정 네임 스페이스로 제한 할 수 있습니다. Helm 문서 에 자세한 내용이 있습니다 .

$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

Tiller가 다음 tiller-world과 같이 모든 리소스를 관리 할 수 ​​있도록하는 역할을 정의합니다 role-tiller.yaml.

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-manager
  namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

그런 다음 다음을 실행하십시오.

$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

에서 rolebinding-tiller.yaml,

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: tiller-binding
  namespace: tiller-world
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: tiller-world
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io

그런 다음 다음을 실행하십시오.

$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

나중에 네임 스페이스에 helm initTiller를 설치하기 위해 실행할 수 있습니다 tiller-world.

$ helm init --service-account tiller --tiller-namespace tiller-world

이제 모든 명령에 환경 변수 를 추가 --tiller-namespace tiller-world하거나 설정 TILLER_NAMESPACE=tiller-world하십시오.

더 많은 미래 증명 답변

Tiller 사용을 중지하십시오. Helm 3는 Tiller의 필요성을 완전히 제거합니다. Helm 2를 사용 helm template하는 경우을 사용 하여 Helm 차트에서 yaml을 생성 한 다음 실행 kubectl apply하여 Kubernetes 클러스터에 객체를 적용 할 수 있습니다.

helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml

Helm은 "기본"서비스 계정으로 실행됩니다. 이에 대한 권한을 제공해야합니다.

읽기 전용 권한 :

kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system

관리자 액세스 : 예 : 패키지를 설치합니다.

kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default

기본 서비스 계정에는 API 권한이 없습니다. Helm에는 서비스 계정이 할당되고 해당 서비스 계정에는 API 권한이 할당되어야합니다. 서비스 계정에 권한을 부여하려면 RBAC 설명서를 참조하십시오. https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

kubectl apply -f your-config-file-name.yaml

그런 다음 serviceAccount를 사용하도록 helm 설치를 업데이트합니다.

helm init --service-account tiller --upgrade

오프라인 모드에서 tiller를 설치하려고 할 때이 오류가 발생했는데 'tiller'서비스 계정에 충분한 권한이 없다고 생각했지만 네트워크 정책이 tiller와 api-server 간의 통신을 차단하는 것으로 나타났습니다.

해결책은 tiller의 모든 송신 통신을 허용하는 tiller에 대한 네트워크 정책을 만드는 것이 었습니다.

export TILLER_NAMESPACE=<your-tiller-namespace>그렇지 <your-tiller-namespace>않은 경우 나를 위해 해결했습니다 kube-system. 그러면 Helm 클라이언트가 올바른 Tiller 네임 스페이스를 가리 킵니다.

AWS의 EKS 클러스터를 사용 중이고 금지 된 문제에 직면 한 경우 ( 예 : forbidden: User ... cannot list resource "jobs" in API group "batch" in the namespace "default"다음은 저에게 효과적이었습니다.

해결책:

1. AWS를 구성했는지 확인
2. 구성된 사용자에게 클러스터에 대한 액세스 권한이 있는지 확인하십시오.