默认用户的Kubernetes RBAC身份验证
我正在AWS中使用默认用户的Kubernetes RBAC身份验证,kubernetes,rbac,kubectl,kops,Kubernetes,Rbac,Kubectl,Kops,我正在AWS中使用kops创建Kubernetes集群 我已经创建了一个通过--authorization=RBAC启用RBAC的集群,如前所述 我正在尝试使用默认服务帐户令牌与群集交互,并出现以下错误: 服务器错误(禁止):用户“系统:服务帐户:默认:默认”无法在命名空间“默认”中列出POD。(获取吊舱) 我是否缺少某个角色或绑定?尝试赋予管理员角色,然后重试 kubectl create clusterrolebinding add-on-cluster-admin --clusterrol
kops--authorization=RBAC服务器错误(禁止):用户“系统:服务帐户:默认:默认”无法在命名空间“默认”中列出POD。(获取吊舱)我是否缺少某个角色或绑定?尝试赋予管理员角色,然后重试
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=default:default
我认为将集群管理员角色赋予默认命名空间中的默认服务帐户不是一个好主意 如果您将在默认名称空间中为默认用户授予群集管理权限-将在群集中部署的每个应用程序(pod),则在默认名称空间中-将能够操作群集(删除系统pod/部署或制作其他不好的东西) 默认情况下,clusterrole集群管理员被赋予kube系统命名空间中的默认服务帐户。
您可以使用它与集群进行交互。您可以通过以下命令检查所有ClusterRole和clusterrolebinding:
kubectl get clusterrolebinding-o wide