Kubernetes 库伯内特斯：如何设置；顶部节点“；及；顶舱；权限？_Kubernetes_Permissions_Roles

Kubernetes 库伯内特斯：如何设置；顶部节点“；及；顶舱；权限？

kubernetes permissions

Kubernetes 库伯内特斯：如何设置；顶部节点“；及；顶舱；权限？,kubernetes,permissions,roles,Kubernetes,Permissions,Roles,希望得到一些提示，我有一个问题：我需要向具有Clusterrole:view的用户添加什么角色/权限，才能让该用户在kubectl中使用“top node”和“top pod”命令？我们在1.15.7集群（AKS）上使用kubectl版本1.15.x（客户端），尽管我不确定这是否是相关信息。我试图在k8s文档中找到这一点，但找不到权限参考说明，只有一些示例和指南提前谢谢关于Ludo，没有对顶部节点和顶部pod的特定权限。权限取决于您是否可以执行get nodes和get pods。如果有权

希望得到一些提示，我有一个问题：我需要向具有Clusterrole:view的用户添加什么角色/权限，才能让该用户在kubectl中使用“top node”和“top pod”命令？我们在1.15.7集群（AKS）上使用kubectl版本1.15.x（客户端），尽管我不确定这是否是相关信息。我试图在k8s文档中找到这一点，但找不到权限参考说明，只有一些示例和指南

提前谢谢

关于Ludo，没有对

顶部节点

和

顶部pod

的特定权限。权限取决于您是否可以执行

get nodes

和

get pods

。如果有权限执行

get nodes

和

get pods

操作，那么您也应该能够

top nodes

和

top pods

。执行

获取节点

或

获取吊舱

的权限是通过kubernetes中的RBAC定义的

metric server只是通过从不同的源（如kubelet）收集和聚合不同资源（如POD、节点）的指标来公开这些资源的指标。这就是度量本身没有权限的原因，而权限位于您希望查看度量的资源上

执行

kubectl top pods

时调用的API如下

GET https://API-SERVER-IP:6443/apis/metrics.k8s.io/v1beta1/namespaces/default/pods

因此，当您以默认名称空间为目标时，您只能在默认名称空间中查看POD的指标。现在，您是否可以在默认名称空间中获得POD由RBAC控制。

可能更适合devops SE。谢谢您的建议！我并没有真正意识到SE和SO之间的区别，但这在这一点上带来了一些清晰。顺便说一句，我的错误消息是，

服务器错误（禁止）：pods.metrics.k8s.io被禁止：用户“”无法获取命名空间“default”中API组“metrics.k8s.io”中的资源“pods”

奇怪的是，我可以运行

kubectl get pod

和

kubectl get node

，但是

kubectl top node'或“top pod

是被禁止的。是否有一些额外的指标标志（比如日志资源的标志：“pods/logs”。不过，我的apiGroup是错误的。它是

”

，但是当我将它更正为“metrics.k8s.io”时，当我显式地设置

[“get”、“watch”、“list”]

动词时，它就起作用了。谢谢你的帮助！