Helm: エラー：configmapsは禁止されています：ユーザー "system：serviceaccount：kube-system：default"は、名前空間 "kube-system"のAPIグループ ""のリソース "configmaps"を一覧表示できません

https://docs.helm.sh/using_helm/#role -based-access-control

探している人のための新しいURL： https ：//helm.sh/docs/rbac/#role -based-access-control

修正方法を説明せずに問題を閉じるのは良くありません:-)
代わりにやらせてください。

エラー：configmapsは禁止されています：ユーザー " system：serviceaccount ：kube- system：default "はリストできません

まず、初心者のためのいくつかの情報。
Kubernetesには次のものがあります。

• アカウント-IDのようなもの。 例：ジョン
• 役割-プロジェクト内の一部のグループが何かを行うことを許可されました。 例：cluster-admin、it-support、..。
• バインド-アカウントをロールに参加させます。 「Johnintheit-support」-は拘束力があります。

したがって、上記のメッセージでは、Tillerが名前空間「kube-system」に登録されているアカウント「default」として機能していることがわかります。 おそらくあなたは彼を十分な役割に縛り付けていませんでした。

ここで問題に戻ります。
どのように追跡しますか：

• 耕うん機の特定のアカウントを持っているかどうかを確認してください。 通常、同じ名前です-「耕うん機」：
  kubectl [--namespace kube-system] get serviceaccount
  そうでない場合は作成します。
  kubectl [--namespace kube-system] create serviceaccount tiller
• ロールまたはclusterroleがあるかどうかを確認します（クラスターロールは初心者にとって「優れている」-名前空間全体のロールとは異なり、クラスター全体です）。 これが本番環境でない場合は、特権の高いロール「cluster-admin」を使用できます。
  kubectl [--namespace kube-system] get clusterrole
  次の方法で役割の内容を確認できます。
  kubectl [--namespace kube-system] get clusterrole cluster-admin -o yaml
• 最初の句のアカウント「tiller」に、十分と思われるclusterrole 「cluster-admin」へのバインディングがあるかどうかを確認します。
  kubectl [--namespace kube-system] get clusterrolebinding
  名前に基づいて理解するのが難しい場合は、単に新しいものを作成できます。
  kubectl [--namespace kube-system] create clusterrolebinding tiller-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
• 最後に、アカウント、役割、およびそれらの間のバインディングがある場合、実際にこのアカウントとして機能しているかどうかを確認できます。
  kubectl [--namespace kube-system] get deploy tiller-deploy -o yaml

出力には「serviceAccount」と「serviceAccountName」の設定がないようです。

...
dnsPolicy: ClusterFirst
restartPolicy: Always
schedulerName: default-scheduler
securityContext: {}
terminationGracePeriodSeconds: 30
...

はいの場合、ティラーに使用させたいアカウントを追加します。
kubectl [--namespace kube-system] patch deploy tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'
（PowerShellを使用している場合は、以下で@snpdevからの投稿を確認してください）
ここで、前のチェックコマンドを繰り返して、違いを確認します。

...
dnsPolicy: ClusterFirst
restartPolicy: Always
schedulerName: default-scheduler
securityContext: {}
serviceAccount: tiller                     <-- new line
serviceAccountName: tiller          <-- new line
terminationGracePeriodSeconds: 30
...

はい。 そんな感じ。

@ m-abramovichソリューションは私のために働いた。

注：Powershellを使用している場合、コマンドは次のとおりです。

kubectl --namespace kube-system patch deploy tiller-deploy -p '{\"spec\":{\"template\":{\"spec\":{\"serviceAccount\":\"tiller\"}}}}'

そして、2蛾と1/2あなたの説明はまだ役に立ちますあなたの忙しいスケジュールから時間を割いて詳細で役立つようにしてくれてありがとう。 @bacongobblerとは異なり@ m- abramovich

そして、2蛾と1/2あなたの説明はまだ役に立ちますあなたの忙しいスケジュールから時間を割いて詳細で役立つようにしてくれてありがとう。 @bacongobblerとは異なり@ m-abramovich

この号を閉じたのは、開いた人です。 明らかに彼らは問題が解決したと感じました。

さらに、元の説明では、問題を閉じずに提供された役割ベースのアクセス制御ドキュメントへの適切なリンクが求められていました。

最後に、 @ bacongobblerは、多くの人にとって重要な休日である12月25日に、要求された情報を提供するために時間をかけました。 @iamaverrick申し訳ありませんが、あなたのコメントはかなり不適切だと思います。

わお。 このスレッドに答えたのを覚えていません...しばらく経ちました。

@marckhouzamのここでの仮定は正しいです：問題はクリスマスの日に開かれました。 その日、たまたま家族と一緒にいましたが、OPからこの簡単な質問を見ました。

おそらく関連して、私はティラーとロールベースのアクセス制御にもアクセスしようとしていますが、404を取得しています。

だから私は正しいリンクで簡単な答えを撃ち、クリスマスのお祝いに戻ると思いました。 翌日、OPが問題を解決したので、それ以上のフォローアップは必要ないと思いました。

私のコメントが簡潔または役に立たないと思われたと思うと、本当に腹が立つ。 私は問題を解決しようとしていませんでした。 OPがホリデーシーズンに自分たちで解決策を見つけようとしている間、私は単にコンテキストを提供していました。

OPの問題をフォローアップして回答を提供してくれた@ m-abramovichと@snpdevに感謝します。

@iamaverrick問題に対応するときに、ドキュメントへのリンクを提供することは珍しくありません。 これは役に立たないわけではありませんが、コミュニティとして私たちが多くの時間を費やしているドキュメントへの信念です。 ドキュメントが不十分な場合、その人は通常応答し、これにより応答者にさらにコンテキストを提供する機会が与えられます。 また、ドキュメントを改善する必要があることも認識できます。 ユーザーからのこのような対話またはフィードバックがなければ、ドキュメントは改善されません。

長期的には、より良いドキュメントは、関連のないバグや機能の問題を提起する必要がある以上に人々を助けます。

別のレベルでは、 @ bacongobblerがホリデーシーズン中に応答することは非常に印象的です。 私たちは皆、最善を尽くそうとしている人々であることを忘れないでください。

みんな、気楽にやってください。
私たちはすべてソフトウェア開発者であり、人生において同じ価値観を共有しています。 私たちはあなたが想像することができるよりもはるかに多くの共通点を持っています。 お互いを尊重しましょう。

@marckhouzam不適切ですか？ 形も形も、私のコメントで誰かを軽蔑したことはありません。 私は自分の観点から事実を簡単に述べました。 このコメントは@bacongobblerに直接言及されていましたが、そこに2セントを入れた他のすべての人ではありませんでした。 休日にリンクを貼り付けてくれた@bacongobblerに感謝します。 元の質問では、彼は問題を抱えていて、リンクではなくガイダンスが必要であると述べています。 建設的な批判を受け入れることができない場合は、これらのスレッドに何も投稿しないでください。 私たちは皆、より良くなり、より良い情報を提供しようとしているソフトウェア開発者です。

質問で答えをほのめかし、@ bacongobblerが私の答えを確認し、@ m-abramovichが素晴らしいコメントをしたので、詳細を証明しなかったことをお詫びします。

皆さんの助けや意見に本当に感謝しています。次回はもっと良い仕事をしようと思います、約束します！

繰り返しになりますが、これを引き起こして申し訳ありません（私はそれがそれに到達するとは本当に思っていませんでした...

私の2セント： https ：//helm.sh/docs/intro/quickstart/をフォローすると、RBACについての言及がなく、そこにある指示により、ティラーのインストールが機能しなくなります。 グーグル検索はここでこの問題につながります。

おそらく、「クイックスタートガイドを強化して、この落とし穴について初心者に警告する」として再開できますか？

前提条件の下に「インストールに適用するセキュリティ構成を決定する」がありますが、使い捨てクラスターで試してみたところ、「もしあれば」は気にしないので、何もする必要はありません。

何かをする必要があることに気付いたとしても、指示へのリンクはありません。

私の2セント： https ：//helm.sh/docs/intro/quickstart/をフォローすると、RBACについての言及がなく、そこにある指示により、ティラーのインストールが機能しなくなります。 グーグル検索はここでこの問題につながります。

おそらく、「クイックスタートガイドを強化して、この落とし穴について初心者に警告する」として再開できますか？

@pohly
パトリック、これはもう関係ないと思います。
HelmV3はTillerを使用しません。 だから、たぶん、それは今では価値がない。

@ m-abramovichありがとうございます！ あなたの詳細なウォークスルーは、私がこの問題を乗り越えるのに役立ちました。 回答を書くのに時間を割いていただき、ありがとうございました。

この説明は素晴らしいです！ ありがとう！