Helm: 오류 : 설치 오류 : 사용자 "system : anonymous"는 네임 스페이스 "kube-system"에 deployments.extensions를 만들 수 없습니다. : "일치하는 정책이 없습니다. \ n 알 수없는 사용자 \"system : anonymous \ ""(배포. 확장 이후)

에 만든 2017년 07월 08일 · 3코멘트 · 출처: helm/helm

안녕하세요,

있다

Helm 2.5.0
GCP에서 RBAC가 사용 설정된 Kubernetes 1.6

문제

kubectl 및 helm을 사용하여 컨테이너에서이 명령어를 실행합니다.

$ kubectl config set-credentials $K8S_USER --username=$K8S_USER --password=$K8S_PASS
$ kubectl config set-cluster test-cluster  --server=https://$K8S_SERVER --insecure-skip-tls- verify=$K8S_INSECURE_SKIP_TLS_VERIFY 
$ kubectl config set-context default-context --cluster=$K8S_CLUSTER_NAME --user=$K8S_USER 
$ kubectl config use-context default-context
$ kubectl cluster-info
Kubernetes master is running at https://****

$ helm init
$HELM_HOME has been configured at /config/.helm.
Error: error installing: User "system:anonymous" cannot create deployments.extensions in the namespace "kube-system".: "No policy matched.\nUnknown user \"system:anonymous\"" (post deployments.extensions)

질문

이 오류를 수정하려면 어떻게해야합니까?

questiosupport

출처

mikhno-s

모든 3 댓글

차트에서 요청한 개체를 설치할 수 있으려면 Tiller 포드의 서비스 계정에 충분한 권한을 바인딩해야합니다. 가장 좋은 방법은 해당 포드가 실행되는 동일한 네임 스페이스 (귀하의 경우 "kube-system")에서 Tiller에 대한 새 서비스 계정을 만든 다음 차트를 설치하려는 네임 스페이스에 _Role_을 만들거나 다음과 같은 경우 _ClusterRole_을 만드는 것입니다. 여러 네임 스페이스에서 정의를 공유 한 다음 _RoleBinding_ 또는 _ClusterRoleBinding_ 개체를 생성하여 앞서 언급 한 Tiller 관련 서비스 계정에 이러한 권한을 부여합니다.

seh 에 2017년 07월 10일

👍1

서비스 계정 및 ClusterRoleBinding 정의로 매니페스트를 만들었습니다.

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
secrets:
  - tiller-secret
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

그런 다음이 서비스 사용자를 Tiller 사양에 추가했습니다.

kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'

그런 다음 파이프 라인 매니페스트의 k8s에서 인증에 대한 명령 목록을 변경했습니다.

begin_script:
  - echo "$CA" > /ca.crt
  - kubectl config set-cluster k8s-cluster --embed-certs=true --server=https://$K8S_SERVER --certificate-authority=/ca.crt
  - kubectl config set-credentials tiller --token=$USER_TOKEN
  - kubectl config set-context k8s-cluster --cluster=k8s-cluster --user=tiller
  - kubectl config use-context k8s-cluster

$CA 및 $USER_TOKEN -ca.crt 데이터 및 틸러 사용자 토큰을 저장하는 비밀 변수입니다.

ca.crt 및 user_token을 가져 오려면 다음 명령을 사용하십시오.

$ secret=$(kubectl get sa tiller -o json --namaspace=kube-system | jq -r .secrets[].name)
$ kubectl get secret $secret -o json | jq -r '.data["ca.crt"]' | base64 -D # $CA
$ kubectl get secret $secret -o json | jq -r '.data["token"]' | base64 -D # $USER_TOKEN

mikhno-s 에 2017년 07월 10일

👍1

_helm init_는 커밋 64e9e471838ac44e551c32abcbd19f671c80ecce에서 --service-account 플래그를 준수합니다.

seh 에 2017년 07월 10일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Helm: 오류 : 설치 오류 : 사용자 "system : anonymous"는 네임 스페이스 "kube-system"에 deployments.extensions를 만들 수 없습니다. : "일치하는 정책이 없습니다. \ n 알 수없는 사용자 \"system : anonymous \ ""(배포. 확장 이후)

있다

문제

질문

모든 3 댓글

관련 문제