Helm: 사용자 "system : serviceaccount : kube-system : default"는 네임 스페이스 "default"에서 네임 스페이스를 가져올 수 없습니다.

권한과 관련된 문제가 발생한 것 같습니다.
차트를 배포 할 때 rbac를 활성화 할 수 있습니다.

$ helm install --name nginx --set rbac.create=true stable/nginx-ingress

헉헉

여전히 작동하지 않습니다.

여기에도 같은 문제가 있습니다. rbac를 활성화해도 도움이되지 않습니다.

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"8", GitVersion:"v1.8.3", GitCommit:"f0efb3cb883751c5ffdbe6d515f3cb4fbe7b7acd", GitTreeState:"clean", BuildDate:"2017-11-10T13:17:12Z", GoVersion:"go1.9.2", Compiler:"gc", Platform:"darwin/amd64"}
Server Version: version.Info{Major:"1", Minor:"8", GitVersion:"v1.8.2", GitCommit:"bdaeafa71f6c7c04636251031f93464384d54963", GitTreeState:"clean", BuildDate:"2017-10-24T19:38:10Z", GoVersion:"go1.8.3", Compiler:"gc", Platform:"linux/amd64"}

$ helm install --name my-hdfs-namenode hdfs-namenode-k8s
Error: release my-hdfs-namenode failed: namespaces "default" is forbidden: User "system:serviceaccount:kube-system:default" cannot get namespaces in the namespace "default"

도움을 주시면 감사하겠습니다!

필요한 것은 기본 서비스 계정을 통해 기본 네임 스페이스에 리소스를 설치할 수있는 액세스 권한을 부여하는 것입니다. https://github.com/kubernetes/helm/blob/master/docs/service_accounts.md 참조

안녕하세요, @bacongobbler
도와 주셔서 감사합니다. 위에서 언급 한 지침을 따르고 다음 작업을 수행했습니다.
우선, 나는 경운기를 재설정했습니다.

helm reset --force

이렇게 한 후 RBAC yaml 파일을 만듭니다.

[root@k8s-master3 ~]# cat rbac-config.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: default
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: default

그리고 내 경운기를 초기화하십시오.

helm init --service-account tiller --upgrade -i registry.cn-hangzhou.aliyuncs.com/google_containers/tiller:v2.7.0 --stable-repo-url https://kubernetes.oss-cn-hangzhou.aliyuncs.com/charts

그러나 경운기가 성공적으로 설치되지 않았습니다.

[root@k8s-master3 ~]# helm version
Client: &version.Version{SemVer:"v2.7.0", GitCommit:"08c1144f5eb3e3b636d9775617287cc26e53dba4", GitTreeState:"clean"}
Error: cannot connect to Tiller

그리고 kube-system 네임 스페이스에서 배포를 재봉하는 것은 다음과 같습니다.

[root@k8s-master3 ~]# kubectl get deployments --all-namespaces
NAMESPACE     NAME                       DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
ci            jenkins                    1         1         1            1           5d
default       redis-master               1         1         1            0           4d
kube-system   default-http-backend       1         1         1            1           5d
kube-system   heapster                   1         1         1            1           5d
kube-system   kube-dns                   1         1         1            1           5d
kube-system   kubernetes-dashboard       1         1         1            1           5d
kube-system   monitoring-influxdb        1         1         1            1           5d
kube-system   nginx-ingress-controller   1         1         1            1           5d
kube-system   tiller-deploy              1         0         0            0           9m

이 문제를 해결하는 방법에 대한 아이디어가 있습니까?
미리 감사드립니다!

@noprom 이것을 시도하십시오

수동으로 틸러 배포 삭제

틸러에 대한 이러한 rbac 구성 생성

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-clusterrolebinding
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: kube-system
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: ""

해당 rbac 구성에서 delete (yes delete) 실행
다시 만들기 실행
그런 다음 helm init --upgrade를 실행하여

더 이상 오류가 없어야합니다.

뿡뿡
큰! 감사합니다.이 문제를 해결했습니다.
감사합니다!

도와 줄 수있어서 기뻐 :)

@noprom 네임 스페이스 당 rbac로 helm 및 tiller를 설정하는 방법 에

뿡뿡
환상적인 포스트! 😄

감사!

위는 작동하지 않습니다 여전히 점점

namespaces "default" is forbidden: User "system:serviceaccount:kube-system:default" cannot get namespaces in the namespace "default"

틸러를 배포 할 권한이 없기 때문에 계정을 추가하세요.

kubectl --namespace kube-system create serviceaccount tiller

kubectl create clusterrolebinding tiller-cluster-rule \
 --clusterrole=cluster-admin --serviceaccount=kube-system:tiller

kubectl --namespace kube-system patch deploy tiller-deploy \
 -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}' 

콘솔 출력 :

serviceaccount "tiller" created
clusterrolebinding "tiller-cluster-rule" created
deployment "tiller-deploy" patched

그런 다음 아래 명령을 실행하여 확인하십시오.

helm list
helm repo update
helm install --name nginx-ingress stable/nginx-ingress

@ykfq 감사합니다, 작동합니다! 하지만 새 클러스터에 배포 할 때마다 이렇게해야합니까? 정말 불편합니다!

뿡 빵뀨
공식 경운기 설치 지침 을 사용하는 경우 다음을 수행해야합니다.

• Tiller에 대한 서비스 계정 만들기
• 위에서 만든 ServiceAccout에 대한 역할을 바인딩합니다 (cluster-admin 역할이 필요함).
• ServiceAccout에 대한 ClusterRoleBinding 만들기
• helm init 사용시 생성 된 배포 패치

따라서 더 쉽게 만드는 또 다른 방법이 있습니다-yaml 파일을 통해 설치하십시오.

vim tiller.yaml

apiVersion: v1
kind: Service
metadata:
  name: tiller-deploy
  namespace: kube-system
  labels:
    app: helm
    name: tiller
spec:
  ports:
  - name: tiller
    port: 44134
    protocol: TCP
    targetPort: tiller
  selector:
    app: helm
    name: tiller
  type: ClusterIP
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: tiller-deploy
  namespace: kube-system
  labels:
    app: helm
    name: tiller
  annotations:
    deployment.kubernetes.io/revision: "5"
spec:
  replicas: 1
  selector:
    matchLabels:
      app: helm
      name: tiller
  template:
    metadata:
      labels:
        app: helm
        name: tiller
    spec:
      containers:
      - env:
        - name: TILLER_NAMESPACE
          value: kube-system
        - name: TILLER_HISTORY_MAX
          value: "0"
        name: tiller
        image: gcr.io/kubernetes-helm/tiller:v2.8.2
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 44134
          name: tiller
          protocol: TCP
        - containerPort: 44135
          name: http
          protocol: TCP
        livenessProbe:
          failureThreshold: 3
          httpGet:
            path: /liveness
            port: 44135
            scheme: HTTP
          initialDelaySeconds: 1
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 1
        readinessProbe:
          failureThreshold: 3
          httpGet:
            path: /readiness
            port: 44135
            scheme: HTTP
          initialDelaySeconds: 1
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 1
        resources: {}
        terminationMessagePath: /dev/termination-log
        terminationMessagePolicy: File
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      serviceAccount: tiller
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-cluster-rule
subjects:
- kind: ServiceAccount
  name: tiller
  namespace: kube-system
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: ""

그런 다음 리소스를 만듭니다.

kubectl create -f tiller.yaml

서비스를 확인하십시오.

위의 yaml 콘텐츠는 다음 명령을 사용하여 실행중인 클러스터에서 내보냈습니다.

kubectl -n kube-system get svc tiller-deploy -o=yaml
kubectl -n kube-system get deploy tiller-deploy -o=yaml
kubectl -n kube-system get sa tiller -o=yaml
kubectl -n kube-system get clusterrolebinding tiller-cluster-rule -o=yaml

이 yaml은 아직 테스트되지 않았습니다. 질문이 있으시면 의견을 남겨주세요.

@ykfq Tiller에 전체 클러스터 관리자 권한을 부여하는 아이디어가 마음에 들지 않지만 다른 것은 나를 위해 일하지 않았습니다. 이 예를 따라 시도했습니다. Tiller가 내가 작동하도록 허용 한 네임 스페이스에서만 작동하도록 제한하려고했습니다.

그러나 항상이 문제가 발생했습니다 (Concourse 배포).

Error: release concourse failed: namespaces "concourse" is forbidden: User "system:serviceaccount:tiller-system:tiller-user" cannot get namespaces in the namespace "concourse": Unknown user "system:serviceaccount:tiller-system:tiller-user"

특정 예제를 작동시키는 방법에 대한 아이디어가 있습니까? 몇 가지 매개 변수를 변경했는데 RBAC가있는 전체 YAML은 다음과 같습니다.

apiVersion: v1
kind: Namespace
metadata:
  name: tiller-system
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller-user
  namespace: tiller-system
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-manager
  namespace: tiller-system
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["configmaps"]
  verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-binding
  namespace: tiller-system
subjects:
- kind: ServiceAccount
  name: tiller-user
  namespace: tiller-system
roleRef:
  kind: Role
  name: tiller-manager
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: v1
kind: Namespace
metadata:
  name: concourse
---
apiVersion: v1
kind: Namespace
metadata:
  name: concourse-main
----
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-role
  namespace: concourse
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-namespace-role
  namespace: concourse
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["namespaces"]
  verbs: ["*"]
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-main-role
  namespace: concourse-main
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-main-role
subjects:
- kind: ServiceAccount
  name: tiller-user
  namespace: tiller-system
roleRef:
  kind: Role
  name: tiller-concourse-main-role
  apiGroup: rbac.authorization.k8s.io
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-role
subjects:
- kind: ServiceAccount
  name: tiller-user
  namespace: tiller-system
roleRef:
  kind: Role
  name: tiller-concourse-role
  apiGroup: rbac.authorization.k8s.io
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: tiller-concourse-namespace-role
subjects:
- kind: ServiceAccount
  name: tiller-user
  namespace: tiller-system
roleRef:
  kind: Role
  name: tiller-concourse-namespace-role
  apiGroup: rbac.authorization.k8s.io

helm init --upgrade --service-account tiller

@brunoban helm v3는 틸러를 제거하므로 권한을 적용한 사용자가 권한을 이해 한 것입니다.

@innovia 오 ... 몰랐어요. 그럼 이제 속도를 낼 것입니다. 감사!

그런 다음 helm init --upgrade를 실행하여

@innovia rbac 구성 파일을 어디에 넣을까요?

@cjbottaro 내가 네임 스페이스 당 helm 및 tiller를 설정하기 위해 Hwo를 작성한 게시물을 읽었습니까?

질문을 따르지 않습니다. 다시 설명해 주시겠습니까?

@innovia Nevermind, 나는 그것을 알아 냈습니다. 그냥 달려야 했어

kubectl create -f tiller.yaml
helm init --upgrade --service-account tiller

이것은 나를 위해 일했습니다.

kubectl --namespace kube-system create serviceaccount tiller
kubectl create clusterrolebinding tiller --clusterrole cluster-admin --serviceaccount = kube- system : tiller
helm init --service-account tiller --upgrade

나는 "Deploy Tiller in a namespace, limited to deploying resources only in that namespace"에 대한 공식 Helm 문서 를 따르고 있습니다. 내 bash 스크립트는 다음과 같습니다.

Namespace="$1"

kubectl create namespace $Namespace
kubectl create serviceaccount "tiller-$Namespace" --namespace $Namespace
kubectl create role "tiller-role-$Namespace" /
    --namespace $Namespace /
    --verb=* /
    --resource=*.,*.apps,*.batch,*.extensions
kubectl create rolebinding "tiller-rolebinding-$Namespace" /
    --namespace $Namespace /
    --role="tiller-role-$Namespace" /
    --serviceaccount="$Namespace:tiller-$Namespace"

helm upgrade 실행하면 다음 오류가 발생합니다.

오류 : 업그레이드 실패 : configmaps는 금지되어 있습니다 : 사용자 " system : serviceaccount : kube- system : default "는 네임 스페이스 "kube-system"의 configmap을 나열 할 수 없습니다.

공식 문서에 버그가 있습니까? 내가 잘못 읽었습니까?

helm init 대한 전체 명령은 무엇입니까? 이것에 대해 별도의 티켓을 열 수 있습니까?

@bacongobbler 여기로 이슈 이동 https://github.com/helm/helm/issues/4933

위는 작동하지 않습니다 여전히 점점

namespaces "default" is forbidden: User "system:serviceaccount:kube-system:default" cannot get namespaces in the namespace "default"

아래 명령을 따르십시오

helm init --service-account tiller --upgrade -i registry.cn-hangzhou.aliyuncs.com/google_containers/ tiller : v2.14.0 --stable-repo-url https : //kubernetes.oss-cn-hangzhou.aliyuncs .com / charts

필요한 것은 기본 서비스 계정을 통해 기본 네임 스페이스에 리소스를 설치할 수있는 액세스 권한을 부여하는 것입니다. https://github.com/kubernetes/helm/blob/master/docs/service_accounts.md 참조

파일 이름은 이제 rbac.md 이고 링크는 https://github.com/helm/helm/blob/master/docs/rbac.md에 있습니다.

틸러를 배포 할 권한이 없기 때문에 계정을 추가하세요.

kubectl --namespace kube-system create serviceaccount tiller

kubectl create clusterrolebinding tiller-cluster-rule \
 --clusterrole=cluster-admin --serviceaccount=kube-system:tiller

kubectl --namespace kube-system patch deploy tiller-deploy \
 -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}' 

콘솔 출력 :

serviceaccount "tiller" created
clusterrolebinding "tiller-cluster-rule" created
deployment "tiller-deploy" patched

그런 다음 아래 명령을 실행하여 확인하십시오.

helm list
helm repo update
helm install --name nginx-ingress stable/nginx-ingress

경운기 설치 문서를이 정확한 지침으로 업데이트하면 좋을 것입니다.
나는 다음과 같은 yaml을 가지고 있었다.

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: ""
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

내가 맞다면이 yaml에서 tiller deployment 가 누락 되었나요?

helm init --upgrade --service-account tiller

위의 명령은이 문제를 해결합니다. 처음에는이 단계를 적극 권장합니다. :)