Kubernetes: RBAC 영구 볼륨이 네임스페이스에서 작동하지 않음

에 만든 2016년 12월 19일 · 3코멘트 · 출처: kubernetes/kubernetes

버그 보고

Kubernetes 버전 ( kubectl version ): 클라이언트 버전: version.Info{Major:"1", Minor:"5", GitVersion:"v1.5.1", GitCommit:"82450d03cb057bab0950214ef122b67c83fb11df"," GitTreeState , BuildDate:"2016-12-14T00:57:05Z", GoVersion:"go1.7.4", 컴파일러:"gc", 플랫폼:"darwin/amd64"}
서버 버전: version.Info{주:"1", 부:"5+", GitVersion:"v1.5.1-3+10e41f22e4421c", GitCommit:"10e41f22e4421c9a14e9e6782c6375c199"a07a8 -15T10:06:44Z", GoVersion:"go1.7.4", 컴파일러:"gc", 플랫폼:"linux/amd64"}

환경 :

클라우드 제공자 또는 하드웨어 구성 : openstack
OS (예: /etc/os-release): centos7
커널 (예: uname -a ): 3.10.0-327.36.3.el7.x86_64

일어난 일 : RBAC 인증을 활성화했습니다. 두 가지 역할 바인딩이 있습니다.

apiVersion: rbac.authorization.k8s.io/v1alpha1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin-custom
subjects:
- kind: ServiceAccount
  name: default
  namespace: kube-system
- kind: User
  name: kubelet
  namespace: kube-system
- kind: User
  name: clusteradmin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin

그리고

apiVersion: rbac.authorization.k8s.io/v1alpha1
kind: RoleBinding
metadata:
  name: default-admin
  namespace: default
subjects:
- kind: ServiceAccount
  name: default
- kind: User
  name: defaultadmin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin

따라서 kube 클러스터의 모든 항목에 액세스할 수 있는 clusteradmin과 기본 네임스페이스의 모든 리소스에 액세스할 수 있는 defaultadmin이라는 두 가지 사용자가 있습니다. clusteradmin을 사용하여 PV 명령을 실행하면 잘 작동하지만 기본 네임스페이스에서 defaultadmin을 사용하면 오류가 발생합니다.

kubectl pv 가져오기
서버 오류(금지됨): 서버가 요청된 리소스에 대한 액세스를 허용하지 않습니다(영구 볼륨 가져오기).

서버 오류(금지됨): "db-pv.yaml" 생성 시 오류: 서버가 요청된 리소스에 대한 액세스를 허용하지 않습니다(영구 볼륨 이후).

예상한 일 : defaultadmin은 정의된(내 경우에는 기본) 네임스페이스의 PV 리소스에 액세스할 수 있어야 합니다. 왜냐하면 cluster-admin clusterrole은 다음과 같이 말하기 때문입니다.

- apiGroups:
  - '*'
  attributeRestrictions: null
  resources:
  - '*'
  verbs:
  - '*'
- attributeRestrictions: null
  nonResourceURLs:
  - '*'
  verbs:
  - '*'

여기서 중요한 것은 리소스 *이지만 PV가 와일드 카드의 일부가 아닌 것처럼 느껴집니다.

그것을 재현하는 방법 (가능한 한 최소한으로 그리고 정확하게):

RBAC 활성화
두 명의 사용자, clusteradmin 및 defaultadmin 생성
이 버그 티켓의 앞부분에서 언급한 clusterrolebinding 및 rolebinding 추가
두 사용자와 함께 기본 네임스페이스에서 PV 명령 실행

출처

zetaab

👍1

가장 유용한 댓글

PV는 클러스터 범위 개체입니다. 네임스페이스에 존재하지 않습니다. RBAC와 함께 태양 광 발전 API를 사용할 수있는 권한을 얻으려면 당신은 ClusterRole가 ClusterRoleBinding하여 클러스터 범위에서 바인딩이 필요합니다.

liggitt 에 2017년 02월 10일

👍4

모든 3 댓글

dev 및 default 포함한 몇 가지 네임스페이스가 있는 비슷한 문제가 있습니다. "dev 사용자"로서 PVC를 포함하여 dev 네임스페이스에 많은 리소스를 생성할 수 있지만 dev 네임스페이스에 "dev user"로 PV를 생성하면 동일한 결과가 나타납니다. 위와 같은 오류:

Error from server (Forbidden): error when creating "db-pv.yaml": the server does not allow access to the requested resource (post persistentvolumes)

default 네임스페이스에서 관리자로 PV를 생성하면 모든 것이 정상입니다.

Amit-PivotalLabs 에 2017년 01월 23일

PV가 네임스페이스에 연결되지 않았습니다.

rsuniev 에 2017년 02월 01일

liggitt 에 2017년 02월 10일

👍4

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Kubernetes: RBAC 영구 볼륨이 네임스페이스에서 작동하지 않음

버그 보고

가장 유용한 댓글

모든 3 댓글

관련 문제