Instalei o helm 2.6.2 no cluster do Kubernetes 8. helm initfuncionou bem. mas quando executo helm listdando esse erro.
helm list
Error: configmaps is forbidden: User "system:serviceaccount:kube-system:default" cannot list configmaps in the namespace "kube-system"
Como corrigir esta mensagem de erro RABC?
Respostas:
Uma vez que estes comandos:
kubectl create serviceaccount --namespace kube-system tiller
kubectl create clusterrolebinding tiller-cluster-rule --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}'
helm init --service-account tiller --upgrade
foram executados, o problema foi resolvido.
The accepted answer gives full admin access to Helm which is not the best solution security wise(consulte stackoverflow.com/a/53277281/2777965 ).
kubectl patch deploy --namespace kube-system tiller-deploy -p '{"spec":{"template":{"spec":{"serviceAccount":"tiller"}}}}', receboError from server (NotFound): deployments.extensions "tiller-deploy" not found
A resposta aceita dá acesso de administrador total ao Helm, o que não é a melhor solução em termos de segurança. Com um pouco mais de trabalho, podemos restringir o acesso do Helm a um determinado namespace. Mais detalhes na documentação do Helm .
$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created
Defina uma função que permita ao Tiller gerenciar todos os recursos tiller-worldem role-tiller.yaml:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-manager
namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
Então corra:
$ kubectl create -f role-tiller.yaml
role "tiller-manager" created
Em rolebinding-tiller.yaml,
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-binding
namespace: tiller-world
subjects:
- kind: ServiceAccount
name: tiller
namespace: tiller-world
roleRef:
kind: Role
name: tiller-manager
apiGroup: rbac.authorization.k8s.io
Então corra:
$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created
Depois disso, você pode executar helm initpara instalar o Tiller no tiller-worldnamespace.
$ helm init --service-account tiller --tiller-namespace tiller-world
Agora prefixe todos os comandos com --tiller-namespace tiller-worldou defina TILLER_NAMESPACE=tiller-worldem suas variáveis de ambiente.
Pare de usar o Tiller. O Helm 3 elimina completamente a necessidade do Leme. Se você estiver usando o Helm 2, poderá usar helm templatepara gerar o yaml a partir do gráfico do Helm e, em seguida, executar kubectl applypara aplicar os objetos ao cluster do Kubernetes.
helm template --name foo --namespace bar --output-dir ./output ./chart-template
kubectl apply --namespace bar --recursive --filename ./output -o yaml
--tiller-namespace tiller-worldou definir TILLER_NAMESPACE=tiller-worldem suas variáveis de ambiente.
O Helm é executado com uma conta de serviço "padrão". Você deve fornecer permissões para ele.
Para permissões somente leitura:
kubectl create rolebinding default-view --clusterrole=view --serviceaccount=kube-system:default --namespace=kube-system
Para acesso de administrador: Ex: para instalar pacotes.
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default
kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default, helm listeu ainda consigo correrError: configmaps is forbidden: User "system:serviceaccount:tiller:default" cannot list configmaps in the namespace "tiller": no RBAC policy matched
A conta de serviço padrão não tem permissões de API. O Helm provavelmente precisa ser atribuído a uma conta de serviço, e essa conta de serviço deve receber permissões de API. Consulte a documentação do RBAC para conceder permissões a contas de serviço: https://kubernetes.io/docs/admin/authorization/rbac/#service-account-permissions
apiVersion: v1
kind: ServiceAccount
metadata:
name: tiller
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: tiller
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: tiller
namespace: kube-system
kubectl apply -f your-config-file-name.yaml
e atualize a instalação do helm para usar serviceAccount:
helm init --service-account tiller --upgrade
Recebi este erro ao tentar instalar o tiller no modo offline. Achei que a conta de serviço 'tiller' não tinha direitos suficientes, mas descobri que uma política de rede estava bloqueando a comunicação entre o tiller e o api-server.
A solução foi criar uma política de rede para o leme permitindo toda a comunicação de saída do leme
Se você estiver usando um cluster EKS da AWS e estiver enfrentando o problema proibido ( por exemplo : forbidden: User ... cannot list resource "jobs" in API group "batch" in the namespace "default"isso funcionou para mim:
Solução:
--clusterrole=cluster-admin, o que certamente corrigirá problemas de permissões, mas pode não ser a correção que você deseja. É melhor criar suas próprias contas de serviço, funções (cluster) e vinculações de funções (cluster) com as permissões exatas de que você precisa.