将 EKS 升级到版本 1.25 后出现授权错误(user=kube-apiserver-kubelet-client、verb=get、resource=nodes、subresource=proxy)
问题描述 投票:0回答:1
我的所有权限之前都工作正常。升级到 EKS 1.25 后,我在执行
kubectl logs pod -n namespace我尝试调试它。我查看了 configMap、clusterRole 和 RoleBinding。我没有看到任何明显的问题(自从我创建这些对象以来实际上已经两年了,也许我现在使用最新版本的 Kubernetes 缺少一些东西?)
发生内部错误:授权错误 (用户=kube-apiserver-kubelet-client,动词=get,资源=节点, 子资源=代理)
aws-auth configMap
apiVersion: v1
data:
mapRoles: |
- groups:
- system:bootstrappers
- system:nodes
rolearn: arn:aws:iam::<some-number>:role/eksctl-<xyz-abs>-nodegrou-NodeInstanceRole-DMQXBTLLXHNU
username: system:node:{{EC2PrivateDNSName}}
mapUsers: |
- userarn: arn:aws:iam::043519645107:user/kube-developer
username: kube-developer
groups:
- kube-developer
kind: ConfigMap
metadata:
creationTimestamp: "2020-07-03T16:55:08Z"
name: aws-auth
namespace: kube-system
resourceVersion: "104191269"
uid: 844f189d-b3d6-4204-bf85-7b789c0ee91a
集群角色和角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: kube-developer-cr
rules:
- apiGroups: ["*"]
resources:
- configmaps
- endpoints
- events
- ingresses
- ingresses/status
- services
verbs:
- create
- get
- list
- update
- watch
- patch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: kube-developer-crb
subjects:
- kind: Group
name: kube-developer
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: kube-developer-cr
apiGroup: rbac.authorization.k8s.io
深入了解正在运行的 Pod 时出错
---编辑----
我尝试使用与错误消息中抛出的用户相同的用户创建 ClusterRoleBinding
kube-apiserver-kubelet-clientapiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: kube-apiserver
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: system:kubelet-api-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: kube-apiserver-kubelet-client
---编辑---
调试第二天,我启动了 EKS 的另一个实例。我发现它有 CSR(证书签名请求),而我的 EKS 缺少 CSR。
1个回答
0
投票
投票
我在升级 EKS 时遇到了同样的症状。我升级了 EKS,添加了运行较新 kubelet 版本的节点,但没有将正在运行的工作负载移至新节点,因此出现了错误消息。 当我:
时我就开始工作了- 将运行旧 k8s 版本的节点的实例移至“备用”(使用 aws 控制台,但也可以在 CLI 中)
- 清空节点并使 k8s 将它们调度到新节点上。我用过
kubectl drain <node>
最新问题
- 任何更好的方法来改进代码以保持 aiso::async_send 使用的底层内存块有效
- 从 SlideShare 抓取幻灯片
- Excel 汇总一小时内所有体积
- 在 jpackage 之后运行 JavaFX 应用程序
- 补丁:不要删除空的祖先目录
- 即使使用本地取货运输方式,也会向 WooCommerce 客户电子邮件显示订单备注
- 尝试在切换复选框时清除标记
- 如何摆脱 Material UI 容器组件中的填充?
- 显示错误消息后表单元素布局混乱
- Selenium webdriver 处理提示窗口或设置具有身份验证的代理
- 将 ETW 日志转发到 Splunk 接收器的最简单方法是什么?
- Ada 中仅包含十六进制字符的字符串子类型
- 在球拍中生成流
- chrome.storage不保存数据(在定义之前就使用了chrome)
- ORACLE - 限制特定列值的行数
- 安装 AzCore System 32 访问文件时出错
- 从模块获取尺寸时,f2py 编译失败
- pyspark - 分解一个数据帧 col,其中包含 json
- 从旧数据文件中获取时间戳
- 如何禁用 TensorFlow GPU?
© www.soinside.com 2019 - 2024. All rights reserved.