Failed to list *v1.PersistentVolumeClaim: persistentvolumeclaims is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "persistentvolumeclaims" in API group "" at the cluster scope
时间: 2023-07-19 11:53:19 浏览: 66
这是一个 Kubernetes API 的错误,它表示当前的 ServiceAccount "default:nfs-client-provisioner" 没有足够的权限来列出所有 PersistentVolumeClaim 资源。你需要为这个 ServiceAccount 分配足够的权限,或者使用一个具有足够权限的不同 ServiceAccount。你可以通过修改 Kubernetes RBAC 规则来为 ServiceAccount 分配权限,或者使用 Kubernetes 中的 RoleBinding 和 ClusterRoleBinding 来授予 ServiceAccount 相应的权限。
相关问题
Failed to list *v1.PersistentVolume: persistentvolumes is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "persistentvolumes" in API group "" at the cluster scope解决这个问题的yaml
这个错误是因为 "system:serviceaccount:default:nfs-client-provisioner" 用户没有在集群范围内列出 persistentvolumes 资源的权限。你需要给这个用户授予在集群范围内列出 persistentvolumes 资源的权限。以下是一个示例 YAML 文件的内容:
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: nfs-client-provisioner-pv-list
rules:
- apiGroups: [""]
resources: ["persistentvolumes"]
verbs: ["list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: nfs-client-provisioner-pv-list-binding
subjects:
- kind: ServiceAccount
name: nfs-client-provisioner
namespace: default
roleRef:
kind: ClusterRole
name: nfs-client-provisioner-pv-list
apiGroup: rbac.authorization.k8s.io
```
你可以将上面的 YAML 文件保存为一个文件,比如 `nfs-client-provisioner-rbac.yaml`,然后使用 kubectl apply 命令来创建这个 RBAC 规则:
```
kubectl apply -f nfs-client-provisioner-rbac.yaml
```
这样,"system:serviceaccount:default:nfs-client-provisioner" 用户就可以在集群范围内列出 persistentvolumes 资源了。
Failed to list *v1.StorageClass: storageclasses.storage.k8s.io is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "storageclasses" in API group "storage.k8s.io" at the cluster scope: RBAC: clusterrole.rbac.authorization.k8s.io "nfs-client-provisioner-role" not found的yaml怎么写
可以按照以下步骤创建一个 ClusterRole,并将其与 ServiceAccount 绑定来解决这个问题:
1. 创建一个 ClusterRole 的 YAML 文件,例如 nfs-client-provisioner-role.yaml,内容如下:
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: nfs-client-provisioner-role
rules:
- apiGroups: [""]
resources: ["persistentvolumes", "persistentvolumeclaims"]
verbs: ["get", "list", "watch", "create", "delete"]
- apiGroups: ["storage.k8s.io"]
resources: ["storageclasses"]
verbs: ["get", "list", "watch"]
```
该 YAML 文件中定义了一个 ClusterRole,名称为 nfs-client-provisioner-role,它允许 ServiceAccount 访问 Kubernetes API 中的 persistentvolumes、persistentvolumeclaims 和 storageclasses 资源。
2. 创建一个 ClusterRoleBinding 的 YAML 文件,例如 nfs-client-provisioner-rolebinding.yaml,内容如下:
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: nfs-client-provisioner-rolebinding
subjects:
- kind: ServiceAccount
name: nfs-client-provisioner
namespace: default
roleRef:
kind: ClusterRole
name: nfs-client-provisioner-role
apiGroup: rbac.authorization.k8s.io
```
该 YAML 文件中定义了一个 ClusterRoleBinding,名称为 nfs-client-provisioner-rolebinding,它将 ServiceAccount nfs-client-provisioner 绑定到 ClusterRole nfs-client-provisioner-role 上。请注意,这里的 ServiceAccount 名称和 Namespace 需要根据实际情况进行调整。
3. 应用这两个 YAML 文件:
```bash
$ kubectl apply -f nfs-client-provisioner-role.yaml
$ kubectl apply -f nfs-client-provisioner-rolebinding.yaml
```
4. 重启应用程序的 Pod,使其能够使用新的 ServiceAccount。
在这个过程中,我们创建了一个新的 ClusterRole,将它与 ServiceAccount 绑定,赋予了 ServiceAccount 访问 Kubernetes API 中的 persistentvolumes、persistentvolumeclaims 和 storageclasses 资源的权限。