Failed to list *v1.PersistentVolumeClaim: persistentvolumeclaims is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "persistentvolumeclaims" in API group "" at the cluster scope

这是一个 Kubernetes API 的错误，它表示当前的 ServiceAccount "default:nfs-client-provisioner" 没有足够的权限来列出所有 PersistentVolumeClaim 资源。你需要为这个 ServiceAccount 分配足够的权限，或者使用一个具有足够权限的不同 ServiceAccount。你可以通过修改 Kubernetes RBAC 规则来为 ServiceAccount 分配权限，或者使用 Kubernetes 中的 RoleBinding 和 ClusterRoleBinding 来授予 ServiceAccount 相应的权限。

相关问题

Failed to list *v1.PersistentVolume: persistentvolumes is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "persistentvolumes" in API group "" at the cluster scope解决这个问题的yaml

这个错误是因为 "system:serviceaccount:default:nfs-client-provisioner" 用户没有在集群范围内列出 persistentvolumes 资源的权限。你需要给这个用户授予在集群范围内列出 persistentvolumes 资源的权限。以下是一个示例 YAML 文件的内容：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nfs-client-provisioner-pv-list
rules:
- apiGroups: [""]
  resources: ["persistentvolumes"]
  verbs: ["list"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: nfs-client-provisioner-pv-list-binding
subjects:
- kind: ServiceAccount
  name: nfs-client-provisioner
  namespace: default
roleRef:
  kind: ClusterRole
  name: nfs-client-provisioner-pv-list
  apiGroup: rbac.authorization.k8s.io

你可以将上面的 YAML 文件保存为一个文件，比如 `nfs-client-provisioner-rbac.yaml`，然后使用 kubectl apply 命令来创建这个 RBAC 规则：

kubectl apply -f nfs-client-provisioner-rbac.yaml

这样，"system:serviceaccount:default:nfs-client-provisioner" 用户就可以在集群范围内列出 persistentvolumes 资源了。

Failed to list *v1.StorageClass: storageclasses.storage.k8s.io is forbidden: User "system:serviceaccount:default:nfs-client-provisioner" cannot list resource "storageclasses" in API group "storage.k8s.io" at the cluster scope: RBAC: clusterrole.rbac.authorization.k8s.io "nfs-client-provisioner-role" not found的yaml怎么写

可以按照以下步骤创建一个 ClusterRole，并将其与 ServiceAccount 绑定来解决这个问题：

1. 创建一个 ClusterRole 的 YAML 文件，例如 nfs-client-provisioner-role.yaml，内容如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: nfs-client-provisioner-role
rules:
- apiGroups: [""]
  resources: ["persistentvolumes", "persistentvolumeclaims"]
  verbs: ["get", "list", "watch", "create", "delete"]
- apiGroups: ["storage.k8s.io"]
  resources: ["storageclasses"]
  verbs: ["get", "list", "watch"]

该 YAML 文件中定义了一个 ClusterRole，名称为 nfs-client-provisioner-role，它允许 ServiceAccount 访问 Kubernetes API 中的 persistentvolumes、persistentvolumeclaims 和 storageclasses 资源。

2. 创建一个 ClusterRoleBinding 的 YAML 文件，例如 nfs-client-provisioner-rolebinding.yaml，内容如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: nfs-client-provisioner-rolebinding
subjects:
- kind: ServiceAccount
  name: nfs-client-provisioner
  namespace: default
roleRef:
  kind: ClusterRole
  name: nfs-client-provisioner-role
  apiGroup: rbac.authorization.k8s.io

该 YAML 文件中定义了一个 ClusterRoleBinding，名称为 nfs-client-provisioner-rolebinding，它将 ServiceAccount nfs-client-provisioner 绑定到 ClusterRole nfs-client-provisioner-role 上。请注意，这里的 ServiceAccount 名称和 Namespace 需要根据实际情况进行调整。

3. 应用这两个 YAML 文件：

$ kubectl apply -f nfs-client-provisioner-role.yaml
$ kubectl apply -f nfs-client-provisioner-rolebinding.yaml

4. 重启应用程序的 Pod，使其能够使用新的 ServiceAccount。

在这个过程中，我们创建了一个新的 ClusterRole，将它与 ServiceAccount 绑定，赋予了 ServiceAccount 访问 Kubernetes API 中的 persistentvolumes、persistentvolumeclaims 和 storageclasses 资源的权限。