es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • Se ha creado una nueva cuenta de servicio para el clúster de Kubernetes, pero no puede ejecutarse en los pods.

Se ha creado una nueva cuenta de servicio para el clúster de Kubernetes, pero no puede ejecutarse en los pods.

22 May, 2023 Programación

Tengo un script que crea usuarios con acceso específico.

El script ejecuta los siguientes comandos:

kubectl create serviceaccount username
kubectl create clusterrole readonlyuser –non-resource-url=* –verb=get,list,watch –resource=pods,pods/attach,pods/exec,pods/port-forward,pods/proxy,services/proxy
kubectl create clusterrolebinding username –serviceaccount=default:username –clusterrole=readonlyuser
kubectl create rolebinding username –serviceaccount=default:username –clusterrole=readonlyuser –namespace=namespace

Cuando intento ejecutar un pod en ese namespace específico, obtengo el siguiente error:

Error from server (Forbidden): pods “” is forbidden: User “system:serviceaccount:default:username” cannot create resource “pods/exec” in API group “” in the namespace “namespace”

¿Alguna idea de cómo solucionar esto?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Parece que al clusterrolebinding le falta el permiso pods/exec. Puede agregarlo ejecutando el siguiente comando:

    kubectl create clusterrolebinding nombre_de_usuario --serviceaccount=default:nombre_de_usuario --clusterrole=readonlyuser --verb=get,list,watch,create --resource=pods/exec

Comments are closed.