kubernetes - Helm 安装istio返回禁止的错误

我正在尝试使用 Helm 安装istio。我收到一个错误“禁止:尝试授予额外的特权”。我正在使用Azure AKS群集。

这是我没有运气尝试过的。

使用--set rbac.create = false

将全新群集与RBAC一起使用时已关闭

为当前用户

的集群管理员创建集群角色绑定(bind)

最佳答案

从错误消息中可以看出，在群集中运行的掌 Helm 者Tiller组件使用kube-system命名空间中的默认serviceaccount在istio-system命名空间中创建资源，但没有足够的特权。

因此，您可以将Tiller配置为使用另一个serviceaccount，并为该serviceaccount提供群集管理特权，或者继续使用默认serviceaccount，并将cluster admin提供给默认serviceaccount。由于在此命名空间中启动的所有Pod在默认情况下都将使用默认serviceaccount，因此建议您不为默认serviceaccount赋予完全特权。

例如，摘录自 Helm 文件:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: tiller
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tiller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
  - kind: ServiceAccount
    name: tiller
    namespace: kube-system

关于kubernetes - Helm 安装istio返回禁止的错误，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/53095970/