我正在尝试使用 Helm 安装istio。我收到一个错误“禁止:尝试授予额外的特权”。我正在使用Azure AKS群集。
这是我没有运气尝试过的。
最佳答案
从错误消息中可以看出,在群集中运行的掌 Helm 者Tiller组件使用kube-system命名空间中的默认serviceaccount在istio-system命名空间中创建资源,但没有足够的特权。
因此,您可以将Tiller配置为使用另一个serviceaccount,并为该serviceaccount提供群集管理特权,或者继续使用默认serviceaccount,并将cluster admin提供给默认serviceaccount。由于在此命名空间中启动的所有Pod在默认情况下都将使用默认serviceaccount,因此建议您不为默认serviceaccount赋予完全特权。
例如,摘录自 Helm 文件:
apiVersion: v1
kind: ServiceAccount
metadata:
name: tiller
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: tiller
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: tiller
namespace: kube-system
关于kubernetes - Helm 安装istio返回禁止的错误,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/53095970/