GKE cluster-admin集群角色绑定失败，权限错误

Question

我刚刚使用运行Kubernetes 1.7.5的Google Container Engine创建了一个新集群，并启用了新的RBAC权限。我在为我的一些服务分配权限时遇到了一个问题，这导致我出现了以下问题：

将容器引擎与RBAC结合使用的docs状态为，必须通过运行以下命令授予用户创建授权角色的权限：

kubectl create clusterrolebinding cluster-admin-binding --clusterrole=cluster-admin [--user=<user-name>]

但是，由于缺少权限而失败(我假设权限与我们试图通过运行上述命令授予的权限完全相同)。

Error from server (Forbidden): 
User "<user-name>" cannot create clusterrolebindings.rbac.authorization.k8s.io at the cluster scope.: 
  "Required \"container.clusterRoleBindings.create\" permission." 
  (post clusterrolebindings.rbac.authorization.k8s.io)

任何帮助都是非常感谢的，因为这阻止了我创建集群服务所需的权限。

Answer 1

Janos的答案适用于使用密码创建的GKE集群，但我建议尽可能避免使用该密码(或在没有密码的情况下创建GKE集群)。

使用IAM:要创建该ClusterRoleBinding，调用者必须具有container.clusterRoleBindings.create权限。只有OWNER和GKE角色包含该权限(因为它允许修改Kubernetes Engine Admin集群上的访问控制)。

因此，要允许person@company.com运行该命令，他们必须被授予其中一个角色。例如：

gcloud projects add-iam-policy-binding $PROJECT \
  --member=user:person@company.com \
  --role=roles/container.admin

Answer 2

如果您的kubeconfig是由gcloud自动创建的，那么您的用户不是所有强大的管理员用户-您正在尝试为其创建绑定。

在群集上使用gcloud container clusters describe --zone 并查找password字段。

然后执行kubectl --username=admin --password=FROMABOVE create clusterrolebinding ...