GKE traefik未能创建rbac权限

Question

我试图将traefik作为入口控制器安装在GKE (引擎)上，当我尝试：

kubectl apply -f https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-rbac.yaml

我有一个错误：

服务器错误(禁止)：创建“https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-rbac.yaml”时出错: clusterroles.rbac.authorization.k8s.io“traefik-ingress控制器”被禁止:尝试授予额外权限：[PolicyRule{APIGroups：“，Resources:"services"，谓词：”get“}PolicyRule{APIGroups：”，Resources:"services"，谓词：“list”}PolicyRule{APIGroups：“，Resources:"services"，谓词：”PolicyRule“}PolicyRule{APIGroups：”，Resources：“结束点”，动词：“get”PolicyRule{APIGroups:""，Resources：“终结点”，动词：“list”}PolicyRule{APIGroups：“，Resources：”终结点“，动词：”注视“}PolicyRule{APIGroups：”，参考资料：“秘密”，动词：“get”}PolicyRule{APIGroups：“，参考资料：”机密“，动词：”list“}PolicyRule{APIGroups：”，参考资料：“秘密”，动词：“监视”}PolicyRule{APIGroups：“扩展”，参考资料：“ingresses”，动词：“get”} map[user-assertion.cloud.google.com:ADKE0IBz9kwSuZRZkfbLil8iC/ijcmJJmuys2DvDGxoxQ5yP6Pdq1IQs3JRwDmd/lWm2vGdMXGB4h1QKiwx+3uV2ciTb/oQNtkthBvONnVp4fJGOSW1S+8O8dqvoUNRLNeB5gADNn1TKEYoB+JvRkjrkTOxtIh7rPugLaP5Hp7thWft9xwZqF9U4fgYHnPjCdRgvMrDvGIK8z7ONljYuStpWdJDu7LrPpT0L]} {APIGroups：“APIGroups”，参考资料：“包含”，动词：“列表”}PolicyRule{“扩展”，参考资料：“嵌入”，动词：“观察”} user=&{IzoPi4a@gmail.com系统:已验证的主题访问审查：“自主题访问”“自主题评论”，动词：“create”PolicyRule{NonResourceURLs:"/api“/api/”/apis“/apis/”/healthz“"/openapi”"/openapi/“/swagger-2.0.0.pb-v1”/swagger.json“"/swaggerapi”/swaggerapi/“/version”/version/"，动词：“get”} ruleResolutionErrors=[]

问题只是这个部分，另一个是成功创建的：

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: traefik-ingress-controller
rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch

基于docs ( https://cloud.google.com/kubernetes-engine/docs/how-to/role-based-access-control)，我尝试执行这个命令，但仍然得到相同的错误

kubectl create clusterrolebinding cluster-admin-binding --clusterrole=cluster-admin --user=MY_EMAIL_THAT_I_LOGIN_INTO_GCP

有人能解决这个问题吗？还是根本不起作用？

我试图制造一个没有loadBalancer的kubernetes集群，以便在我的本地机器(minikube)上便宜，我没有这样的问题。

Answer 1

因此，对于每个试图在GKE上安装traefik的人，如果您被错误信息所困，只需执行第一个https://stackoverflow.com/a/46316672/1747159。

# Get password value
$ gcloud container clusters describe CUSTER_NAME --zone ZONE_NAME | grep password

# Pass username and password parameters
$ kubectl apply -f https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-rbac.yaml --username=admin --password=PASSWORD

谢谢尼古拉·本帮我弄清楚

Answer 2

这里的主要问题是您的当前用户没有足够的权限来这样做。要创建必要的绑定：

kubectl create clusterrolebinding cluster-admin-binding \                                               
    --clusterrole=cluster-admin \
    --user=$(gcloud config get-value core/account)

感谢伊蒂奥的想法。