我遵循官方头盔documentation的说法:“在名称空间中部署Tiller,仅限于仅在该名称空间中部署资源”。这是我的bash脚本:
Namespace="$1"
kubectl create namespace $Namespace
kubectl create serviceaccount "tiller-$Namespace" --namespace $Namespace
kubectl create role "tiller-role-$Namespace" /
--namespace $Namespace /
--verb=* /
--resource=*.,*.apps,*.batch,*.extensions
kubectl create rolebinding "tiller-rolebinding-$Namespace" /
--namespace $Namespace /
--role="tiller-role-$Namespace" /
--serviceaccount="$Namespace:tiller-$Namespace"
helm init /
--service-account "tiller-$Namespace" /
--tiller-namespace $Namespace
--override "spec.template.spec.containers[0].command'='{/tiller,--storage=secret}"
--upgrade
--wait
运行helm upgrade会给我以下错误:
错误:升级失败:禁止配置映射:用户“ system:serviceaccount:kube-system:default”无法在名称空间“ kube-system”中列出配置映射
官方文档中是否有错误?我读错了吗?
答案 0 :(得分:1)
我不确定您的脚本中是否--resource标出正确的语法,是否可以在此处使用星号“ *”,请查看GitHub上的issue。
$ kubectl create role "tiller-role-$Namespace" \
--namespace $Namespace \
--verb=* \
--resource=*.,*.apps,*.batch,*.extensions
the server doesn't have a resource type "*"
但是您可以在集群中检查此角色对象:
kubectl get role tiller-role-$Namespace -n $Namespace -o yaml
否则,请按照文档中的说明尝试在yaml文件中为tiller创建角色:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: tiller-manager
namespace: tiller-world
rules:
- apiGroups: ["", "batch", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
此外,请记住,如果您在非默认名称空间(tiller)中安装了default,则在调用时必须指定tiller所在的名称空间Helm命令:
$ helm --tiller-namespace $Namespace version
Client: &version.Version{SemVer:"v2.11.0", GitCommit:"2e55dbe1fdb5fdb96b75ff144a339489417b146b", GitTreeState:"clean"}
Server: &version.Version{SemVer:"v2.11.0", GitCommit:"2e55dbe1fdb5fdb96b75ff144a339489417b146b", GitTreeState:"clean"}