kubesphere3.1 自定义账户角色，kubectl使用

shirley

kubesphere3.1 中，自定义账户角色后，角色中的用户使用pod终端，显示 Do you have sufficient privileges?
怎么才能让自定义账户可以使用pod终端以及kubectl工具。

hongming

kubectl 是一个高权限的工具，暂时还没有开发给普通用户，后续有计划支持开放给普通用户。

普通 pod 终端访问权限这里有个 bug， kubesphere/kubesphere#3905，项目下的 operator 和 admin 都可以访问普通pod 的终端。

另外你可以确认一下管理员是否可以正常使用 web kubectl ，排除一下 websocket proxy 的问题 https://kubesphere.com.cn/forum/d/2275-ks-web-nginx-web-shell/11

shirley

hongming 现在是可以使用域名访问，但自己定义的账户角色只能看见pod终端的标识，进去显示Do you have sufficient privileges?是不是自己定义的账户角色没有查看pod终端的权限

hongming

shirley 需要你提供更多的信息，目前会有多种问题导致 kubectl 连不上，有按照我上面的回复进行排查吗（admin 账号是否可以正常打开 kubectl 和 pod terminal，是否是多集群环境，是否用了 nginx ，是否开启了 websocket proxy），另外KS 的版本，集群环境，报错截图（浏览器、控制台、网络请求），具体的日志(ks-apiserver 组件)，都能帮助我们更好的定位问题

shirley

hongming kubectl是可以使用的，nginx配置也是正确的，只是我们自定义的账户角色无法使用pod终端，显示Do you have sufficient privileges

shirley

hongming

shirley 这么改一下试试 rules 中增加 pods/exec, 自定义角色的 bug

cat << EOF | kubectl apply -f -
apiVersion: iam.kubesphere.io/v1alpha2
kind: RoleBase
metadata:
  name: role-template-manage-app-workloads
  labels:
    scope.kubesphere.io/namespace: ""
role:
  apiVersion: rbac.authorization.k8s.io/v1
  kind: Role
  metadata:
    annotations:
      iam.kubesphere.io/dependencies: '["role-template-view-app-workloads"]'
      iam.kubesphere.io/module: Application Workloads
      iam.kubesphere.io/role-template-rules: '{"applications":"manage","deployments":"manage","statefulsets":"manage",
        "daemonsets":"manage","jobs":"manage","cronjobs":"manage","pods":"manage","services":"manage","ingresses":"manage",
        "s2ibuilders":"manage","grayscale-release": "manage"}'
      kubesphere.io/alias-name: Application Workloads Management
    labels:
      iam.kubesphere.io/role-template: "true"
    name: role-template-manage-app-workloads
  rules:
    - apiGroups:
        - '*'
      resources:
        - services
        - applications
        - controllerrevisions
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
        - jobs
        - cronjobs
        - pods
        - pods/log
        - pods/exec
        - pods/containers
        - services
        - ingresses
        - router
        - workloads
        - s2ibinaries
        - s2ibinaries/file
        - s2ibuilders
        - s2ibuildertemplates
        - s2iruns
        - horizontalpodautoscalers
      verbs:
        - '*'
    - apiGroups:
        - '*'
      resources:
        - 'secrets'
      verbs:
        - list
    - apiGroups:
        - 'servicemesh.kubesphere.io'
      resources:
        - '*'
      verbs:
        - '*'
EOF

kubectl -n kubesphere-system rollout restart deploy ks-controller-manager

shirley

hongming 这个是在host集群执行还是在host和member集群都执行

hongming

shirley 都执行一下

shirley

hongming 这个是修改的rbac吗？会不会给我们自己定义的权限搞乱呀。现在为了避免覆盖的问题，想进入你上面给的这个配置文件修改，进入ks-controller-manager这个deployment的配置文件也没有对与rules的定义。那具体我要进入那个配置文件修改呢？

hongming

shirley

那就手动改吧

kubectl edit rolebases.iam.kubesphere.io role-template-manage-app-workloads

在 rules 里 - pods/log 下面加上 - pods/exec

保存之后重启一下 ks-controller-manager

kubectl -n kubesphere-system rollout restart deploy ks-controller-manager

shirley

hongming 还是不行

hongming

shirley

自定义角色勾选了应用负载管理吗，手动编辑一下你的自定义角色看看有没有加上 create pods/exec 的权限

kubectl -n <namespace> get roles <role> -o yaml

shirley

hongming 我的是3.1版本，有这个选项吗

shirley

hongming