当前位置: 首页 > news >正文

k8s之Flannel网络插件安装提示forbidden无权限

news 2026/3/13 23:53:25

在这里插入图片描述

一、问题描述

在安装k8s的网络插件时,提示如下信息,各种forbidden无权限

[root@zzyk8s01 scripts]# kubectl apply -f kube-flannel.yml 
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "policy/v1beta1, Resource=podsecuritypolicies", GroupVersionKind: "policy/v1beta1, Kind=PodSecurityPolicy"
Name: "psp.flannel.unprivileged", Namespace: ""
from server for: "kube-flannel.yml": podsecuritypolicies.policy "psp.flannel.unprivileged" is forbidden: User "system:node:zzyk8s01" cannot get resource "podsecuritypolicies" in API group "policy" at the cluster scope
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "rbac.authorization.k8s.io/v1, Resource=clusterroles", GroupVersionKind: "rbac.authorization.k8s.io/v1, Kind=ClusterRole"
Name: "flannel", Namespace: ""
from server for: "kube-flannel.yml": clusterroles.rbac.authorization.k8s.io "flannel" is forbidden: User "system:node:zzyk8s01" cannot get resource "clusterroles" in API group "rbac.authorization.k8s.io" at the cluster scope
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "rbac.authorization.k8s.io/v1, Resource=clusterrolebindings", GroupVersionKind: "rbac.authorization.k8s.io/v1, Kind=ClusterRoleBinding"
Name: "flannel", Namespace: ""
from server for: "kube-flannel.yml": clusterrolebindings.rbac.authorization.k8s.io "flannel" is forbidden: User "system:node:zzyk8s01" cannot get resource "clusterrolebindings" in API group "rbac.authorization.k8s.io" at the cluster scope
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "/v1, Resource=serviceaccounts", GroupVersionKind: "/v1, Kind=ServiceAccount"
Name: "flannel", Namespace: "kube-system"
from server for: "kube-flannel.yml": serviceaccounts "flannel" is forbidden: User "system:node:zzyk8s01" cannot get resource "serviceaccounts" in API group "" in the namespace "kube-system": can only create tokens for individual service accounts
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "/v1, Resource=configmaps", GroupVersionKind: "/v1, Kind=ConfigMap"
Name: "kube-flannel-cfg", Namespace: "kube-system"
from server for: "kube-flannel.yml": configmaps "kube-flannel-cfg" is forbidden: User "system:node:zzyk8s01" cannot get resource "configmaps" in API group "" in the namespace "kube-system": no relationship found between node 'zzyk8s01' and this object
Error from server (Forbidden): error when retrieving current configuration of:
Resource: "apps/v1, Resource=daemonsets", GroupVersionKind: "apps/v1, Kind=DaemonSet"
Name: "kube-flannel-ds", Namespace: "kube-system"
from server for: "kube-flannel.yml": daemonsets.apps "kube-flannel-ds" is forbidden: User "system:node:zzyk8s01" cannot get resource "daemonsets" in API group "apps" in the namespace "kube-system"
[root@zzyk8s01 scripts]#

二、解决方法

这可能是由于config没有更新导致的,/root/.kube/config是从/etc/kubernetes/admin.conf复制而来。复制来之后,是需要执行更新kubeconfig命令的。

2.1 更新 kubeconfig 命令:

export KUBECONFIG=/root/.kube/config
chmod g-r /root/.kube/config

2.2 再次执行安装flannel的命令

提示各种OK

[root@zzyk8s01 scripts]# kubectl apply -f kube-flannel.yml            
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
podsecuritypolicy.policy/psp.flannel.unprivileged created
clusterrole.rbac.authorization.k8s.io/flannel created
clusterrolebinding.rbac.authorization.k8s.io/flannel created
serviceaccount/flannel created
configmap/kube-flannel-cfg created
daemonset.apps/kube-flannel-ds created

2.3 查看flannel的运行情况

显示各种Running

[root@zzyk8s01 scripts]# kubectl get pods -n kube-system
NAME                               READY   STATUS    RESTARTS   AGE
coredns-78fcd69978-vlzpd           1/1     Running   0          2d16h
coredns-78fcd69978-vmtdm           1/1     Running   0          2d16h
etcd-zzyk8s01                      1/1     Running   1          2d16h
kube-apiserver-zzyk8s01            1/1     Running   1          2d16h
kube-controller-manager-zzyk8s01   1/1     Running   2          2d16h
kube-flannel-ds-fpzm9              1/1     Running   0          36s
kube-flannel-ds-gkgnz              1/1     Running   0          36s
kube-flannel-ds-tmb5s              1/1     Running   0          36s
kube-proxy-2gxv9                   1/1     Running   0          2d16h
kube-proxy-h2zdl                   1/1     Running   0          2d16h
kube-proxy-v6drm                   1/1     Running   1          2d16h
kube-scheduler-zzyk8s01            1/1     Running   2          2d16h

2.4 查看flannel网络情况

如下图,cni0和flannel.1网络都UP状态在这里插入图片描述

三、附上 kube-flannel.yml的文件

---
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:name: psp.flannel.unprivilegedannotations:seccomp.security.alpha.kubernetes.io/allowedProfileNames: docker/defaultseccomp.security.alpha.kubernetes.io/defaultProfileName: docker/defaultapparmor.security.beta.kubernetes.io/allowedProfileNames: runtime/defaultapparmor.security.beta.kubernetes.io/defaultProfileName: runtime/default
spec:privileged: falsevolumes:- configMap- secret- emptyDir- hostPathallowedHostPaths:- pathPrefix: "/etc/cni/net.d"- pathPrefix: "/etc/kube-flannel"- pathPrefix: "/run/flannel"readOnlyRootFilesystem: false# Users and groupsrunAsUser:rule: RunAsAnysupplementalGroups:rule: RunAsAnyfsGroup:rule: RunAsAny# Privilege EscalationallowPrivilegeEscalation: falsedefaultAllowPrivilegeEscalation: false# CapabilitiesallowedCapabilities: ['NET_ADMIN', 'NET_RAW']defaultAddCapabilities: []requiredDropCapabilities: []# Host namespaceshostPID: falsehostIPC: falsehostNetwork: truehostPorts:- min: 0max: 65535# SELinuxseLinux:# SELinux is unused in CaaSPrule: 'RunAsAny'
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: flannel
rules:
- apiGroups: ['extensions']resources: ['podsecuritypolicies']verbs: ['use']resourceNames: ['psp.flannel.unprivileged']
- apiGroups:- ""resources:- podsverbs:- get
- apiGroups:- ""resources:- nodesverbs:- list- watch
- apiGroups:- ""resources:- nodes/statusverbs:- patch
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: flannel
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: flannel
subjects:
- kind: ServiceAccountname: flannelnamespace: kube-system
---
apiVersion: v1
kind: ServiceAccount
metadata:name: flannelnamespace: kube-system
---
kind: ConfigMap
apiVersion: v1
metadata:name: kube-flannel-cfgnamespace: kube-systemlabels:tier: nodeapp: flannel
data:cni-conf.json: |{"name": "cbr0","cniVersion": "0.3.1","plugins": [{"type": "flannel","delegate": {"hairpinMode": true,"isDefaultGateway": true}},{"type": "portmap","capabilities": {"portMappings": true}}]}net-conf.json: |{"Network": "10.244.0.0/16","Backend": {"Type": "vxlan"}}
---
apiVersion: apps/v1
kind: DaemonSet
metadata:name: kube-flannel-dsnamespace: kube-systemlabels:tier: nodeapp: flannel
spec:selector:matchLabels:app: flanneltemplate:metadata:labels:tier: nodeapp: flannelspec:affinity:nodeAffinity:requiredDuringSchedulingIgnoredDuringExecution:nodeSelectorTerms:- matchExpressions:- key: kubernetes.io/osoperator: Invalues:- linuxhostNetwork: truepriorityClassName: system-node-criticaltolerations:- operator: Existseffect: NoScheduleserviceAccountName: flannelinitContainers:- name: install-cniimage: jmgao1983/flannel #quay.io/coreos/flannel:v0.13.1-rc2command:- cpargs:- -f- /etc/kube-flannel/cni-conf.json- /etc/cni/net.d/10-flannel.conflistvolumeMounts:- name: cnimountPath: /etc/cni/net.d- name: flannel-cfgmountPath: /etc/kube-flannel/containers:- name: kube-flannelimage: jmgao1983/flannel #quay.io/coreos/flannel:v0.13.1-rc2command:- /opt/bin/flanneldargs:- --ip-masq- --kube-subnet-mgrresources:requests:cpu: "100m"memory: "50Mi"limits:cpu: "100m"memory: "50Mi"securityContext:privileged: falsecapabilities:add: ["NET_ADMIN", "NET_RAW"]env:- name: POD_NAMEvalueFrom:fieldRef:fieldPath: metadata.name- name: POD_NAMESPACEvalueFrom:fieldRef:fieldPath: metadata.namespacevolumeMounts:- name: runmountPath: /run/flannel- name: flannel-cfgmountPath: /etc/kube-flannel/volumes:- name: runhostPath:path: /run/flannel- name: cnihostPath:path: /etc/cni/net.d- name: flannel-cfgconfigMap:name: kube-flannel-cfg

END

相关文章:

k8s之Flannel网络插件安装提示forbidden无权限

一、问题描述 在安装k8s的网络插件时,提示如下信息,各种forbidden无权限 [rootzzyk8s01 scripts]# kubectl apply -f kube-flannel.yml Error from server (Forbidden): error when retrieving current configuration of: Resource: "policy/v1b…...

编程日记 2023/10/29 4:26:45

在微信小程序云开发中引入Vant Weapp组件库

介绍 Vant 是一个轻量、可靠的移动端组件库,于 2017 年开源。 目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本,并由社区团队维护 React 版本和支付宝小程序版本。 介绍 - Vant Weapp (youzan.github.io) Vant Weapp需要安装 node.js&…...

编程日记 2023/10/29 4:25:44

Vue+ElementUI项目打包部署到Ubuntu服务器中

1、修改config/index.js中的assetsPublicPath: /,修改为assetsPublicPath: ./ assetsPublicPath: ./2、在build/utils.js中增加publicPath: ../../ publicPath: ../../3、打开终端,在根目录下执行npm run build进行打包,打包成功后会生成dist npm run…...

编程日记 2023/10/29 4:24:43

面试题收集——Java基础部分(一)

1、一个".java"源文件中是否可以包括多个类(不是内部类)?有什么限制?   可以有多个类,但只能有一个public的类,并且public的类名必须与文件名相一致。 2、Java有没有goto?   java中的保留字…...

编程日记 2023/10/29 4:23:42

Vue中this指向问题

文章目录 1 由Vue管理的函数2 不被Vue管理的函数3 总结 1 由Vue管理的函数 computed 计算属性watch 监视属性filters (Vue3中已弃用且不再支持) 过滤器methods 上述属性里配置的函数this指向Vue实例,不要采用箭头函数写法,因为箭头函数没有自己的this对…...

编程日记 2023/10/29 4:22:41

【iPad已停用】解锁教程

iPad多次输错密码时,会自动锁定并停用,这时候你可以使用iTuens或Tenorshare进行解锁。 一、使用iTunes解锁 下载并安装iTunes 使用数据线将iPad连接上电脑 让iPad进入恢复模式,同时安装iPad电源键和Home键,直到Logo出现也不要松…...

编程日记 2023/10/29 4:21:39

python不调用heapq库 实现大顶堆,小顶堆

参考了博客,并对其进行了堆的push() 和 降序排序的补充 【精选】图解堆排序及其Python实现_python 实现小顶堆-CSDN博客 目录 大顶堆 调用结果展示: 小顶堆: 调用结果展示: 此结果与调用heapq库中的heapify(arr)函数等效 …...

编程日记 2023/10/29 4:20:38

STM32F4X SDIO(二) SDIO协议

上一节简单介绍了SD卡的分类,本节将会介绍SD卡的通信协议,也就是SDIO协议。 STM32F4X SDIO(二)SDIO协议 SD 卡管脚和寄存器SD卡管脚分布SD卡通信协议SD卡寄存器SD卡内部结构 SDIO总线SDIO总线拓扑SDIO总线协议SDIO协议的基本结构…...

编程日记 2023/10/29 4:19:37

设计模式--7个原则

单一职责原则:一个类负责一项职责。 里氏替换原则:继承与派生的规则。 依赖倒置原则:高层模块不应该依赖基层模块,二者都应该依赖其抽象;抽象不应该依赖细节;细节应该依赖抽象。即针对接口编程&#xff0…...

编程日记 2023/10/29 4:18:36

AltiumDesigner原理图编译错误报告信息解释

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、ViolationsAssociated with Buses 有关总线电⽓错误的各类型(共 12 项)二、ViolationsAssociated Components 有关元件符号电⽓错误…...

编程日记 2023/10/29 4:17:35

使用 Visual Studio Code 编写 TypeScript程序

安装 TypeScript 首先,确保你已经安装了 TypeScript,如果没有安装,请参考https://blog.csdn.net/David_house/article/details/134077973?spm1001.2014.3001.5502进行安装 创建 新建一个文件夹,用vs code打开,在文…...

编程日记 2023/10/29 4:15:30

科大讯飞发布讯飞星火 3.0;开源AI的现状

🚀 科大讯飞发布讯飞星火 3.0,综合能力超越ChatGPT(非GPT-4版) 摘要:科大讯飞在2023全球1024开发者节上宣布讯飞星火 3.0正式发布,号称综合能力已超越ChatGPT。据介绍,星火认知大模型 V3.0在文…...

编程日记 2023/10/29 4:14:28

公网远程访问macOS本地web服务器

# 公网访问macOS本地web服务器【内网穿透】 文章目录 1. 启动Apache服务器2. 公网访问本地web服务2.1 本地安装配置cpolar2.2 创建隧道2.3 测试访问公网地址3. 配置固定二级子域名3.1 保留一个二级子域名3.2 配置二级子域名4. 测试访问公网固定二级子域名 以macOS自带的Apache…...

编程日记 2023/10/29 4:12:26

windows 安装小乌龟

这是什么 这里简单描述一下在windows上如何安装GIT代码管理工具和使用小乌龟版本来调用GIT,并且配置一下git相关信息,可以使用小乌龟来操作代码。也有一些常规git使用方法。 需要的资源 Git-2.42.0-64-bit.exe(这个是git代码管理工具&…...

编程日记 2023/10/29 4:11:25

toon boom harmony基础

以下都是tbh快捷键使用,或者一些常用功能介绍 1、在节点视图中,按回车可直接弹出节点库搜索框 2、中心线编辑器 只能编辑用笔刷画出来的线条,铅笔画出来的线条无法编辑。 3、镜头标记 1 右键箭头方向,可弹出下拉,&am…...

编程日记 2023/10/29 4:10:23

JPA联合主键

​ 在实际工作中,我们会经常遇到联合主键的情况,所以我用简单例子列举JPA两种实现联合主键的方式。 1、如何通过IdClass 实现联合主键 第一步:新建一个UserInfoID类,里面是联合主键 Data Builder NoArgsConstructor AllArgsConstructor pu…...

编程日记 2023/10/29 4:09:21

水性杨花:揭秘CSS响应式界面设计,让内容灵活自如,犹如水之变幻

🎬 江城开朗的豌豆:个人主页 🔥 个人专栏 :《 VUE 》 《 javaScript 》 📝 个人网站 :《 江城开朗的豌豆🫛 》 ⛺️ 生活的理想,就是为了理想的生活 ! 目录 ⭐ 专栏简介 📘 文章引言 一、是…...

编程日记 2023/10/29 4:07:19

fio performance test

fio参数解释 可以使用fio -help查看每个参数,具体的参数左右可以在官网查看how to文档,如下为几个常见的参数描述 filename/dev/emcpowerb 支持文件系统或者裸设备,-filename/dev/sda2或-filename/dev/sdb 或 -filename/dev/nvme0n1direct…...

编程日记 2023/10/29 4:06:18

DevOps持续集成-Jenkins(1)

文章目录 DevOpsDevOps概述Code阶段工具(centos7-gitlab主机)Windows下安装Git(作用是:使我们可以上传代码到GitLab)Linux下安装GitLab⭐(作用是:运行一个GitLab接收代码)环境准备先…...

编程日记 2023/10/29 4:05:18

Pytorch代码入门学习之分类任务(二):定义数据集

一、导包 import torch import torchvision import torchvision.transforms as transforms 二、下载数据集 2.1 代码展示 # 定义数据加载进来后的初始化操作: transform transforms.Compose([# 张量转换:transforms.ToTensor(),# 归一化操作&#x…...

编程日记 2023/10/29 4:04:17

从零到一:GLM-4.6 + Claude Code YOLO模式实战配置指南(告别Sonnet依赖)

1. 为什么你需要这份配置指南? 最近几个月,我身边不少搞开发的朋友都在跟我吐槽,说之前用得好好的Claude Code突然就不灵了。要么是API额度被砍得厉害,跑几个任务就告急;要么是账号莫名其妙被限制,搞得项目…...

编程新知 2026/3/13 23:16:37

Nginx实战:配置HttpOnly、Secure与SameSite,筑牢Cookie安全防线

1. 从一次安全扫描说起:你的Cookie正在“裸奔” 前几天,我像往常一样对负责的一个Web应用进行例行安全扫描。报告一出来,一个醒目的“中危”警告直接拍在脸上:Cookie缺少SameSite属性。我心里咯噔一下,这可不是小事。这…...

编程新知 2026/3/13 23:00:29

Qwen3-8B入门必看:镜像站部署常见问题解答,让你少走弯路

Qwen3-8B入门必看:镜像站部署常见问题解答,让你少走弯路 你是不是也遇到过这种情况?看到别人用Qwen3-8B模型轻松完成各种任务,自己也想试试,结果在部署环节就卡住了。要么是环境配置报错,要么是模型加载失…...

编程新知 2026/3/13 22:32:13

MCP采样接口调用流终极图谱,覆盖HTTP/gRPC/WebSocket三协议接入路径,含12个可验证断点、8个标准OpenAPI Schema定义及采样决策日志规范

第一章:MCP采样接口调用流终极图谱概览MCP(Model Control Protocol)采样接口是模型服务中实现动态推理路径控制与可观测性采集的核心通道。其调用流并非线性链路,而是一个具备多入口、多分支、可插拔上下文注入能力的图状结构&…...

编程新知 2026/3/13 22:02:03

Z-Image-GGUF模型风格迁移效果集:将照片转化为名画风格

Z-Image-GGUF模型风格迁移效果集:将照片转化为名画风格 你有没有想过,自己随手拍的一张风景照,如果能变成梵高笔下的《星空》,或者莫奈画布上的《睡莲》,会是什么样子?以前这可能需要专业画师花费数周时间…...

编程新知 2026/3/13 21:31:47

STM32 RTC深度解析:备份域、亚秒精度与安全时间服务

实时钟(RTC)深度解析与工程实践指南1. RTC核心架构与电源域特性实时钟(RTC)是嵌入式系统中维持时间连续性的关键外设,其设计目标是在主系统断电、复位甚至深度睡眠状态下仍能持续计时。STM32系列MCU的RTC模块运行于独立…...

编程新知 2026/3/13 21:23:45

conda特定环境打包

目录1️⃣ conda pack2️⃣ -n lerobot3️⃣ -o ~/lerobot_env.tar.gz4️⃣ --ignore-editable-packages5️⃣ 命令整体意思6️⃣ 打包后的典型使用流程① 打包② 复制到另一台机器③ 解压④ 修复路径7️⃣ 最终使用这条命令是 把一个 Conda 环境打包成一个压缩文件&#xff0c…...

编程新知 2026/3/13 21:15:41

如何执行Install-Package

pwoershell执行[Net.ServicePointManager]::SecurityProtocol [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12Get-PackageProvider -ListAvailableInstall-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceInstall-Packa…...

编程新知 2026/3/13 20:15:09

源码: 以下代码包含了一个数据库所有的 CRUD (增删改查)操作。 <div> <button id=“js_add_btn“>添 ...

路姿爬慰?? 文章目录- Conda是什么?不止是包管理器! - ?? Conda vs Pip vs UV:三分天下,各显神通 - ??? Conda开发项目常用命令速查手册 - ?? 常见“翻车”现场与救援指南 - ?? 离线部署:没有网络也能搭建环…...

编程新知 2026/3/13 19:18:28

RockyLinux 8上如何用GCC 11.2替换系统默认编译器(附路径配置详解)

在RockyLinux 8上优雅升级GCC:从系统默认版本到GCC 11.2的完整实践指南 如果你正在RockyLinux 8上进行C/C开发,尤其是涉及现代C标准(如C17/20)或依赖特定编译器特性的项目,那么系统自带的GCC 8.5版本可能很快就会让你感…...

编程新知 2026/3/13 18:15:46