本文共 1613 字,大约阅读时间需要 5 分钟。
在部署Traefik Ingress Controller时,我们遇到了一个权限相关的问题,具体表现为无法访问控制面板(Dash),尽管RBAC配置看起来是完整的。以下是问题的排查过程和解决方法:
问题描述
在部署完成后,我们发现无法访问Traefik的控制面板页面。虽然describe命令没有报错,但日志中出现以下错误:E0413 09:23:13.134144 reflector.go:153] pkg/mod/k8s.io/client-go@v0.17.3/tools/cache/reflector.go:105: Failed to list *v1alpha1.IngressRouteUDP: ingressrouteudps.traefik.containo.us is forbidden: User "system:serviceaccount:kube-system:traefik-ingress-controller" cannot list resource "ingressrouteudps" in API group "traefik.containo.us" at the cluster scope
这表明系统在尝试访问UDP类型的IngressRoute时遇到了访问权限问题。
排查过程
apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRolemetadata: name: traefik-ingress-controllersspec: rules: - apiGroups: [traefik.containo.us] resources: [ingresses, ingressroutes, ingressroutetcps, tlsoptions] verbs: [get, list, watch]
配置看起来没有问题,但实际访问时仍然报错。进一步检查发现,权限中缺少了对IngressRouteUDP的访问。
权限修复
为了允许Traefik Ingress Controller访问IngressRouteUDP资源,我们需要在RBAC配置中添加相应的权限。更新后的配置如下:apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRolemetadata: name: traefik-ingress-controllersspec: rules: - apiGroups: [traefik.containo.us] resources: [ingresses, ingressroutes, ingressrouteudps, ingressroutetcps, tlsoptions] verbs: [get, list, watch]
这一步骤解决了访问IngressRouteUDP的问题。
版本问题
需要注意的是,我们使用的是Traefik版本1.17.2。随着时间推移,Traefik的版本可能会有变动。在我们的测试环境中,使用版本1.17.4时同样的问题没有出现。这表明版本更新可能会带来权限相关的改进或修复。其他优化
最后,我们发现减少UDP类型的Route规则数量可以有效缓解问题。这可能是由于过多的UDP规则导致资源冲突或权限检查失败。建议根据实际需求对Route规则进行精简。通过以上步骤,我们成功解决了Traefik Ingress Controller访问控制面板的权限问题。问题主要出现在RBAC配置中对特定资源的权限未设置,修复后系统运行正常。
转载地址:http://yxgbz.baihongyu.com/