用户“系统:匿名”无法获取路径“/”

默认情况下，您的集群绑定具有系统：匿名设置，可阻止集群访问。

执行以下命令，它会将群集角色设置为群集管理员，这将为您提供所需的访问权限。

kubectl创建集群绑定集群-系统-匿名-集群角色=集群-管理员-用户=系统：匿名

最新的kubernetes部署工具在集群上启用了RBAC。Jenkins在访问https://192.168.70.94:6443/api/v1/...时被降级为包罗万象的用户系统：匿名。该用户在库贝-apiserver上几乎没有特权。

底线是，Jenkins需要使用kube-apiserver进行身份验证——要么使用不记名令牌，要么使用由k8s集群的CA密钥签名的客户端证书。

方法1.如果Jenkins托管在k8s集群中，则首选此方法：

1. 在 k8s 中为插件创建服务帐户
2. 创建一个 RBAC 配置文件（即与服务帐户关联的角色/角色绑定或群集角色/群集角色绑定）
3. 配置插件以在访问 URL 时使用服务帐户的令牌 https://192.168.70.94:6443/api/v1/...

方法二。如果Jenkins托管在k8s集群之外，上面的步骤仍然可以使用。替代方法是:

1. 创建与 k8s 群集的 CA 关联的客户端证书。您必须找到 CA 密钥的保存位置，并使用它来生成客户端证书。
2. 创建一个 RBAC 配置文件（即与客户端证书关联的角色/角色绑定或群集角色/群集角色绑定）
3. 配置插件以在访问 URL 时使用客户端证书 https://192.168.70.94:6443/api/v1/...

这两种方法在任何情况下都有效。我相信方法1对你来说会更简单，因为你不用再摆弄CA密钥了。

希望你看到这样的东西：

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "forbidden: User \"system:anonymous\" cannot get path \"/\"",
  "reason": "Forbidden",
  "details": {
    
  },
  "code": 403
}

这很好，因为不是每个人都应该能够访问集群，如果您想看到服务运行“kubectl proxy”，这应该能够从外部世界访问服务。

C:\dev1> kubectl proxy
Starting to serve on 127.0.0.1:8001

当您点击127.0.0.1:8001时，您应该会看到服务列表。