Benutzer kann keine Clusterressourcen abrufen

  • Artikel
  • 2 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Sie Probleme beheben, die auftreten, wenn Sie die Details einer Ressource in einem Azure Kubernetes Service (AKS)-Cluster nicht abrufen können.

Voraussetzungen

  • Das Kubernetes-Cluster-Befehlszeilentool (kubectl).

Hinweis

Wenn Sie Die Azure Cloud Shell zum Ausführen von Shellbefehlen verwenden, ist Kubectl bereits installiert. Wenn Sie eine lokale Shell verwenden und Azure CLI bereits installiert haben, können Sie kubectl alternativ installieren, indem Sie den Befehl "az aks install-cli " ausführen.

Problembeschreibung

Wenn Sie kubectl ausführen, um die Details eines AKS-Clusterknotens abzurufen, wird möglicherweise die folgende Fehlermeldung angezeigt:

$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope

Ursache 1: Falsche Rollen- und Rollenbindungsberechtigungen

Wenn Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Ihren AKS-Cluster aktivieren, steuern Sie die Berechtigungen für einen Benutzer über die Einstellungen "Role and RoleBinding" (oder "ClusterRole and ClusterRoleBinding"). Wenn ein Benutzer nicht die richtigen Berechtigungen definiert hat, werden dem Benutzer Fehler angezeigt, wenn er versucht, die Details einer Ressource im Cluster abzurufen.

Lösung: Festlegen der richtigen Rollen und Rollenbindungen

Stellen Sie sicher, dass Sie die richtige Rolle und RoleBinding für den Benutzer festlegen. Ausführliche Beispiele finden Sie unter Verwenden von Kubernetes RBAC mit Azure AD Integration.

Ursache 2: Falsche Zugriffszuweisungen innerhalb einer Sicherheitsgruppe

Wenn AKS die Integration mit Azure Active Directory (Azure AD) verwaltet, hat der Benutzer möglicherweise nicht die richtige Zuweisung für die Sicherheitsgruppe.

Lösung: Weisen Sie dem Sicherheitsgruppenadministrator die richtige Zugriffsebene zu

Stellen Sie sicher, dass der Administrator der Sicherheitsgruppe Ihrem Konto eine Zuweisung für den aktiven oder bedingten Zugriff zugewiesen hat. Siehe AKS-verwaltete Azure Active Directory Integration. Dieser Artikel enthält Anweisungen zum Festlegen der aktiven oder bedingten Zugriffszuweisung.