問題タブ [kube-apiserver]

OIDC 経由でダッシュボードにログオンできるという問題がありますが、oidc グループ情報が正しくマッピングされず、対応するリソースにアクセスできません。

基本設定

• K8s バージョン: 1.19.0
• K8s セットアップ: 1 つのマスター + 2 つのワーカー ノード
• Debian 10 VM に基づく
• CNI: キャリコ
• OIDC プロキシとしての Louketo プロキシ
• OIDC: Keycloak サーバー (Keycloak X [Quarkus])

構成

これらのパラメーターを使用して K8s apiserver を構成しました。

kube-apiserver.yaml

ClusterRoleBinding

次のlouketoパラメーターを使用しました

ルケト プロキシ

ダッシュボード内に次のエラー メッセージが表示されます。 K8sエラー

この問題を解決していただけると幸いです。インターネットのほとんどのマニュアルを既に試しましたが、まだ解決策が見つかりません。

PS: Keycloak サーバーで対応するグループ マッピングを実行し、グループ エントリが転送されることも確認しました。

kubernetes-master から kube-apiserver を削除しても、kubectl が Pod にクエリを実行できなくなりません。kube-apiserver がマスターとの通信を担当していることを常に理解しています。

私の質問: kube-apiserver がまだ再起動している間に、kubectl が Pod をクエリできるようにするにはどうすればよいですか? この動作をカバーする公式ドキュメントはありますか?

たとえば、RWX ACCESS_MODE で pvc を作成したいのですが、デフォルトの sorageclasses が RWX をサポートしているかどうかを事前に知ることはできますか?