用戶無法取得叢集資源
本文說明如何修正無法取得 Azure Kubernetes Service (AKS) 叢集中資源詳細數據時所發生的問題。
必要條件
- kubernetes 叢集命令行工具 (kubectl) 。
注意事項
如果您使用 Azure Cloud Shell 來執行殼層命令,則已安裝 kubectl。 如果您使用本機殼層並已安裝 Azure CLI ,也可以執行 az aks install-cli 命令來安裝 kubectl。
徵狀
如果您執行 kubectl 以取得 AKS 叢集節點的詳細資料,您可能會看到下列錯誤訊息:
$ kubectl get nodes
Error from server (Forbidden): nodes is forbidden: User "aaaa11111-11aa-aa11-a1a1-111111aaaaa" cannot list resource "nodes" in API group "" at the cluster scope
原因 1:角色和角色系結許可權不正確
當您為 AKS 叢集啟用角色型存取控制 (RBAC) 時,您可以透過角色和 RoleBinding (或 ClusterRole 和 ClusterRoleBinding) 設定來控制使用者的許可權。 如果使用者尚未定義正確的許可權,使用者會在嘗試取得叢集中資源的詳細數據時看到錯誤。
解決方案:設定正確的角色和角色系結
請務必為用戶設定正確的 Role 和 RoleBinding。 如需詳細範例,請參閱搭配使用 Kubernetes RBAC 與 Microsoft Entra 整合。
原因 2:安全組內的存取指派不正確
如果 AKS 管理與 Microsoft Entra ID 的整合,則使用者可能沒有安全組的正確指派。
解決方案:讓安全組系統管理員指派正確的存取層級
確定安全組的系統管理員已為您的帳戶提供作用中或條件式存取指派。 請參閱 AKS 管理的 Microsoft Entra 整合。 本文提供設定作用中 指派 或 條件式存取指派的指示。
與我們連絡,以取得說明
如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應