由于身份验证问题，在连接 Amazon EKS 集群的 AWS CodeBuild 上执行 kubectl 不起作用

Question

kubectl version在 CodeBuild 上打印错误...

\n\n

[Container] 2019/08/26 04:07:32 Running command kubectl version \nClient Version: version.Info{Major:"1", Minor:"15", GitVersion:"v1.15.0", GitCommit:"e8462b5b5dc2584fdcd18e6bcfe9f1e4d970a529", GitTreeState:"clean", BuildDate:"2019-06-19T16:40:16Z", GoVersion:"go1.12.5", Compiler:"gc", Platform:"linux/amd64"} \nerror: You must be logged in to the server (the server has asked for the client to provide credentials)\n

\n\n

\n

错误：您必须登录到服务器（服务器已要求客户端提供凭据）

\n

\n\n

我正在使用 Amazon EKS 集群。\n似乎缺少一些身份验证设置...？

\n\n

我做了什么：

\n\n

\n
1. codebuild-hoge-service-role设置代码构建项目（创建新的服务角色）。
\n
2. 将策略添加eks:DescribeCluster到角色作为内联策略，因为aws eks update-kubeconfig需要它。
\n
3. 编辑以在本地设备上configmap/aws-auth绑定角色和 RBAC ，添加新配置：kubectl edit -n kube-system configmap/aws-authmapRoles
\n

\n\n

   mapRoles: |\n     - rolearn: .....\n     - rolearn: arn:aws:iam::999999999999:role/service-role/codebuild-hoge-service-role\n     \xc2\xa6 username: codebuild\n     \xc2\xa6 groups:\n     \xc2\xa6   - system:masters\n\n

\n\n

仅此而已。\n还不够？有什么我错过的吗？

\n\n

我还尝试了另一种调试方法，它成功了。

\n\n

\n
1. 创建 IAM 用户和 IAM 角色。他可以切换到角色（承担角色）。
\n
2. 编辑configmap/aws-auth并添加角色的配置。（与失败过程相同）
\n
3. 在本地切换角色并执行kubectl version。有效！！
\n

\n\n

构建规范.yml

\n\n

version: 0.2\nphases:\n  install:\n    runtime-versions:\n      docker: 18\n    commands:\n      - curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.15.0/bin/linux/amd64/kubectl\n      - chmod +x ./kubectl\n      - mv -f ./kubectl /usr/local/bin/kubectl\n  pre_build:\n    commands:\n      - aws eks update-kubeconfig --name mycluster\n      - kubectl version\n  build:\n    commands:\n      - kubectl get svc -A\n

\n

Answer 1

我遇到过同样的问题。我只需创建另一个具有与原始角色相同的信任关系和策略的角色。但它奏效了。

我做的唯一不同的是没有添加路径/service-role/，因此 ARN 看起来像：arn:aws:iam::123456789012:role/another-codebuild-role。