GKE上的Istio安裝失敗，並且「clusterroles.rbac.authorization.k8s.io」istio-pilot「被禁止：試圖授予額外的權限」

Question

嘗試在GKE（Google容器引擎）上安裝istio 0.1.6。

運行後續檢查，如果羣集有RBAC（基於角色的訪問控制）功能：

$ kubectl api-versions | grep rbac 
rbac.authorization.k8s.io/v1beta1 

它顯示「測試」版本，所以我跑：

$ kubectl apply -f istio-0.1.6/install/kubernetes/istio-rbac-beta.yaml 
Error from server (Forbidden): error when creating "istio-0.1.6/install/kubernetes/istio-rbac-beta.yaml": clusterroles.rbac.authorization.k8s.io "istio-pilot" is forbidden: attempt to grant extra privileges:... 

集羣角色綁定創建沒有幫助：

$ kubectl create clusterrolebinding myname-cluster-admin-binding --clusterrole=cluster-admin --user=myname@example.org 

任何想法如何解決這個問題？

更多細節：

$ kubectl version 
Client Version: version.Info{Major:"1", Minor:"6", GitVersion:"v1.6.2", GitCommit:"477efc3cbe6a7effca06bd1452fa356e2201e1ee", GitTreeState:"clean", BuildDate:"2017-04-19T20:33:11Z", GoVersion:"go1.7.5", Compiler:"gc", Platform:"linux/amd64"} 
Server Version: version.Info{Major:"1", Minor:"6", GitVersion:"v1.6.4", GitCommit:"d6f433224538d4f9ca2f7ae19b252e6fcb66a3ae", GitTreeState:"clean", BuildDate:"2017-05-19T18:33:17Z", GoVersion:"go1.7.5", Compiler:"gc", Platform:"linux/amd64"} 

Answer 1

CLOUDSDK_CONTAINER_USE_CLIENT_CERTIFICATE=True gcloud container clusters get-credentials... 

添加CLOUDSDK_CONTAINER_USE_CLIENT_CERTIFICATE=True到gcloud container clusters get-credentials命令，這將更新適當憑據kubeconfig文件在容器引擎集羣指向kubectl，解決了這個問題:)

參考：istio issue

Answer 2

我碰到過這個問題。對我來說，解決方案是--user的電子郵件地址參數必須是小寫字母。這意味着--user=foo.bar@example.com而不是--user=Foo.Bar@example.com