kubernetes v1.8版本默认system:node的clusterrole不绑定任何用户或者组

        1.8版本之前.开启rbac后,apiserver默认绑定system:nodes组到system:node的clusterrole,v1.8之后,此绑定默认不存在,需要手工绑定,否则kubelet启动后会报认证错误,无法成为Ready状态.     

如上图,system:node角色默认绑定为空

      apiserver报RBAC DENY错误

  kubelet日志报很多权限错误的forbidden.

      此时node节点始终为NotReady状态

 

        创建角色绑定

      

              此时节点状态变更为Ready

https://kubernetes.io/docs/admin/authorization/node/