首页
/ Rancher项目升级至最新版本后UI无法访问问题解析

Rancher项目升级至最新版本后UI无法访问问题解析

2025-05-08 15:14:09作者:冯梦姬Eddie

问题背景

在Rancher项目从v2.10.3版本升级至最新head版本后,部分用户遇到了Rancher管理界面无法正常访问的问题。通过分析容器日志,发现系统报出了与API权限相关的错误信息,具体表现为服务账户无法访问tokens.ext.cattle.io资源。

错误现象

升级完成后,Rancher UI界面无法正常加载,查看Rancher Pod日志可以看到以下关键错误:

W0306 07:01:32.438511      39 reflector.go:569] pkg/mod/k8s.io/client-go@v0.32.2/tools/cache/reflector.go:251: failed to list *summary.SummarizedObject: tokens.ext.cattle.io is forbidden: User "system:serviceaccount:cattle-system:rancher" cannot list resource "tokens" in API group "ext.cattle.io" at the cluster scope

该错误表明,cattle-system命名空间下的rancher服务账户缺少必要的集群范围权限,无法列出ext.cattle.io API组中的tokens资源。

问题分析

1. 权限变更影响

在Rancher v2.10.3到最新head版本的升级过程中,权限管理系统可能发生了变更。新版本引入了对tokens.ext.cattle.io资源的访问需求,但升级过程中未能自动为服务账户授予相应的权限。

2. 影响范围

该问题不仅出现在升级场景中,在全新安装的高可用(HA)环境中同样可能遇到。测试表明,使用RKE作为本地HA集群时,即使不进行升级操作,直接安装最新版本也会出现相同问题。

3. 技术根源

深入分析表明,该问题与Rancher的Steve框架(Imperative API基础架构)有关。新版本中对API访问控制逻辑的修改导致了权限校验更加严格,而现有的服务账户角色绑定未能及时更新以适应这些变化。

解决方案

开发团队已经通过合并相关修复代码解决了这一问题。修复主要涉及:

  1. 完善服务账户的集群角色绑定
  2. 确保升级过程中权限配置的正确迁移
  3. 调整API访问控制逻辑以保持向后兼容性

验证结果

修复后的版本通过了以下测试场景:

  1. 直接安装最新head版本,验证所有工作负载状态正常且UI可访问
  2. 从v2.10.3版本升级至修复后的head版本,确认所有工作负载镜像正确升级且系统功能正常

最佳实践建议

对于计划升级Rancher版本的用户,建议:

  1. 在测试环境中先验证升级过程
  2. 备份关键配置和数据
  3. 关注官方发布说明中关于权限变更的说明
  4. 如遇类似问题,检查服务账户权限配置是否完整

通过以上分析和解决方案,用户应能顺利完成Rancher版本的升级或安装,避免UI访问问题的发生。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
164
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
16
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
952
560
apintoapinto
基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.01 K
396
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
407
387
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
199
279
giteagitea
喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
17
0