Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/google-cloud-platform/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Google cloud platform 我的GKE群集使用什么服务帐户访问GCR_Google Cloud Platform_Google Compute Engine_Google Kubernetes Engine_Google Container Registry_Google Iam - Fatal编程技术网
Fatal编程技术网

Google cloud platform 我的GKE群集使用什么服务帐户访问GCR

google-cloud-platform google-compute-engine

Google cloud platform 我的GKE群集使用什么服务帐户访问GCR,google-cloud-platform,google-compute-engine,google-kubernetes-engine,google-container-registry,google-iam,Google Cloud Platform,Google Compute Engine,Google Kubernetes Engine,Google Container Registry,Google Iam,在一个GCP项目下,我有几个Google Kubernetes引擎集群 我试图了解GKE正在使用哪个服务帐户来创建POD,特别是,我在尝试读取同一项目下的Google容器存储库时遇到了一些权限拒绝错误 查看GCP IAM&Admin页面,我看到几个我不确定其用途的帐户: XXX-compute@developer.gserviceaccount.com - Compute Engine default service account XXX@cloudbuild.gserviceaccount.

在一个GCP项目下,我有几个Google Kubernetes引擎集群

我试图了解GKE正在使用哪个服务帐户来创建POD,特别是,我在尝试读取同一项目下的Google容器存储库时遇到了一些权限拒绝错误

查看GCP IAM&Admin页面,我看到几个我不确定其用途的帐户:

XXX-compute@developer.gserviceaccount.com - Compute Engine default service account
XXX@cloudbuild.gserviceaccount.com  
XXX@cloudservices.gserviceaccount.com - Google APIs Service Agent   
service-XXX@compute-system.iam.gserviceaccount.com  Compute Engine Service Agent    
service-XXX@container-engine-robot.iam.gserviceaccount.com - Kubernetes Engine Service Agent    
service-XXX@containerregistry.iam.gserviceaccount.com - Google Container Registry Service Agent     
service-XXX@dlp-api.iam.gserviceaccount.com 
service-XXX@gcf-admin-robot.iam.gserviceaccount.com - Google Cloud Functions Service Agent  
PPP@appspot.gserviceaccount.com - App Engine default service account
一些人获得了链接到他们的
更多信息
,但没有任何人对GKE部署使用有任何实际提示。

对于GKE,如果您有任何问题(可能与API的某些更改有关),您将拥有一个以“container engine robot.iam.gserviceaccount.com”结尾的帐户您可以删除GCE和GKE的默认帐户(在“名称”下,您将看到属于每个资源的详细信息),并使用重新启用服务以重新创建您的默认服务帐户,如果不只是分配“编辑器”角色并重试的话

每个GKE节点都有一个与其关联的IAM服务帐户。默认情况下,节点拥有计算引擎默认服务帐户,您可以通过导航到云控制台的IAM部分找到该帐户

如果您使用的是非默认计算引擎服务帐户,则可能需要在项目中授予服务帐户角色/storage.objectViewer角色。查看更多信息。

Compute Engine默认服务帐户在创建新群集时默认使用。你能提供更多关于你面临的错误的信息吗?不幸的是,我没有具体的错误,因为通过传递足够的权限,它被解决了。错误是存储库不存在或没有对其的权限。我验证了它的存在以提高自定义节点服务帐户的准确性。必须在项目范围上设置角色
storage.objectViewer
。在基础GCR存储桶上指定它不起作用(对于
imagePullSecrets
)。