代码之家  ›  专栏  ›  技术社区  ›  dippynark

我需要为GKE节点池配置什么最小权限才能从同一项目中的私有GCR repo中提取?

gke google-cloud-platform kubernetes
  •  5
  • dippynark  · 技术社区  · 6 年前

    least privilege service account 并为其提供了 roles/storage.objectViewer

    但是,在尝试访问此图像时,我仍收到以下消息: Failed to pull image "eu.gcr.io/<project>/<image>": rpc error: code = Unknown desc = Error response from daemon: unauthorized: You don't have the needed permissions to perform this operation, and you may have invalid credentials. To authenticate your request, follow the steps in: https://cloud.google.com/container-registry/docs/advanced-authentication

    我还需要配置吗 imagePullSecrets 角色/storage.objectViewer 允许就足够了吗?

    1 回复  |  直到 6 年前
        1
  •  10
  •   Community CDub    4 年前

    此问题的根本原因是没有在群集实例上设置访问(OAuth)作用域,从而阻止服务帐户按预期工作。

    Compute service accounts :

    必须在实例上设置访问作用域才能授权访问。

    here here . 然后可以按照说明为集群节点创建一个最小特权服务帐户 here .

    如前所述 here 另一种选择是只授予 https://www.googleapis.com/auth/cloud-platform

    通过如上所述配置集群节点, imagePullSecrets 从同一项目中的GCR中提取私有映像时不需要。

    推荐文章
    ralonr  ·  当上下文已经设置好时,如何在K9中的上下文之间切换?
    2 年前
    Dr. Andrew  ·  kubectl运行时未创建部署
    2 年前
    Meghana B Srinath  ·  ServiceNow作为基于容器的应用程序
    2 年前
    CodeMonkey  ·  键“meta.helm.sh/release name”必须等于“x”:当前值为“y”
    2 年前
    user17377017  ·  Kubernetes nginx控制器错误日志:连接到上游时connect()失败(111:连接被拒绝),客户端:X.X.X.X,服务器:X.X.X.X
    3 年前
    Suhasini Subramaniam  ·  如何列出库伯内特斯吊舱中有CharDevice?
    3 年前
    briadeus  ·  Kubernetes活性/就绪性探测在同一集群上的不同命名空间中失败(权限被拒绝)
    3 年前
    Abhishek Rai  ·  库伯内特斯吊舱卡在集装箱内
    3 年前
    Rajan Subramanian  ·  无法让kubectl在minikube中运行flask应用程序
    3 年前
    TiDu  ·  使用EKS设置出口网关的最简单方法,无需Istio
    3 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号