堆栈内存溢出
  繁体   English   中英

使用工作负载身份为 GKE 节点池绑定 GCP IAM

[英]GCP IAM Binding for GKE Node Pool using Workload Identity

 原文  2021-12-09 11:52:26       kubernetes/ google-cloud-platform/ binding/ google-cloud-iam/ workload-identity

问题描述

我正在使用 Cloud Composer 在 Kubernetes 中运行任务来安排作业。 我已经在与 composer 相同的 GKE 中设置了一个新节点池,并使用它来运行 Kubernetes 任务。 在该节点池中,我使用默认服务帐户,但将该帐户绑定到与 Composer 节点池相同的服务帐户,使用 IAM 策略绑定并启用工作负载身份。

但是,我可以从错误中看到 kubernetes 服务帐户对作曲家服务帐户确实有权访问的某些内容缺乏权限。 这是没有意义的,因为 kubernetes 服务帐户具有与作曲家服务帐户绑定的 IAM 策略,因此它们应该具有完全相同的权限。 但无论出于何种原因,这都是不正确的。 任何关于在哪里看的提示都非常感谢......

1 个解决方案

解决方案1
 0 已采纳  2021-12-23 09:14:33

在节点池上启用工作负载身份是解决方案。 使用 terraform 的解决方案如下所示:

resource "google_container_node_pool" "google_container_node_pool_name" {

    workload_metadata_config {
       mode = "GKE_METADATA"
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 来自节点池的 GKE 上的不可调度的 GPU 工作负载 用于将 GKE 集群连接到不同 GCP 项目的工作负载身份 如何在 Terraform 中创建 GCP 工作负载身份 IAM 绑定? 所有命名空间的 GKE Workload Identity 服务帐号 在 Kubernetes 服务帐户中使用 Google 服务帐户密钥文件作为 GKE 工作负载身份的测试环境替代品 使用 Workload Identity 从 GKE 向 Google Cloud Firestore 进行身份验证 GKE 元数据服务器如何在 Workload Identity 中工作 GPU 未添加到 GKE 节点池 节点池是GKE还是Kubernetes的概念? 使用“系统和工作负载日志记录和监控”(GKE) 的接收器中的对象名称问题
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM