来自不同项目的 Google Artifact Registry 访问

Question

我想在单个 GKE 项目中配置 Google Artifact Registry，所有其他项目都可以访问此 Centralized Artifact Registry。

在谷歌文档中我不清楚如何实现这一点，特别是对于使用默认帐户的谷歌 Kube.netes 引擎节点。

您知道如何配置访问权限以实现该场景吗？

谢谢，

Answer 1

使用 GKE，节点服务帐户会拉取图像以在节点上运行它。 因此，您必须授予该节点服务帐户（或计算引擎默认服务帐户，如果您使用它）读取 Artifact Registry 中图像的权限。

您有 2 个级别可以在您的服务帐户上授予roles/artifactregistry.reader角色

• 直接在您的 Artifact 注册表项目的 IAM 页面中。 这样，服务帐户将有权访问您在项目中创建的所有注册表
• 在注册表级别仅授予该注册表的服务帐户，并禁止其他人。

这里有一个例子：

• Select 您的注册表（左侧的复选框）
• 在右侧的权限部分添加委托人

Answer 2

如果您要向该注册表添加委托人，请告知您无法添加服务帐户尚不存在； 您的 GKE 集群运行的项目中的服务帐户必须首先存在，因为 GCP 不允许添加不存在的服务帐户。

如果您真的想使用工件注册表所在的自动化工作流来管理该项目中的所有内容，这可能会给您带来先有鸡还是先有蛋的问题。 因此，在项目中配置注册表并在单独的项目中配置 GKE 及其所有服务帐户后，您可能需要一个中间阶段，您需要像拼接器这样的东西将两者连接在一起，如果您在国际交流协会

但是，您应该考虑另一种方法来避免任何