堆棧內存溢出
  簡體   English   中英

使用工作負載身份為 GKE 節點池綁定 GCP IAM

[英]GCP IAM Binding for GKE Node Pool using Workload Identity

 原文  2021-12-09 11:52:26       kubernetes/ google-cloud-platform/ binding/ google-cloud-iam/ workload-identity

問題描述

我正在使用 Cloud Composer 在 Kubernetes 中運行任務來安排作業。 我已經在與 composer 相同的 GKE 中設置了一個新節點池,並使用它來運行 Kubernetes 任務。 在該節點池中,我使用默認服務帳戶,但將該帳戶綁定到與 Composer 節點池相同的服務帳戶,使用 IAM 策略綁定並啟用工作負載身份。

但是,我可以從錯誤中看到 kubernetes 服務帳戶對作曲家服務帳戶確實有權訪問的某些內容缺乏權限。 這是沒有意義的,因為 kubernetes 服務帳戶具有與作曲家服務帳戶綁定的 IAM 策略,因此它們應該具有完全相同的權限。 但無論出於何種原因,這都是不正確的。 任何關於在哪里看的提示都非常感謝......

1 個解決方案

解決方案1
 0 已采納  2021-12-23 09:14:33

在節點池上啟用工作負載身份是解決方案。 使用 terraform 的解決方案如下所示:

resource "google_container_node_pool" "google_container_node_pool_name" {

    workload_metadata_config {
       mode = "GKE_METADATA"
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 來自節點池的 GKE 上的不可調度的 GPU 工作負載 用於將 GKE 集群連接到不同 GCP 項目的工作負載身份 如何在 Terraform 中創建 GCP 工作負載身份 IAM 綁定? 所有命名空間的 GKE Workload Identity 服務帳號 在 Kubernetes 服務帳戶中使用 Google 服務帳戶密鑰文件作為 GKE 工作負載身份的測試環境替代品 使用 Workload Identity 從 GKE 向 Google Cloud Firestore 進行身份驗證 GKE 元數據服務器如何在 Workload Identity 中工作 GPU 未添加到 GKE 節點池 節點池是GKE還是Kubernetes的概念? 使用“系統和工作負載日志記錄和監控”(GKE) 的接收器中的對象名稱問題
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM