Разверните Kubeflow 1.3 на GCP без ролей / владельца
Несколько дней я пытаюсь развернуть Kubeflow 1.3 на GCP без предоставления роли владельца учетной записи службы Config Connector. Для справки следую официальной документации . Пока я могу развернуть кластер управления (который работает с учетной записью службы Config Connector), но когда дело доходит до фактического развертывания кластера Kubeflow, он застревает на одном из самых первых шагов: создание экземпляра CloudSQL, который практически ничего не делает. смысл, поскольку учетная запись службы действительно имеет разрешение на это. Вот полный список ролей, которые я предоставил учетной записи службы:
roles/accessapproval.approver
roles/accessapproval.configEditor
roles/accesscontextmanager.policyAdmin
roles/aiplatform.admin
roles/aiplatform.customCodeServiceAgent
roles/aiplatform.serviceAgent
roles/anthos.serviceAgent
roles/anthosaudit.serviceAgent
roles/anthosconfigmanagement.serviceAgent
roles/anthosidentityservice.serviceAgent
roles/anthosservicemesh.serviceAgent
roles/apigateway.admin
roles/apigee.apiAdmin
roles/artifactregistry.admin
roles/artifactregistry.serviceAgent
roles/automl.admin
roles/automl.serviceAgent
roles/bigquery.admin
roles/bigqueryconnection.serviceAgent
roles/bigquerydatatransfer.serviceAgent
roles/binaryauthorization.serviceAgent
roles/cloudasset.owner
roles/cloudasset.serviceAgent
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor
roles/cloudbuild.serviceAgent
roles/clouddeploy.serviceAgent
roles/cloudfunctions.developer
roles/cloudfunctions.serviceAgent
roles/cloudscheduler.serviceAgent
roles/cloudsql.admin
roles/cloudsql.serviceAgent
roles/cloudtasks.serviceAgent
roles/cloudtpu.serviceAgent
roles/composer.admin
roles/composer.serviceAgent
roles/compute.admin
roles/compute.serviceAgent
roles/container.admin
roles/container.serviceAgent
roles/containeranalysis.admin
roles/containerregistry.ServiceAgent
roles/dataflow.admin
roles/deploymentmanager.editor
roles/endpoints.portalAdmin
roles/endpoints.serviceAgent
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.serviceAgent
roles/gkemulticloud.serviceAgent
roles/iam.securityAdmin
roles/iam.serviceAccountAdmin
roles/iam.workloadIdentityPoolAdmin
roles/iap.admin
roles/managedidentities.admin
roles/managedidentities.serviceAgent
roles/meshconfig.admin
roles/meshconfig.serviceAgent
roles/meshdataplane.serviceAgent
roles/ml.admin
roles/ml.serviceAgent
roles/monitoring.admin
roles/multiclusteringress.serviceAgent
roles/networkmanagement.serviceAgent
roles/notebooks.admin
roles/notebooks.serviceAgent
roles/oauthconfig.viewer
roles/privateca.admin
roles/resourcemanager.projectIamAdmin
roles/run.admin
roles/run.serviceAgent
roles/secretmanager.admin
roles/serverless.serviceAgent
roles/servicebroker.admin
roles/serviceusage.serviceUsageAdmin
roles/sourcerepo.serviceAgent
roles/storage.admin
roles/tpu.admin
roles/tpu.serviceAgent
roles/vpcaccess.admin
roles/workflows.admin
Есть ли у вас какие-либо предложения, какие дополнительные роли мне могут потребоваться для учетной записи службы, чтобы эта штука действительно работала? Я не знаю, имеет ли это значение, но я предоставляю роли через gcloud cli ( на данном этапе я вообще не использую iam.yaml ).
PS: Я знаю, что идея состоит в том, чтобы иметь два отдельных проекта (один для кластера управления, а другой для кластера kubeflow), и что вам нужны разрешения главного владельца только для проекта kubeflow, но это не то, чего на самом деле хочет бизнес.