Привязка GCP IAM для пула узлов GKE с использованием идентификатора рабочей нагрузки

Question

Привязка GCP IAM для пула узлов GKE с использованием идентификатора рабочей нагрузки

Я планирую задания с помощью Cloud Composer, выполняя задачи в Kubernetes. Я установил новый пул узлов в том же GKE, что и композитор, и использую его для запуска задач Kubernetes. В этом пуле узлов я использую учетную запись службы по умолчанию, но привязываю ее к той же учетной записи, что и пул узлов Composer, используя привязку политики IAM и включаю идентификацию рабочей нагрузки.

Однако из ошибок я вижу, что учетной записи службы kubernetes не хватает разрешений для некоторых вещей, к которым у учетной записи службы композитора есть доступ. Это не имеет смысла, поскольку учетная запись службы kubernetes имеет привязку политики IAM к учетной записи службы композитора, поэтому у них должны быть точно такие же разрешения. Но по какой-то причине это не так. Мы очень ценим любые советы о том, где искать ...

0

kubernetes google-cloud-platform binding google-cloud-iam workload-identity

Источник

user4515374 09 дек '21 в 14:52

1 ответ

Другие вопросы по тегам kubernetes google-cloud-platform binding google-cloud-iam workload-identity

user4515374 23 дек '21 в 09:14 2021-12-23 09:14 · Answer 1 · 2021-12-23 09:14

Решением было включение идентификации рабочей нагрузки в пуле узлов. При использовании terraform решение выглядит так:

      resource "google_container_node_pool" "google_container_node_pool_name" {

    workload_metadata_config {
       mode = "GKE_METADATA"
}

1

Источник

user4515374 23 дек '21 в 09:14