Нужно ли заново создавать кластер Google Container Engine для изменения разрешений API?
После прочтения этого предыдущего вопроса у меня есть несколько дополнительных вопросов. У меня есть кластер Google Container Engine, у которого нет разрешения на доступ к API мониторинга облака. Согласно этому посту я не могу включить его.
Ссылочной должности исполнился год. Просто чтобы быть уверенным: это все еще правильно? Чтобы включить (например) API-интерфейс мониторинга облака для моего кластера GKE, мы должны были бы воссоздать весь кластер, потому что нет способа изменить эти разрешения после создания кластера?
Кроме того, если мне нужно сделать это, мне кажется, что было бы лучше включить все API с максимально широкими разрешениями, на тот случай, если я захочу начать использовать один из них в будущем на моем производственном кластере, когда он используется. и я не могу очень хорошо снять все это и воссоздать его тогда. Есть ли недостатки этого подхода?
1 ответ
Вы можете сохранить тот же кластер, но создать новый пул узлов с новыми нужными областями (а затем удалить свой старый пул узлов по умолчанию):
gcloud container node-pools create new-np --cluster $CLUSTER --scopes monitoring
Недостатком включения всех разрешений является использование одной и той же учетной записи службы в разных местах. Например, если мой service-account-1 требуется доступ к Мониторингу облака из этого кластера GKE, но он также используется на несвязанной виртуальной машине GCE, возможно, я не хочу, чтобы виртуальная машина GCE имела доступ к моим данным мониторинга облака.