Кластер Google Cloud Kubernetes не может подключиться к узлам или удалить?

Question

Я пользуюсь с помощью облачного сервиса Google Kubernetes, он работал до тех пор, пока случайно не удалил служебную учетную запись службы Kubernetes. Я создал учетную запись службы kubernetes. Я не могу подключиться к узлам удалить или удалить мой кластер. Кажется, это вопрос разрешения. Также не могу удалить компьютерные движки. Когда я удаляю кластер kubernetes после ошибки

(1) Google Compute Engine: Требуется разрешение 'compute.firewalls.delete' для 'projects / projectid / global / firewalls / gke-kubeworld-383ec9cd-vms'

(2) Google Compute Engine: Требуется разрешение 'compute.firewalls.delete' для 'projects / projectid / global / firewalls / gke-kubeworld-383ec9cd-ssh'

(3) Google Compute Engine: Требуется разрешение 'compute.firewalls.delete' для 'projects / projectid / global / firewalls / gke-kubeworld-383ec9cd-all'

(4) Google Compute Engine: Требуется разрешение 'compute.instanceGroupManagers.delete' для 'проектов / projectid / zone / us-central1-a / instanceGroupManagers / gke-kubeworld-default-pool-90dd280e-grp'

(5.1) Google Compute Engine: Требуется разрешение 'compute.routes.list' для 'projects / projectid'

(5.2) Google Compute Engine: Требуется разрешение 'compute.projects.get' для 'projects / projectid'

как настроить или предоставить доступ для разрешения этих разрешений.

Answer 1

Ваша учетная запись службы потеряла роли после ее повторного создания.

Сначала используйте gcloud auth login и войдите в учетную запись GCE.

После создания новой учетной записи службы рольдолжен быть назначен ему.

В этом случае роль role / compute.admin пропущена и ее необходимо переназначить.Я предполагаю, что вы знаете имя созданной вами учетной записи службы.

Может помочь:

gcloud projects add-iam-policy-binding  project-id \
    --member serviceAccount:service-account@project-id.iam.gserviceaccount.com \
    --role  roles/compute.admin

Это описано в Документация по ролям AIM .

РЕДАКТИРОВАНИЕ: Я обнаружил, что это еще один способ исправить это:

gcloud service-management enable container.googleapis.com

Answer 2

Эти ошибки также зависят от общей ситуации в проекте.Учетная запись службы Compute Engine управляет множеством служб, поэтому после ее удаления ошибки появляются по-разному.

Когда я удаляю свой SA, я всегда делаю то же самое, что и первый шаг.Вместо того, чтобы идти вперед и создавать учетную запись службы вручную, я включаю API, для которого требуется API Compute Engine, например API Dataproc.Это должно воссоздать служебную учетную запись Compute Engine, и в этом случае, если это уместно, она также заново создаст служебную учетную запись Kubernetes Engine.

После повторного создания этих учетных записей у вас должны появиться разные ошибки, так кактеперь SA есть, но, вероятно, токен / учетные данные, которые ожидает кластер, является старым, но теперь вы передаете новый токен.

Можете ли вы подтвердить, что вы получаете те же ошибки или другие?Я отредактирую сообщение, как только получу эту информацию.