GCP: невозможно создать кластер k8s с пользовательской учетной записью службы

Question

Я создал специальную учетную запись службы в GCP для подготовки кластеров в моем проекте:

gcloud iam service-accounts create [sa_name]

gcloud projects add-iam-policy-binding \
    [project_id] \
    --role=roles/container.admin \
    --member=serviceAccount:[sa_name]@[project_id].iam.gserviceaccount.com

gcloud iam service-accounts keys create [keyfile_name] \
  --iam-account=[sa_name]@[project_id].iam.gserviceaccount.com

gcloud auth activate-service-account --key-file=[keyfile_name]

Когда я запускаю команду gcloud container clusters create [cluster_name]

, я всегда получаю:

ОШИБКА: (gcloud.container.clusters.create) ResponseError: code = 403, message = Требуется разрешение «container.clusters.create» для «проектов / context-platform-staging».См. https://cloud.google.com/kubernetes-engine/docs/troubleshooting#gke_service_account_deleted для получения дополнительной информации.

Как видите, я использую roles/container.admin, но я даже пытался применить roles/editor и roles/owner к этой учетной записи службы, то же самоеповедение.

Пока работает только эта команда - использовать мою основную учетную запись владельца Google (а не учетную запись службы).

Что мне здесь не хватает?

Answer 1

Из сообщения об ошибке я понял, что учетная запись службы не имеет разрешения «container.clusters.create».

Пожалуйста, добавьте роли «Администратор кластерного движка», а также роли «Администратор контейнерного движка».для учетной записи службы, с которой создается кластер:.

Чтобы создать кластер, вам нужно разрешение «container.clusters.create» для проекта.Вам также необходимо назначить роль «role / iam.serviceAccountUser» пользователю, который будет использовать учетную запись службы.Таким образом, пользователь может получить доступ к служебной учетной записи GKE.

Для получения дополнительной информации и подробного руководства, пожалуйста, обратитесь к этой статье в документации GCP.