Сообщение об ошибке GCP K8s (kubectl) (требуется разрешение «container.leases.get»)

Question

Я получаю сообщение об ошибке после выполнения некоторых команд kubectl (командная строка GCP - gcloud). У меня есть кластер K8S, созданный в GKE.

Пример:

kubectl описать узел

gke_k8s_cluster_name Ошибка сервера (запрещено) ): leases.coordination.k8s.io "gke_k8s_cluster_name" запрещено: пользователь "MY_SERVICE_ACCOUNT" не может получить ресурс "аренды" в группе API "координация.k8s.io" в пространстве имен контейнера "kube-node-lease": обязательно ". leases.get "разрешение.

Дело в том, что разрешение" container.leases.get "не указано в IAM (в качестве пользовательских разрешений или обычной роли).

Как я могу предоставить это разрешение учетной записи службы в GCP?

спасибо, Хосе

Answer 1

Возможно, вам потребуется предоставить дополнительные разрешения для сторон GAM IAM и GKE, например:

PROJECT_ID=$(gcloud config get-value core/project)
USER_ID=$(gcloud config get-value core/account)
gcloud projects add-iam-policy-binding ${PROJECT_ID} --member=user:${USER_ID} --role=roles/container.admin
kubectl create clusterrolebinding cluster-admin-binding --clusterrole cluster-admin --user ${USER_ID}

См. Также GCP IAM & GKE RBA C интеграция .