Когда вы создаете кластер с помощью команды $ gcloud container clusters create, вы должны иметь в виду, что скрыты сотни операций.
Когда у вас есть права владельца, вы можете дать начальный «удар»процесс, чтобы все началось.В этот момент Сервисные учетные записи начинают входить в процесс, и они автоматически создают для вас весь ресурс.
Эти сервисные учетные записи имеют различные полномочия и разрешения (которые можно настраивать), чтобы ограничить поверхность атаки в случае, если один из них является компромиссным, и для поддержания своего рода порядка у вас будет, например, ****-compute@developer.gservuceaccount.com, то есть учетная запись службы вычислений по умолчанию.
При включенииВ отличие от API, некоторые из этих учетных записей служб могут быть созданы для обеспечения правильной работы компонентов, но если один из них будет удален или изменен, вы можете столкнуться с одной из возникших ошибок.
Обычно самый простой способ решить эту проблему - воссоздать учетную запись службы, например, удалить ее и отключить включение соответствующего API.
- Например, при включении ядра Kubernetes
service-****@container-engine-robot-iam-gaservice account is created
В моем тестовом проекте, например, я изменил их, удалив "«Агент службы Kubernetes Engine» и я изменили учетную запись службы API Google, установив ее в качестве «просмотра проекта», и у меня возникли проблемы с разрешением как при создании, так и при удалении кластеров.
Вы можете перемещаться по IAM&Amin-->admin дляпроверьте статус и какие учетные записи служб на данный момент авторизованы в вашем проекте.
Здесь вы можете найти более подробное объяснение некоторых учетных записей служб по умолчанию.
Здесь вы можете найти небольшое руководство о том, как повторно включить учетную запись службы по умолчанию в Kubernetes Engine:
«Если вы удалите эту привязку роли из учетной записи службы, учетная запись службы по умолчанию станет несвязанной с проектом, что может помешать развертыванию приложений и выполнению других операций кластера».