从不同项目访问 Google Artifact 注册表
问题描述 投票:0回答:3
我想在单个 GKE 项目中配置 Google ArtifactRegistry,以便所有其他项目都可以访问此集中式 ArtifactRegistry。
在 Google 文档中,我不清楚如何实现这一点,特别是对于使用默认帐户的 Google Kubernetes Engine 节点。
您知道如何配置访问权限来实现该场景吗?
谢谢你,
3个回答
7
投票
投票
使用 GKE,节点服务帐户会拉取映像以在节点上运行它。因此,您必须授予该节点服务帐户(或计算引擎默认服务帐户,如果您使用它)读取 Artifact Registry 中图像的权限。
您有 2 个级别可以在您的服务帐户上授予
roles/artifactregistry.reader- 直接在 Artifact 注册表项目的 IAM 页面中。这样,服务帐户将有权访问您在项目中创建的所有注册表
- 在注册表级别打开,仅授予该注册表的服务帐户,并禁止其他帐户。
这里有一个例子:
- 选择您的注册表(左侧的复选框)
- 在右侧权限部分添加主体
1
投票
投票
如果您要向该注册表添加主体,请注意您无法添加尚不存在的服务帐户; GKE 集群运行的项目中的服务帐户必须首先存在,因为 GCP 不允许添加不存在的服务帐户。
如果您确实想使用工件注册表存在的自动化工作流程来管理该项目中的所有内容,这可能会给您带来先有鸡还是先有蛋的问题。因此,在项目中配置注册表并在单独的项目中配置 GKE 及其所有服务帐户之后,您可能需要有一个中间阶段,您需要像缝合器这样的东西将两者连接在一起,如果您在国际交流中心
但是您应该考虑另一种方法来避免任何
0
投票
投票
我想扩展 GCP Cloud Functions 的答案。
在这种情况下,您需要提供不是计算引擎默认服务,而是云构建器服务帐户角色
roles/artifactregistry.reader除此之外,@guillaume-blaquiere 所说的一切都成立。
默认的云构建器服务帐户是
<PROJECT_NUMBER>@cloudbuild.gserviceaccount.com最新问题
- Presto 无法读取十六进制字符串:不是有效的 16 进制数字
- 给定球体上的随机点
- Angular 贪吃蛇游戏 - 蛇不生成
- 最快的键值分组
- SQL - 选择位置 10 和位置 20 的字符之间的差异等于 1 的所有条目?
- 更好的算法来找到平方除 K 的最大数:
- 使用客户端密钥进行身份验证时,Get-AdminPowerApp -EnvironmentName Default-abcd-1234 失败
- ECDH 曲线 25519 密钥生成在 Libgcrypt 中的 c 实现
- 每次 Spring Boot 服务器收到请求以及每次调用 Resttemplate 时,Micrometer 是否应该生成一个新的 Span?
- Delphi 如何序列化和反序列化 TObject
- dart flutter 中使用自定义 Body 进行 API 调用
- 如何获取重定向地址
- 无法推断多参数闭包参数类型
- 在 Jupyter Notebook 中并排绘制和降价
- C#编译器类型推断内联方法调用和单独方法调用的区别
- CSS 选择器(如果父级有类)
- 无法通过 App Store Connect 创建订阅
- 部署到 Vercel 后,cookie 未在请求标头中发送
- 可以在加密的 JWT 中加密第 3 方访问令牌和刷新令牌吗?
- 如何使用 gmail API 从附件 ID 中查找邮件的消息 ID
© www.soinside.com 2019 - 2024. All rights reserved.