是否需要重新创建一个Google Container Engine集群来修改API权限?
Is it necessary to recreate a Google Container Engine cluster to modify API permissions?
阅读后,我有一些后续问题。我有一个 Google 容器引擎集群,它缺少 Cloud Monitoring API 访问权限。根据这个post我无法启用它。
引用的 post 一岁。只是为了确定:它仍然正确吗?要为我的 GKE 集群启用(例如)云监控 API,我们必须重新创建整个集群,因为在集群创建后无法更改这些权限?
此外,如果我必须这样做,在我看来最好启用所有 API 的尽可能广泛的权限,以防万一我想开始使用其中一个将来在我的生产集群上使用时,我不能很好地把整个东西拿下来然后重新创建它。这种方法有什么缺点吗?
您可以保留相同的集群,但使用您需要的新范围创建一个新的 Node Pool(然后删除旧的 "default" 节点池):
gcloud container node-pools create new-np --cluster $CLUSTER --scopes monitoring
启用所有权限的缺点是如果您在许多不同的地方使用同一个服务帐户。例如,如果我的 service-account-1 需要从这个 GKE 集群访问 Cloud Monitoring,但它也在一个不相关的 GCE VM 上使用,我可能不希望该 GCE VM 访问我的 Cloud Monitoring 数据。
阅读
引用的 post 一岁。只是为了确定:它仍然正确吗?要为我的 GKE 集群启用(例如)云监控 API,我们必须重新创建整个集群,因为在集群创建后无法更改这些权限?
此外,如果我必须这样做,在我看来最好启用所有 API 的尽可能广泛的权限,以防万一我想开始使用其中一个将来在我的生产集群上使用时,我不能很好地把整个东西拿下来然后重新创建它。这种方法有什么缺点吗?
您可以保留相同的集群,但使用您需要的新范围创建一个新的 Node Pool(然后删除旧的 "default" 节点池):
gcloud container node-pools create new-np --cluster $CLUSTER --scopes monitoring
启用所有权限的缺点是如果您在许多不同的地方使用同一个服务帐户。例如,如果我的 service-account-1 需要从这个 GKE 集群访问 Cloud Monitoring,但它也在一个不相关的 GCE VM 上使用,我可能不希望该 GCE VM 访问我的 Cloud Monitoring 数据。