gcp 上的 kubernetes:删除角色,帐户消失了如何恢复权限?
kubernetes on gcp: removed role, account gone how to restore permissions?
虽然 'hardening' 帐户 - 即删除或减少对项目具有编辑权限的帐户,但我从容器引擎在 [=11= 后端使用的 kubernetes 帐户中删除了编辑器] 命令。
一旦您从帐户中删除最后一个角色,它就会消失 - 惨痛的教训!
Removed editor
serviceAccount:386242358897@cloudservices.gserviceaccount.com
- 这意味着我最初无法部署,因为它无法访问容器注册表。
- 所以我删除了集群并重新创建,希望重新创建帐户。由于权限不足而失败。
- 所以我手动删除了计算实例(它没有重新创建它们的权限),然后是模板,然后是集群。
由于 UI 现在认为您没有集群,所以看起来您又回到了起点。所以我 运行 我的脚本失败了。
错误:(gcloud.container.clusters.create) 选项 [https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/operations/operation-xxxx'
开始时间:u'2017-10-17T17:59:41.515667863Z'
状态:StatusValueValuesEnum(完成,3)
statusMessage: u'部署错误:"Not all instances running in IGM. Expect 1. Current actions &{Abandoning:0 Creating:0 CreatingWithoutRetries:0 Deleting:0 None:0 Recreating:1 Refreshing:0 Restarting:0 Verifying:0 ForceSendFields:[] NullFields:[]}. Errors [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/gke-xxxx-default-pool-xxxx:PERMISSIONS_ERROR]".'
targetLink: u'https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/clusters/xxxx'
区域:u'europe-west2-b'>] 完成错误:部署错误:"Not all instances running in IGM. Expect 1. Current actions &{Abandoning:0 Creating:0 CreatingWithoutRetries:0 Deleting:0 None:0 Recreating:1 Refreshing:0 Restarting:0 Verifying:0 ForceSendFields:[] NullFields:[]}. Errors [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/xxxx:PERMISSIONS_ERROR]"。
已更新 属性 [container/cluster].
当我尝试通过 UI 创建时,我得到了这个
Permission denied (HTTP 403): Google Compute Engine: Required 'compute.zones.get' permission for 'projects/xxxx/zones/us-central1-a'
做个号就可以了!
我的问题是我看不到将权限返回给它尝试使用的任何帐户的方法(因为我看不到该帐户 if 它存在)也看不到如何附加一个新的服务帐户,该帐户具有进行幕后工作所需的权限。
更新:
所以...
我在组织级别重新创建了帐户。在那里为其赋予服务帐户角色,因为您无法在项目级别修改帐户的域。
然后我在项目级别修改了它以获得编辑权限。
这意味着我可以部署集群,但是...仍然无法创建负载均衡器 - 权限不足
Error creating load balancer (will retry): Error getting LB for service default/bot: googleapi: Error 403: Required
'compute.forwardingRules.get' permission for 'projects/xxxx/regions/europe-west2/forwardingRules/xxxx', forbidden
本次遇到问题的用户是:
service-xxx@container-engine-robot.iam.gserviceaccount.com
所以...
我玩过重新创建帐户等。最终让 Kubernetes 再次工作。
一周后尝试使用数据存储,发现 AppEngine 已经死了。
唯一的办法是从头开始一个新项目。
这个问题的答案是(有些人可能会嘲笑它的自证性,但我们在某些时候都很匆忙)。
请勿创建用户帐户或授予他们超出所需的权限,因为稍后删除它们确实不值得冒这个风险。
感谢您的收听:D
虽然 'hardening' 帐户 - 即删除或减少对项目具有编辑权限的帐户,但我从容器引擎在 [=11= 后端使用的 kubernetes 帐户中删除了编辑器] 命令。
一旦您从帐户中删除最后一个角色,它就会消失 - 惨痛的教训!
Removed editor
serviceAccount:386242358897@cloudservices.gserviceaccount.com
- 这意味着我最初无法部署,因为它无法访问容器注册表。
- 所以我删除了集群并重新创建,希望重新创建帐户。由于权限不足而失败。
- 所以我手动删除了计算实例(它没有重新创建它们的权限),然后是模板,然后是集群。
由于 UI 现在认为您没有集群,所以看起来您又回到了起点。所以我 运行 我的脚本失败了。
错误:(gcloud.container.clusters.create) 选项 [https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/operations/operation-xxxx' 开始时间:u'2017-10-17T17:59:41.515667863Z' 状态:StatusValueValuesEnum(完成,3) statusMessage: u'部署错误:"Not all instances running in IGM. Expect 1. Current actions &{Abandoning:0 Creating:0 CreatingWithoutRetries:0 Deleting:0 None:0 Recreating:1 Refreshing:0 Restarting:0 Verifying:0 ForceSendFields:[] NullFields:[]}. Errors [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/gke-xxxx-default-pool-xxxx:PERMISSIONS_ERROR]".' targetLink: u'https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/clusters/xxxx' 区域:u'europe-west2-b'>] 完成错误:部署错误:"Not all instances running in IGM. Expect 1. Current actions &{Abandoning:0 Creating:0 CreatingWithoutRetries:0 Deleting:0 None:0 Recreating:1 Refreshing:0 Restarting:0 Verifying:0 ForceSendFields:[] NullFields:[]}. Errors [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/xxxx:PERMISSIONS_ERROR]"。 已更新 属性 [container/cluster].
当我尝试通过 UI 创建时,我得到了这个
Permission denied (HTTP 403): Google Compute Engine: Required 'compute.zones.get' permission for 'projects/xxxx/zones/us-central1-a'
做个号就可以了! 我的问题是我看不到将权限返回给它尝试使用的任何帐户的方法(因为我看不到该帐户 if 它存在)也看不到如何附加一个新的服务帐户,该帐户具有进行幕后工作所需的权限。
更新:
所以...
我在组织级别重新创建了帐户。在那里为其赋予服务帐户角色,因为您无法在项目级别修改帐户的域。
然后我在项目级别修改了它以获得编辑权限。
这意味着我可以部署集群,但是...仍然无法创建负载均衡器 - 权限不足
Error creating load balancer (will retry): Error getting LB for service default/bot: googleapi: Error 403: Required
'compute.forwardingRules.get' permission for 'projects/xxxx/regions/europe-west2/forwardingRules/xxxx', forbidden
本次遇到问题的用户是:
service-xxx@container-engine-robot.iam.gserviceaccount.com
所以...
我玩过重新创建帐户等。最终让 Kubernetes 再次工作。 一周后尝试使用数据存储,发现 AppEngine 已经死了。
唯一的办法是从头开始一个新项目。
这个问题的答案是(有些人可能会嘲笑它的自证性,但我们在某些时候都很匆忙)。
请勿创建用户帐户或授予他们超出所需的权限,因为稍后删除它们确实不值得冒这个风险。
感谢您的收听:D