kubernetes on gcp : 제거 된 역할, 계정 사용 권한을 복원하는 방법이 없어 졌습니까?

Question

계정을 '강화'하는 중입니다. 즉, 컨테이너 엔진이 gcloud 명령의 백엔드에서 사용하는 kubernetes 계정 인 것으로 보이는 편집기에서 제거한 프로젝트의 편집자 권한으로 계정을 제거하거나 토닝하는 것입니다.

계정에서 마지막 역할을 삭제하면 계정이 사라집니다. 배우기가 힘듭니다! Removed editor serviceAccount:386242358897@cloudservices.gserviceaccount.com

• 는 그것은 용기 레지스트리에 액세스 할 수 있기 때문에 나는 처음에 배포 할 수있는 것을 의미.
• 그래서 클러스터를 삭제하고 다시 만들 계정을 기대다. 권한이 충분하지 않아 실패했습니다.
• 그래서 수동으로 계산 인스턴스를 제거한 다음 (다시 만들 권한이 없음) 템플릿을 만든 다음 클러스터를 수동으로 제거했습니다.

• 이제 UI에 클러스터가 없다고 생각하므로 처음으로 돌아온 것처럼 보입니다. 그래서 내 스크립트를 실행하고 그들은 실패했다.

  ERROR (gcloud.container.clusters.create) Opetion [https://container.googleapis.com/v1/projects/xxxx/zones/europe-west2-b/operations/operation-xxxx 'startTime을 : u'2017-10-17T17 : 59 : 41.515667863Z ' status : StatusValueValuesEnum (DONE, 3) statusMessage : u'Deploy 오류 : "IGM에서 실행중인 모든 인스턴스가 없습니다. 현재 작업 & {포기 : 0 만들기 : 0 작성 중 : 0 없음 : 0 다시 작성 : 1 새로 고침 : 0 재시작 : 0 확인 중 : 0 ForceSendFields : [] NullFields : []} 오류 [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/gke-xxxx-default-pool-xxxx:PERMISSIONS_ERROR] ". targetLink : u'' zone : u'erope-west2-b'>]가 오류로 끝났습니다. 배포 오류 : "IGM에서 일부 인스턴스가 실행되지 않습니다 1. 현재 작업 & {포기 : 0 만들기 : 0 CreatingRithoutRetries : 0 삭제 중 : 0 없음 : 0 다시 생성 중 : 1 새로 고침 : 0 재시작 : 0 확인 중 : 0 ForceSendFields : [] NullFields : []} 오류 [https://www.googleapis.com/compute/beta/projects/xxxx/zones/europe-west2-b/instances/xxxx:PERMISSIONS_ERROR] ". [컨테이너/클러스터] 속성이 업데이트되었습니다.

내가 UI를 통해 만들려고 나는이

Permission denied (HTTP 403): Google Compute Engine: Required 'compute.zones.get' permission for 'projects/xxxx/zones/us-central1-a'

그것에 숫자 짓을 얻을! 내 문제는 사용하려는 계정에 다시 사용 권한을 부여하는 방법이 보이지 않는다는 것입니다 (계정이 보이지 않아 이있는 경우이 있음). 사용 권한이있는 새 서비스 계정을 연결하는 방법을 볼 수도 없습니다 후드 아래에서 작업을 수행하는 데 필요한 모든 기능을 제공합니다.

는 업데이트 :

그래서 ...

나는 조직 수준에서 계정을 다시. 프로젝트 수준에서 계정의 도메인을 수정할 수 없기 때문에 서비스 계정 역할을 부여하십시오.

그런 다음 프로젝트 수준에서 편집자 권한을 갖도록 수정했습니다.

이것은 클러스터를 배포 할 수 있다는 것을 의미하지만 ...여전히 부하 분산 만들 수 없습니다 - 권한이 부족

Error creating load balancer (will retry): Error getting LB for service default/bot: googleapi: Error 403: Required 
'compute.forwardingRules.get' permission for 'projects/xxxx/regions/europe-west2/forwardingRules/xxxx', forbidden 

문제이 시간이 갖는 사용자 : 나는 계정을 다시 연주

그래서 service-xxx@container-engine-robot.iam.gserviceaccount.com

Answer 1

을 ... 등 결국는 Kubernetes가 다시 작동있어 . 일주일 후 데이터 저장소를 사용하려고 시도하고 AppEngine이 죽었을 때보 다 더 이상 죽지 않았 음을 발견했습니다.

유일한 방법은 처음부터 새 프로젝트를 시작하는 것이 었습니다.

이 질문에 대한 대답은 (일부는 자체 증거로 웃을 수 있지만 일부는 서둘러 있습니다.)

나중에 계정을 삭제하기 때문에 사용자 계정을 만들거나 권한을 부여하지 마십시오. 위험을 감수하지 않으셔도됩니다.

청취 해 주셔서 감사합니다. D