当前位置: 首页 > 知识库问答 >
问题:

无法将gsutil与工作负载标识功能一起用于GKE群集

公良信然
2023-03-14

我为我的GKE集群启用了workload identity功能,它运行良好。

我没有问题访问具有Google Cloud服务号的正确IAM权限的gCloud命令,但是我不确定如何在启用workload_identity时在kubernetes Pod中使用gsutil命令。

基本上我的问题是,当workload_identity启用时,是否有办法使用gsutil?

在我的pod中使用gsutil时,我看到了这个错误

您正在尝试访问未配置凭据的受保护数据。请访问https://cloud.google.com/console#/project注册一个帐户,然后运行“gcloud auth login”命令来配置gsutil以使用这些凭据

我们如何允许gsutil使用gCloud凭据?


共有1个答案

公西飞鸾
2023-03-14

gsutil不支持工作负载标识。另一种选择是:

gcloud alpha storage cp
 类似资料:
  • Google docu表示,工作负载标识可以用来授权GKE POD使用Google API提供的服务(而且效果很好)。它还表示,将有一个自动创建的标识池,名为PROJECT\u ID.svc。id.goog。 关于工作负载标识联合的Docu说:“您可以使用工作负载标识池来组织和管理外部标识。” 在我按照这里所述配置了工作负载标识(并且工作正常)之后,我正在尝试检索项目中现有的工作负载标识池,我希望

  • 我目前正在使用GKE Workload Identity从GKE内部访问谷歌云平台资源。这对谷歌云存储和其他平台资源非常有效。 然而,当我试图使用GKE Workload Identity访问Google工作表时,我遇到了一个“身份验证范围不足”的问题。 当我为服务帐户生成密钥文件并在代码中使用它时,我可以手动将作用域设置为。它的工作原理与预期一样,我可以访问该表。如果我将范围更改为,我得到了与G

  • 我试图在Composer 2环境中运行GKEStartPodOperator/KubernetesPodOperator任务,该环境在自动驾驶模式下使用GKE集群。我们有一个现有的Composer 1环境,GKE集群不处于自动驾驶模式。我们使用谷歌云平台服务(BigQuery、GCS等)进行身份验证的任务在Composer 2环境中失败,但在Composer 1环境中成功。 在日志文件中,我可以看

  • 我使用Cloud Composer在Kubernetes中运行任务来安排作业。我在与composer相同的GKE中设置了一个新的节点池,并使用它来运行Kubernetes任务。在该节点池中,我使用默认服务帐户,但将该帐户绑定到与Composer节点池相同的服务帐户,使用IAM策略绑定,并启用工作负载标识。 然而,我可以从错误中看到kubernetes服务号缺少作曲家服务号可以访问的一些东西的权限。

  • 我们已经在GKE集群中成功地使用了Google表格的Java客户端一段时间,使用类来提供凭据。以下代码或多或少是我们正在做的事情: 我们最近在集群上启用了工作负载标识,而这种集成不再起作用,我们得到一个403,消息是“ACCESS\u TOKEN\u SCOPE\u Uncipled”。我认为这是因为默认范围包含Google Cloud API,不允许您指定所需的Google Sheets范围。

  • 我遵循谷歌云平台的指南,通过使用云SQL代理和公共IP地址的GKE集群连接到云SQL实例(https://cloud.google.com/sql/docs/postgres/connect-kubernetes-engine).但是,在尝试部署应用程序后,我在容器日志中出现以下错误。 然后是错误信息 此外(我假设是相关的),当我检查集群中节点的计算引擎时,我看到Cloud SQL Cloud A