如何向kubernetes工作负载提供自定义GCP服务帐户？

1 回答

• 1

  你走在正确的轨道上 . GCP服务帐户可以在GKE for POD中使用，以便为GCP资源分配权限 .

  创建一个帐户：

  cloud iam service-accounts create ${SERVICE_ACCOUNT_NAME}
  

  将IAM权限添加到服务帐户：

  gcloud projects add-iam-policy-binding ${PROJECT_ID} \
    --member="serviceAccount:${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --role='roles/${ROLE_ID}'
  

  为服务帐户生成JSON文件：

  gcloud iam service-accounts keys create \
    --iam-account "${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
    service-account.json
  

  使用该JSON创建一个秘密：

  kubectl create secret generic echo --from-file service-account.json
  

  使用该秘密为您的应用程序创建部署：

  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: echo
  spec:
    replicas: 1
    selector:
      matchLabels:
        app: echo
    template:
      metadata:
        name: echo
      spec:
        containers:
          - name: echo
            image: "gcr.io/hightowerlabs/echo"
            env:
              - name: "GOOGLE_APPLICATION_CREDENTIALS"
                value: "/var/run/secret/cloud.google.com/service-account.json"
              - name: "PROJECT_ID"
                valueFrom:
                  configMapKeyRef:
                    name: echo
                    key: project-id
              - name: "TOPIC"
                value: "echo"
            volumeMounts:
              - name: "service-account"
                mountPath: "/var/run/secret/cloud.google.com"
        volumes:
          - name: "service-account"
            secret:
              secretName: "echo"
  

  如果要对单独部署使用各种权限，则需要创建一些具有不同权限的GCP服务帐户，为它们生成JSON令牌，并根据您的计划将它们分配给部署 . POD将根据已安装的服务帐户进行访问，而不是为分配给该节点的帐户提供服务 .

  有关更多信息，您可以查看链接：

  • Authenticating to Cloud Platform with Service Accounts

  • Google Cloud Service Accounts with Google Container Engine (GKE) - Tutorial

  回复于 2024-05-02T17:22:15+08:00