阅读this earlier question后,我有一些后续问题。我有一个没有Cloud Monitoring API访问权限的Google容器引擎群集。根据这篇文章,我无法启用它。
所引用的帖子是一年之久。只是为了确定:它仍然是正确的吗?要为我的GKE集群启用(例如)Cloud Monitoring API,我们必须重新创建整个集群,因为在创建集群后无法更改这些权限吗?
此外,如果我必须这样做,在我看来,最好以尽可能广泛的权限启用所有API,以防万一我希望将来开始使用其中一个API我的生产集群在使用时我可以很好地完成整个过程并重新创建它。这种方法有什么缺点吗?
答案 0 :(得分:2)
您可以保留相同的群集,但使用您需要的新范围创建新的Node Pool(然后删除旧的“默认”节点池):
gcloud container node-pools create new-np --cluster $CLUSTER --scopes monitoring
启用所有权限的缺点是,您在许多不同的地方使用相同的服务帐户。例如,如果我的service-account-1需要从此GKE群集访问云监控,但它也在不相关的GCE VM上使用,我可能不希望该GCE VM访问我的云监控数据。