在创建资源之前启用API时,服务帐户“默认”到创建该项目的项目存在问题。
该SA是在项目A下创建的,但它对项目B具有Owner权限。
我们正在尝试在项目B 中创建资源(GKE集群),但抱怨我们需要首先在项目A 上启用Kubernetes API(我们正在通过--project到cluster create命令中,以避免在尝试创建集群的地方产生歧义。get-credentials命令也是如此。
ERROR: (gcloud.container.clusters.create) ResponseError: code=403, message=Kubernetes Engine API has not been used in project PROJECT_NUMBER before or it is disabled. Enable it by visiting https://console.developers.google.com/apis/api/container.googleapis.com/overview?project=PROJECT_NUMBER then retry. If you enabled this API recently, wait a few minutes for the action to propagate to our systems and retry.
PROJECT_NUMBER是项目A的数目,而不是项目B的数目。必需的API已在项目B上启用。
我们在这里使用服务帐户的方式是否存在缺陷?
答案 0 :(得分:1)
即使您在项目B中创建集群,API的调用方也是项目A(因为该服务帐户由项目A拥有);因此,必须在项目A上启用API。