我正在尝试在 GKE project-1 中创建一个具有 project-2 共享网络的集群。
赋予服务帐户的角色:
project-1:Kubernetes Engine 集群管理员、计算网络管理员、Kubernetes Engine 主机服务代理用户
project-2:Kubernetes Engine 服务代理、计算网络用户、Kubernetes Engine 主机服务代理用户
服务帐户是在 project-1 下创建的。 两个项目中都启用了 API 和服务。
但是我一直收到这个错误。 错误:googleapi:错误 403:Kubernetes Engine 服务代理缺少此项目所需的权限。请参阅故障排除 | Kubernetes 引擎文档 |谷歌云了解更多信息:“projects/project-2”需要“container.hostServiceAgent.use”权限。,禁止
data "google_compute_network" "shared_vpc" {
name = "network-name-in-project-2"
project = "project-2"
}
data "google_compute_subnetwork" "shared_subnet" {
name = "subnet-name-in-project-2"
project = "project-2"
region = "us-east1"
}
# cluster creation under project 1
# project 1 specified in Provider
resource "google_container_cluster" "mowx_cluster" {
name = var.cluster_name
location = "us-east1"
initial_node_count = 1
master_auth {
username = ""
password = ""
client_certificate_config {
issue_client_certificate = false
}
}
remove_default_node_pool = true
cluster_autoscaling {
enabled = false
}
# cluster_ipv4_cidr = var.cluster_pod_cidr
ip_allocation_policy {
cluster_secondary_range_name = "pods"
services_secondary_range_name = "svc"
}
network = data.google_compute_network.shared_vpc.id
subnetwork = data.google_compute_subnetwork.shared_subnet.id
}
答案 0 :(得分:1)
这是一个基于评论中的讨论的社区 wiki 答案,并发布以提高可见度。随意扩展它。
您遇到的错误:
Error: googleapi: Error 403: Kubernetes Engine Service Agent is missing required permissions on this project. See Troubleshooting | Kubernetes Engine Documentation | Google Cloud for more info: required “container.hostServiceAgent.use” permission(s) for “projects/project-2”., forbidden
表示未创建必要的服务代理:
roles/container.serviceAgent
- Kubernetes Engine 服务代理:
授予 Kubernetes Engine 帐户访问权限以管理集群资源。 包括访问服务帐号。
官方troubleshooting docs描述了此类问题的解决方案:
<块引用>要解决此问题,如果您已从 Google Kubernetes Engine 服务帐户中删除了 Kubernetes Engine Service Agent
角色,
添加回来。否则,您必须重新启用 Kubernetes Engine API,
这将正确恢复您的服务帐户和权限。
您可以在 gcloud 工具或 Cloud Console 中执行此操作。
上述解决方案在您的用例中有效,因为帐户丢失,因此必须(重新)创建。