如何使用 Terraform 在 GKE 中设置非默认服务帐户?

【问题标题】:How can a non-default service account be set in GKE using Terraform?如何使用 Terraform 在 GKE 中设置非默认服务帐户?
【发布时间】:2021-12-14 18:31:33
【问题描述】:

我正在尝试为我正在创建的节点池设置一个非默认服务帐户。

但是,每次使用以下代码时,节点池都会显示为使用default 服务帐户。

resource "google_container_node_pool" "node_pool" {
...
service_account = "myserviceaccount@<id>.iam.gserviceaccount.com"
    oauth_scopes = [
      "https://www.googleapis.com/auth/cloud-platform"
    ]
}

当我在 GKE 控制台上查看时,它会将服务帐户显示为 default,而不是我指定的帐户。

我已在控制台中确认,可以手动创建节点组,并将myserviceaccount 设置为节点组的服务帐户。仅在 Terraform 中不起作用。

创建节点池时如何设置自己的服务帐号?

对此的任何帮助将不胜感激!

【问题讨论】:

    标签: kubernetes google-cloud-platform terraform google-kubernetes-engine


    【解决方案1】:

    从您的问题中不清楚您的service_account 是否按要求是node_config 的一部分,而node_config 是资源的一部分。

    example

    【讨论】:

    • 您的答案是正确的。不要通过电子邮件地址指定服务帐户。如果服务帐户不存在,请将 google_service_account 资源添加到 HCL 并在 google_container_node_pool 中指定该资源。如果服务帐户已存在,请通过 data 资源添加 google_service_account
    • 谢谢!我似乎得到了这个工作,但现在,我收到一个错误:查找服务帐户命名空间/myserviceaccount时出错:找不到服务帐户“myserviceaccount”这绝对不是错字。所以我想弄清楚启用服务帐户是否还需要其他任何东西。
    • 你看到@john-hanley 的评论了吗?如果 Service Account 不存在,则必须事先创建。
    • 如果服务帐号已经存在,则使用此数据资源引用一个:registry.terraform.io/providers/hashicorp/google/latest/docs/… 如果服务帐号不存在,则使用此资源创建一个:registry.terraform.io/providers/hashicorp/google/latest/docs/…
    • 然后在 google_container_node_pool 中声明服务帐户,如下所示:service_account = google_service_account.sa_resource_name.email
    猜你喜欢
    • 2021-08-31
    • 1970-01-01
    • 1970-01-01
    • 2021-12-14
    • 2021-12-17
    • 2021-04-21
    • 2016-12-05
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode