Wie kann ein GKE-Cluster Container-Images aus einer Container-Registry holen, die in einem anderen Projekt gehostet wird?Verwenden der Google Container Registry von GKE in einem anderen Projekt
Ich habe einen GKE-Cluster im Projekt <reader-project>
versucht, auf ein GCR-Bild im Projekt <registry-project>
zugreifen.
Ich habe versucht, für <reader-project>
als Benutzer mit Lesezugriff auf den Speicher Eimer in <registry-project>
die GCE-Dienstkonto E-Mail hinzugefügt, aber ich bin noch immer die Fehlermeldung:
<Error><Code>AccessDenied</Code>
<Message>Access denied.</Message>
<Details>Caller does not have storage.objects.get access to object us.artifacts.<registry-project>.appspot.com/containers/images/sha256:<tag>.
</Details></Error>
zu ziehen. Ist es möglich, eine Reihe von Project Service Account-E-Mails unter einer IAM-Rolle hinzuzufügen, so dass ich auch andere Berechtigungen für diese Gruppe erteilen kann? Sieht aus wie es sein sollte, aber ich habe diesen Ansatz bereits für Storage Viewer ausprobiert und es hat nicht funktioniert. – Symmetric
Ja, das sollte in Ordnung sein. –
Dies funktioniert jetzt nicht. Ich habe versucht, indem ich das compute-Engine-Dienstkonto des anderen Projekts dem Projekt hinzufügte, das Registrierung enthält. Ich bekomme immer noch 403 Fehler. –