TL;DR— 如果不修改节点权限(范围),GitLab-Ci Kubernetes Integration 创建的集群将无法从与容器镜像相同的项目中的 GCR 注册表中提取镜像。
虽然您可以手动修改单个节点计算机上的权限以授予应用程序默认凭据(请参阅:https://developers.google.com/identity/protocols/application-default-credentials https://developers.google.com/identity/protocols/application-default-credentials)实时正确的范围 - 这样做意味着如果您的节点在将来的某个时候重新创建,它不会有您修改的范围,并且事情会中断。
您无需手动修改权限,而是创建一个具有适当范围的新节点池来访问所需的 GCP 服务。
以下是我使用的一些资源供参考:
- https://medium.com/google-cloud/updating-google-container-engine-vm-scopes-with-zero-downtime-50bff87e5f80 https://medium.com/google-cloud/updating-google-container-engine-vm-scopes-with-zero-downtime-50bff87e5f80
- https://adilsoncarvalho.com/changing-a-running-kubernetes-cluster-permissions-a-k-a-scopes-3e90a3b95636 https://adilsoncarvalho.com/changing-a-running-kubernetes-cluster-permissions-a-k-a-scopes-3e90a3b95636
创建一个适当范围的节点池通常看起来像这样
gcloud container node-pools create [new pool name] \
--cluster [cluster name] \
--machine-type [your desired machine type] \
--num-nodes [same-number-nodes] \
--scopes [your new set of scopes]
如果您不确定所需范围的名称是什么 - 您可以在此处查看范围和范围别名的完整列表:https://cloud.google.com/sdk/gcloud/reference/container/node-pools/create https://cloud.google.com/sdk/gcloud/reference/container/node-pools/create
对我来说,我使用了 gke-default (与我的其他集群相同)和 sql-admin。原因是我需要能够在构建过程中访问 Cloud SQL 中的 SQL 数据库,并且我不想连接到公共 IP 才能执行此操作。
gke-default 范围(仅供参考)
-
https://www.googleapis.com/auth/devstorage.read_only https://www.googleapis.com/auth/devstorage.read_only(允许你拉)
- https://www.googleapis.com/auth/logging.write https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring https://www.googleapis.com/auth/monitoring
- https://www.googleapis.com/auth/service.management.readonly https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/servicecontrol https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/trace.append https://www.googleapis.com/auth/trace.append
将上述内容与 GitLab-Ci 创建的集群中更多锁定的权限进行对比(仅这两个:https://www.googleapis.com/auth/logging.write https://www.googleapis.com/auth/logging.write, https://www.googleapis.com/auth/monitoring https://www.googleapis.com/auth/monitoring):
显然,将集群配置为仅需要所需的最低权限肯定是这里的方法。一旦你弄清楚那是什么并创建新的适当范围的节点池......
列出您的节点:
kubectl get nodes
您刚刚创建的(最新的)具有新设置,而旧选项是可以从 GCR 拉取的默认 gitlab 集群。
Then:
kubectl cordon [your-node-name-here]
之后你想要排水:
kubectl drain [your-node-name-here] --force
我遇到了一些问题,因为我安装了 GitLab Runner,这意味着由于用于控制它的本地数据/守护进程集,我无法正常耗尽 Pod。
因此,一旦我封锁了我的节点,我就从 Kubectl 中删除了该节点(不确定这是否会导致问题 - 但这对我来说很好)。删除节点后,您需要删除 GitLab 创建的“default-pool”节点池。
列出您的节点池:
gcloud container node-pools list --cluster [CLUSTER_NAME]
查看 gitlab 创建的旧作用域:
gcloud container node-pools describe default-pool \
--cluster [CLUSTER_NAME]
检查您是否拥有正确的新范围(您刚刚添加的):
gcloud container node-pools describe [NEW_POOL_NAME] \
--cluster [CLUSTER_NAME]
如果您的新节点池具有正确的范围,您的部署现在可以使用以下命令删除默认池:
gcloud container node-pools delete default-pool \
--cluster <YOUR_CLUSTER_NAME> --zone <YOUR_ZONE>
就我个人而言,我仍在尝试弄清楚如何允许访问专用网络(即通过专用 IP 访问 Cloud SQL),但我现在可以提取图像,所以我已经成功了一半。
我想就是这样了——希望它能为您节省几分钟的时间!