ImagePullBackOff bị lỗi khi kéo hình ảnh docker trong dự án khác trong Google Cloud

Tôi đang cố lấy một hình ảnh riêng tư từ Cơ quan đăng ký hiện vật repo trong Google Cloud từ một cụm kubernetes đang chạy trong một dự án Google Cloud khác bằng kubectl.

phiên bản kubernetes 1.20.15-gke.1000 

Tài khoản dịch vụ cho kubernetes đã được cấp quyền artifactregistry.reader và storageobject.viewer vì hình ảnh nằm trong một dự án khác với tài khoản dịch vụ kubernetes

Tôi áp dụng yaml dưới đây cho lệnh kubectl.

áp dụng kubectl -f proxy_with_workload_identity.yaml

apiVersion: ứng dụng/v1
loại: Triển khai
metadata:
  tên: ứng dụng thử nghiệm
thông số kỹ thuật:
  bộ chọn:
    trận đấuNhãn:
      ứng dụng: dự án ứng dụng
  chiến lược:
    cánCập nhật:
      maxSurge: 1
      tối đaKhông khả dụng: 1
    loại: CánUpdate
  mẫu:
    metadata:
      nhãn:
        ứng dụng: dự án ứng dụng
    thông số kỹ thuật:
      hộp đựng:
        - env:
            - tên: DB_USER
              giá trịTừ:
                bí mậtKeyRef:
                  khóa: tên người dùng
                  tên: thông tin xác thực db
            - tên: DB_PASS
              giá trịTừ:
                bí mậtKeyRef:
                  khóa: mật khẩu
                  tên: thông tin xác thực db
            - tên: DB_NAME
              giá trị: postgres
          hình ảnh: "us-central1-docker.pkg.dev/myproject/docker-repo/test-app:v1" 
          tên: dự án ứng dụng
          cổng:
            - Cảng container: 9376
              giao thức: TCP
        - chỉ huy:
            - /cloud_sql_proxy 
            - "-instance=demo-dev:us-central1:1-sql-1=tcp:5432"
          hình ảnh: "gcr.io/cloudsql-docker/gce-proxy:latest"
          tên: đám mây-sql-proxy
          tài nguyên:
            yêu cầu:
              CPU: 200m
              bộ nhớ: 32Mi
          bối cảnh bảo mật:
            runAsNonRoot: đúng
      serviceAccountName: testapp

Hình ảnh proxy-sql-đám mây đang được kéo và bộ chứa đang chạy, nhưng hình ảnh trong kho lưu trữ riêng không được kéo "us-central1-docker.pkg.dev/myproject/docker-repo/test-app:v1 "

Khi tôi kiểm tra các nhóm, tôi thấy lỗi này:

code = Unknown desc = không thể kéo và giải nén hình ảnh "us-central1-docker.pkg.dev/myproject/docker-repo/test-app:v1:v1": không thể giải quyết tham chiếu "us-central1-docker.pkg. dev/myproject/docker-repo/test-app:v1": không thể ủy quyền: không thể tìm nạp mã thông báo oauth: trạng thái không mong muốn: 403 Bị cấm

Bất cứ ai có thể cho tôi biết làm thế nào để giải quyết điều này?

Sử dụng hình ảnh từ các dự án khác trong cấu hình của bạn

Trang này mô tả cách định cấu hình dự án của bạn để Trình quản lý triển khai có thể tạo các phiên bản máy ảo Compute Engine bằng cách sử dụng các hình ảnh hệ điều hành thuộc về một dự án khác.

Tôi hy vọng bạn có thể sử dụng điều này để cập nhật sổ đăng ký giữa các dự án.

Tôi đã có một vấn đề tương tự trong tuần này. Giả sử rằng GKE và tài khoản dịch vụ của bạn nằm trong dự án A và sổ đăng ký tạo tác nằm trong dự án B.

1. Hãy chắc chắn rằng bạn cung cấp cho artifactregistry.reader vai trò trong dự án B (không phải A)
2. Đảm bảo rằng bạn cung cấp vai trò này cho đúng tài khoản dịch vụ. Tài khoản dịch vụ đang lấy hình ảnh là tài khoản dịch vụ của Node, không phải tài khoản dịch vụ của Pod. Trong trường hợp của tôi, tôi đang sử dụng GKE Autopilot được định cấu hình qua TerraForm. Do lỗi trong mô-đun Terraform, tài khoản dịch vụ được nút sử dụng là mặc định (là tài khoản dịch vụ điện toán mặc định, ví dụ: <project_number>@cloudservices.gserviceaccount.com)

Bạn có thể kiểm tra xem tài khoản dịch vụ nào mà nodepool của bạn đang chạy với cụm vùng chứa gcloud mô tả ... chỉ huy.

Tôi hi vọng cái này giúp được!