google-kubernetes-engine-在另一个项目中使用GKE的Google Container Registry

GKE集群如何从另一个项目中托管的Container Registry中提取容器映像?

我在项目< reader-project>中有一个GKE集群.尝试访问项目< registry-project>中的GCR图像.

我尝试为< reader-project>添加GCE服务帐户电子邮件;作为具有® registry-project>的存储分区中具有读者访问权限的用户的身份,但是我仍然遇到错误:

<Error><Code>AccessDenied</Code>
<Message>Access denied.</Message>
<Details>Caller does not have storage.objects.get access to object us.artifacts.<registry-project>.appspot.com/containers/images/sha256:<tag>.
</Details></Error>
最佳答案
尝试将GCE服务帐户电子邮件添加为具有Storage Object Viewer角色的用户.它使服务帐户对项目中的GCS对象(容器映像)具有只读访问权限.

转载注明原文:google-kubernetes-engine-在另一个项目中使用GKE的Google Container Registry - 代码日志