# #google-cloud-platform #google-compute-engine
Вопрос:
Реестр контейнеров при обновлении с локального с: docker push eu.gcr.io/[project]/some-api:v[newver]
С моими учетными данными владельца (проверено с gcloud auth list
Загрузка контейнера прошла успешно, и в реестре отображается изображение контейнера.
Шаблон экземпляра создается с правильным изображением и отображается в консоли с помощью «сценария загрузки».
Помимо прочего, в сценарии загрузки указаны области действия:
--scopes= https://www.googleapis.com/auth/devstorage.read_only,https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring.write,https://www.googleapis.com/auth/servicecontrol,https://www.googleapis.com/auth/service.management.readonly,https://www.googleapis.com/auth/trace.append
Когда я редактирую свою группу экземпляров с помощью консоли GCP https://console.cloud.google.com/compute/instanceGroups Открытие группы экземпляров с помощью кнопки «редактировать», выбор [перемещенный контейнер] в раскрывающемся Instance template списке и save .
Я получаю эту ошибку:
Update VM instance group "[Instance group]"
[project]
Operation type [patch] failed with message "One or more service account scopes are invalid: '
https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append'
Моя учетная запись пользователя является «Владельцем» проекта
Моя учетная запись службы — «Владелец» (Да, я знаю, пробую разные вещи)
Последнее успешное обновление было в прошлом году (да, оно продвигается медленно).
Что я упускаю ?
Комментарии:
1. Сфера применения googleapis.com/auth/servicecontrol обычно назначается учетной записи службы, подключенной к экземпляру виртуальной машины. Как вы редактируете группу экземпляров — с помощью интерфейса командной строки, веб-браузера и т. Д.? Где вы запускаете команду — на рабочем столе, в экземпляре вычислительного механизма и т. Д.?
2. Еще один пункт-это googleapis.com/auth/service.management.readonly . Этого разрешения недостаточно для управления конфигурацией службы. У вас должна быть возможность googleapis.com/auth/service.management . Это наводит меня на мысль, что вы выполняете команду в Compute Engine, и назначенные области ограничены/неправильно настроены.
3. Если вы используете веб-интерфейс Google Cloud Console, роли, которые есть у учетной записи службы, не применяются. Применяются только роли, назначенные вашим учетным записям Google. Если у вас есть владелец роли, то у вас не будет роли только для чтения в соответствии с сообщением об ошибке. Перейдите в раздел IAM и дважды проверьте, какие разрешения есть у вашей учетной записи пользователя в Google Cloud.
4. Спасибо вам за разъяснение! Я добавил несколько «вычислительных» ролей для своего пользователя безрезультатно, но я не уверен, что это правильный подход.
5. Простое добавление случайных ролей редко бывает правильным подходом. Прочитайте документацию, чтобы узнать, какие разрешения требуются. Затем добавьте требуемую роль в свою личность.
Ответ №1:
Проблема заключалась в том, что мой сценарий создания шаблона (полученный из облачной консоли Google) указывал «области действия».
Я удалил области, создал новый шаблон экземпляра с помощью скрипта, и были установлены права по умолчанию.
Комментарии:
1. В вашем вопросе не упоминается использование сценария. Какие области были включены в сценарий? Ваш ответ в том виде, в каком он написан, — это просто комментарий, а не решение, от которого могут извлечь выгоду другие. Я все еще пытаюсь понять ваше утверждение о том, что вы редактировали экземпляр в графическом интерфейсе Google Cloud, и эффект этого сценария. Более подробную информацию, пожалуйста.
2. Какая разница, какие «области» я удалил? В используемом сценарии создания шаблона были неправильно добавлены области действия. В вопросе не упоминается сценарий загрузки, так как я не знал, что области действия шаблона связаны с использованием шаблона — обучение всегда полезно
3. Разница заключается в создании ответа, из которого другие также могут извлечь уроки.