是否有必要重新創建Google容器引擎羣集來修改API權限？

Question

閱讀this earlier question後，我有一些後續問題。我有一個Google Container Engine集羣，它缺少Cloud Monitoring API訪問權限。根據這篇文章，我無法啓用它。

引用的帖子是一歲。可以肯定的是：它仍然是正確的嗎？要爲我的GKE羣集啓用（例如）Cloud Monitoring API，我們將不得不重新創建整個羣集，因爲羣集創建後無法更改這些權限？

此外，如果我必須這樣做，在我看來，最好是啓用所有API以儘可能廣泛的權限，以防萬一我希望將來在我的生產羣集上使用其中的一個當它在使用中時，我不能很好地把整個事情放下來然後重新創建它。這種方法有什麼缺點嗎？

Answer 1

你可以保持同一個集羣，而是創建一個新的Node Pool你需要（並刪除舊的「默認」節點池）的新範圍：

gcloud container node-pools create new-np --cluster $CLUSTER --scopes monitoring 

以便使所有權限的缺點是，如果您在許多不同的地方使用相同的服務帳戶。例如，如果我的service-account-1需要從此GKE羣集訪問Cloud Monitoring，但它也在不相關的GCE VM上使用，我可能不希望該GCE VM訪問我的Cloud Monitoring數據。