我经常使用 Google Cloud Platform。去年,我们仅对欧洲实施了资源限制政策“constraints/gcp.resourceLocations”。截至今天,我们在提交云构建时看到了很多奇怪的错误。有谁知道 Google 最近是否更改了他们的 Cloud Build 服务中的某些内容并使其成为区域性的?
以下命令用于工作:
gcloud builds submit .
但是,一夜之间(2020 年 11 月 12 日),我们收到了以下错误:
错误:(gcloud.builds.submit)FAILED_PRECONDITION:“global”违反了资源“projects/[PROJECT_ID]/locations/global/builds/[UUID]”上的约束“constraints/gcp.resourceLocations”
- '@type':type.googleapis.com/google.rpc.PreconditionFailure 违规:
- 描述:“全局”违反约束“constraints/gcp.resourceLocations”
运行以下命令时:
gcloud builds submit . --region=europe-west1
出现以下错误:
错误:(gcloud.builds.submit) 用户 [USER] 无权访问项目实例 [PROJECT_ID](或者它可能不存在):项目不在区域云构建的许可名单中,请联系 cloud-build-contact @google.com
我使用以下命令在虚拟机上安装了存储桶:
gcsfuse my-bucket /path/to/mount
之后,我可以使用 Pandas 从 Python 中的存储桶中读取文件,但无法写入文件或创建新文件夹。我尝试使用 Python 并使用 sudo 从终端尝试,但出现相同的错误。
我还尝试过使用存储桶中的 key_file:
sudo mount -t gcsfuse -o implicit_dirs,allow_other,uid=1000,gid=1000,key_file=Notebooks/xxxxxxxxxxxxxx10b3464a1aa9.json <BUCKET> <PATH>
当我运行代码时它没有出现错误,但我仍然无法在存储桶中写入。
我也尝试过:
gcloud auth login
但仍然有同样的问题。
我目前正在 Azure 中构建数据湖(Gen2)。我使用 Terraform 来配置所有资源。但是,我遇到了一些权限不一致的情况。根据文档,可以使用 RBAC 和 ACL 设置数据湖的权限。
我的选择是使用 ACL,因为它允许对数据湖内的目录进行细粒度的权限。在数据湖中,我raw在其他目录中创建了一个目录,其中某个目录group具有r--(只读)默认权限。意味着default该目录下的所有对象都被赋予与该目录相同的权限。当该组中的用户尝试使用存储资源管理器访问数据湖时,他们看不到存储帐户,也看不到目录所在的实际文件系统/容器。因此他们无法访问他们具有只读权限的目录。
因此,我正在考虑分配至少列出存储帐户和文件系统(容器)所需的权限。评估现有角色后,我获得了以下权限:
Microsoft.Storage/storageAccounts/listKeys/actionMicrosoft.Storage/storageAccounts/read申请许可1后,没有任何变化。同样应用权限 2 后,组中的用户突然可以在数据湖中执行所有操作,就好像没有指定 ACL 一样。
我现在的问题是:如何使用 ACL(和 RBAC)创建一个数据湖,其中的目录对不同的组具有不同的权限,以便组实际上只能读取或写入 ACL 中的那些目录?此外,他们应该能够列出他们有权访问某些目录的存储帐户和文件系统(容器)。
不久前我想知道如何为 cname 创建 ssl 证书。这是因为我们总是为虚拟机使用通用 a 记录。用户应通过 SSL 通过其服务名称来访问在这些虚拟机上运行的服务。我们使用 FreeIPA 作为我们的证书颁发机构。