部署到 Compute Engine

Compute Engine 可以直接从 Artifact Registry 代码库拉取容器。

所需权限

默认情况下,Compute Engine 的服务帐号对同一项目中的资源以及对 Cloud Storage 存储分区的 read-only 访问权限范围具有 Editor 权限。

虽然 Editor 权限通常授予写入权限,但 read-only 访问权限范围仅允许虚拟机实例服务帐号从同一项目中的任何代码库下载工件。

如果您有其他要求,则必须自行配置适当的权限和访问权限范围。例如:

  • 您希望虚拟机实例上传到代码库。在这种情况下,您必须配置对存储空间具有写入权限的访问权限范围read-writecloud-platformfull-control
  • 虚拟机实例与您要访问的代码库不在同一项目中。在包含代码库的项目中,为该实例的服务帐号授予所需权限。
  • 代码库位于同一个项目中,但您不希望默认服务帐号在所有代码库中都拥有相同级别的访问权限。在这种情况下,您必须在代码库级层授予适当的权限,并在项目级层撤消 Artifact Registry 权限。
  • 虚拟机与自定义服务帐号相关联。确保服务帐号具有所需权限和访问权限范围。
  • 您使用自定义角色授予权限,但自定义角色不具备所需的 Artifact Registry 权限。为角色添加所需的权限