Docker 计算引擎上 google cloudML 的容器 - 为安装桶进行身份验证

Docker container for google cloudML on compute engine - authenticating for mounting bucket

我一直在使用 google 的机器学习平台,cloudML

大图: 我正在尝试找出最干净的方法来让他们的 docker 启动并 运行ning 在 google 计算实例上,可以访问 cloudML API和我的存储桶。

从本地开始,我配置了我的服务帐户

C:\Program Files (x86)\Google\Cloud SDK>gcloud config list
Your active configuration is: [service]

[compute]
region = us-central1
zone = us-central1-a
[core]
account = 773889352370-compute@developer.gserviceaccount.com
disable_usage_reporting = False
project = api-project-773889352370

我使用 google 容器映像系列启动计算实例

gcloud compute instances create gci --image-family gci-stable --image-project google-containers --scopes 773889352370-compute@developer.gserviceaccount.com="https://www.googleapis.com/auth/cloud-platform"

编辑:需要明确设置与 cloudML 通信的范围。

然后我可以通过 ssh 进入该实例(用于调试)

gcloud compute ssh benweinstein2010@gci 

在计算实例上,我可以从 GCR 中提取 cloudML docker 并 运行 它

docker pull gcr.io/cloud-datalab/datalab:local
docker run -it --rm  -p "127.0.0.1:8080:8080" \
  --entrypoint=/bin/bash \
  gcr.io/cloud-datalab/datalab:local

我可以确认我可以访问我想要的存储桶。那里没有凭据问题

root@cd6cc28a1c8a:/# gsutil ls gs://api-project-773889352370-ml
gs://api-project-773889352370-ml/Ben/
gs://api-project-773889352370-ml/Cameras/
gs://api-project-773889352370-ml/MeerkatReader/
gs://api-project-773889352370-ml/Prediction/
gs://api-project-773889352370-ml/TrainingData/
gs://api-project-773889352370-ml/cloudmldist/

但是当我尝试装载存储桶时

root@139e775fcf6b:~# gcsfuse api-project-773889352370-ml /mnt/gcs-bucket
Using mount point: /mnt/gcs-bucket
Opening GCS connection...
Opening bucket...
Mounting file system...
daemonize.Run: readFromProcess: sub-process: mountWithArgs: mountWithConn: Mount: mount: running fusermount: exit status 1

stderr:
fusermount: failed to open /dev/fuse: Operation not permitted

一定是我需要从 docker 容器中激活我的服务帐户吗?我有过类似的(未解决的问题

gcloud auth activate-service-account

我可以传递 docker 凭据 .json 文件,但我不确定 where/if gcloud ssh 是否将这些文件传递到我的实例?

我可以更广泛地访问云平台,例如我可以 post 向 cloudML 发出请求 API。

gcloud beta ml predict --model ${MODEL_NAME} --json-instances images/request.json > images/${outfile}

成功了。所以一些凭据正在 passed.I 猜测我可以将其传递给计算引擎,然后从计算引擎传递给 docker 实例?感觉就像我没有按预期使用这些工具。我以为一旦我在本地进行身份验证,gcloud 就会处理这个问题。

这是一个 docker 问题,而不是 gcloud 权限问题。 Docker 需要 运行 作为 --privileged 以允许安装保险丝。