Google 云在不同 GCP 项目中创建没有 VPC 对等的 dns 对等
Google Cloud create dns peering without VPC peering in different GCP projects
我正在努力学习 DNS Peering Google Cloud DNS。
我遵循了 google 云指南 page 但无法使用 dns 对等服务帐户创建托管区域。
执行了以下命令
gcloud dns managed-zones create dns-peer-zone \
--description="peering between consumer and provider" \
--dns-name="us-central1-a.c.provider-proj-299820.internal" --networks=sample-vpc-consumer \
--account=consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com \
--target-network=sample-vpc --target-project=provider-proj-299820 \
--visibility=private
我也尝试过使用它自己的 DNS,如下所示
gcloud dns managed-zones create dns-peer-zone \
--description="peering between consumer and provider" \
--dns-name="us-east1.c.consumer-proj-300018.internal" --networks=sample-vpc-consumer \
--account=consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com \
--target-network=sample-vpc --target-project=provider-proj-299820 \
--visibility=private
出现以下错误:
ERROR: (gcloud.dns.managed-zones.create)
User [consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com] does not have permission
to access projects instance [provider-proj-299820] (or it may not exist): Forbidden
:~$
我已经为提供商项目中的消费者项目的服务帐户成功更新了 DNS 对等角色,如下所示
gcloud projects add-iam-policy-binding provider-proj-299820 \
--member="serviceAccount:consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com" \
--role=roles/dns.peer
结果:
Updated IAM policy for project [provider-proj-299820].
bindings:
- members:
我是这两个项目的所有者,提供者在 central1 中有自定义子网,消费者在 east1 中有自定义子网。提供者网络 GLOBAL 而消费者 REGIONAL
他们的IP范围是互斥的
从错误来看,在我看来,该消息具有误导性和混淆性。基于此,我发现以下 PIT1 and PIT2 作为 Google 问题跟踪器上的错误。目前没有预计到达时间。但是,您将相应地获得有关线程的进一步更新。
我正在尝试激活为在生产者项目中创建 dns 角色而创建的服务帐户,该帐户没有在其他项目中创建角色的权限
我按照 beingasre blog link 中提到的未激活的步骤进行操作,它起作用了
我正在努力学习 DNS Peering Google Cloud DNS。
我遵循了 google 云指南 page 但无法使用 dns 对等服务帐户创建托管区域。
执行了以下命令
gcloud dns managed-zones create dns-peer-zone \
--description="peering between consumer and provider" \
--dns-name="us-central1-a.c.provider-proj-299820.internal" --networks=sample-vpc-consumer \
--account=consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com \
--target-network=sample-vpc --target-project=provider-proj-299820 \
--visibility=private
我也尝试过使用它自己的 DNS,如下所示
gcloud dns managed-zones create dns-peer-zone \
--description="peering between consumer and provider" \
--dns-name="us-east1.c.consumer-proj-300018.internal" --networks=sample-vpc-consumer \
--account=consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com \
--target-network=sample-vpc --target-project=provider-proj-299820 \
--visibility=private
出现以下错误:
ERROR: (gcloud.dns.managed-zones.create)
User [consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com] does not have permission
to access projects instance [provider-proj-299820] (or it may not exist): Forbidden
:~$
我已经为提供商项目中的消费者项目的服务帐户成功更新了 DNS 对等角色,如下所示
gcloud projects add-iam-policy-binding provider-proj-299820 \
--member="serviceAccount:consumer-svcacct@consumer-proj-300018.iam.gserviceaccount.com" \
--role=roles/dns.peer
结果:
Updated IAM policy for project [provider-proj-299820].
bindings:
- members:
我是这两个项目的所有者,提供者在 central1 中有自定义子网,消费者在 east1 中有自定义子网。提供者网络 GLOBAL 而消费者 REGIONAL
他们的IP范围是互斥的
从错误来看,在我看来,该消息具有误导性和混淆性。基于此,我发现以下 PIT1 and PIT2 作为 Google 问题跟踪器上的错误。目前没有预计到达时间。但是,您将相应地获得有关线程的进一步更新。
我正在尝试激活为在生产者项目中创建 dns 角色而创建的服务帐户,该帐户没有在其他项目中创建角色的权限 我按照 beingasre blog link 中提到的未激活的步骤进行操作,它起作用了