linux - 如何将 GCE 用户添加到保留成员身份的组？

Question

在我的 GCE 上的 RHEL7 实例中，我使用了一个软件包，该软件包是我使用其 bash 脚本安装程序从命令行安装的。安装程序创建软件运行所在的用户 xyz 和组 xyzgroup，并将用户 xyz 和运行安装程序的用户(例如 gce_user)添加到 xyzgroup 组。但是 GCE google-accounts-daemon.service (GAD) 会定期从组 xyzgroup 中删除用户 gce_user :

sudo systemctl -l status google-accounts-daemon.service
[...]
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from group 'xyzgroup'
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from shadow group 'xyzgroup'
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from group 'xyzgroup'
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from shadow group 'xyzgroup'
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from group 'xyzgroup'
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from shadow group 'xyzgroup'

但是，GAD 不会从组 xyzgroup 中删除用户 xyz。我在创建实例时使用 GCE 云控制台创建了用户 gce_user 并将 ssh key 添加到该用户；安装程序将用户 gce_user 添加到组 xyzgroup 但它没有持续存在。我使用 sudo gpasswd -a gce_user xyzgroup 将用户恢复到该组，但这并没有持续。我还使用 sudo usermod -a -G xyzgroup gce_user 将用户 gce_user 恢复到 xyzgroup 组，但这也没有持续存在。 GAD 有时会在用户添加到组中几天后从组中删除用户。

我注意到 GCE Accounts daemon account_utils.py calls usermod将用户添加到组:

command = ['usermod', '-G', groups, user]

GCE 文档说云控制台可用于管理(Linux 操作系统)用户帐户，包括(Linux 操作系统)组成员身份:https://cloud.google.com/compute/docs/access/user-accounts/#create_a_new_user_account

但是，说明开头为: 1. 转至 User Accounts page .

用户帐户页面的链接将要求您选择一个项目。选择后，生成的页面不是用户帐户页面 - 它是项目的整体仪表板页面。如果您进入仪表板页面 [用户帐户] 顶部的搜索栏并单击项目用户帐户(副标题为 IAM 和管理员)，结果页面只会显示“(!)加载失败”。

如何将用户 gce_user 添加到组 xyzusers 以便组成员资格持续存在，并且不被 GAD 删除？最好是命令行，这样我就可以修复 xyz 软件包的安装程序 bash 脚本。

Answer 1

云用户帐户功能处于测试阶段，需要白名单。

This is a Beta release of User Accounts. This feature might be changed in backward-incompatible ways and is not recommended for production use. It is not subject to any SLA or deprecation policy. Request to be whitelisted to use this feature.

https://cloud.google.com/compute/docs/access/user-accounts/#useraccountsgroups