GCP - 无法在 Cloud Run 中使用 Google Secret Manager (@google-cloud/secret-manager)
Posted
技术标签:
【中文标题】GCP - 无法在 Cloud Run 中使用 Google Secret Manager (@google-cloud/secret-manager)【英文标题】:GCP - Can't use Google Secret Manager (@google-cloud/secret-manager) inside Cloud Run 【发布时间】:2020-12-02 07:58:46 【问题描述】:我一直在我的 Node 应用程序中使用 @google-cloud/secret-manager 插件,以前托管在 Google App Engine 上。
在我将代码移至 Cloud Run 之前,它一直运行良好。我现在收到以下错误:错误:
错误:500 未定义:从插件获取元数据失败并出现错误: 无法刷新访问令牌:不成功的响应状态代码。
这是我的代码示例:
import SecretManagerServiceClient from '@google-cloud/secret-manager';
const SECRET =
FOO_KEY: 'foo_key',
BAR_KEY: 'bar_key',
;
const buildSecretName = keyName =>
const project = process.env.PROJECT_ID;
return `projects/$project/secrets/$keyName/versions/latest`;
;
const accessSecret = async keyName =>
const client = new SecretManagerServiceClient();
const name = buildSecretName(keyName);
const [version] = await client.accessSecretVersion(
name,
);
return version.payload.data.toString('utf8');
;
const accessFooKey = async () =>
const secret = await accessSecret(SECRET.FOO_KEY);
return secret;
;
经过调试,运行accessSecretVersion函数时似乎抛出了异常。 secret-manager 插件似乎无法检索当前服务帐户,是因为我在 Docker 映像中运行我的代码吗?
这是我的 Dockerfile 的内容
FROM node:12
ARG NODE_ENV=production
ENV NODE_ENV $NODE_ENV
ARG PROJECT_ID=my-project
ENV PROJECT_ID $PROJECT_ID
WORKDIR /usr/src
COPY package.json ./
COPY yarn.lock ./
RUN yarn
COPY . .
RUN yarn api:clean
RUN yarn api:build
EXPOSE 3000
CMD ["yarn", "api:start"]
它是通过使用以下 cloudbuild.yaml 文件的触发器构建部署的
steps:
- id: build API image
name: gcr.io/cloud-builders/docker
args:
- build
- -t
- eu.gcr.io/$_TARGET_PROJECT_ID/$_SERVICE_NAME
- .
- id: publish API image
name: gcr.io/cloud-builders/docker
args:
- push
- eu.gcr.io/$_TARGET_PROJECT_ID/$_SERVICE_NAME
- id: deploy
name: gcr.io/google.com/cloudsdktool/cloud-sdk
args:
- gcloud
- run
- deploy
- $_SERVICE_NAME
- --image=eu.gcr.io/$_TARGET_PROJECT_ID/$_SERVICE_NAME
- --project=$_TARGET_PROJECT_ID
- --platform=$_RUN_PLATFORM
- --region=$_REGION
images:
- eu.gcr.io/$_TARGET_PROJECT_ID/$_SERVICE_NAME
timeout: 1200s
关于信息,Cloud Run 自定义服务帐户可以读取我的秘密,它们都具有Secret Manager Secret Accessor 访问权限。
非常感谢您的帮助!
【问题讨论】:
您能分享您的 Dockerfile 和其余代码吗?你怎么称呼“accessSecret”?您是如何将服务部署到 Cloud Run 的? 我根据您所要求的信息编辑了我的答案,感谢您的宝贵时间 仔细检查分配给 Cloud Run 的服务帐号。 【参考方案1】:正如 John Hanley 所说,我在部署 Docker 映像时没有指定任何特定的服务帐户。默认服务帐户是 Compute Engine 帐户 (xxx-compute@developer.gserviceaccount.com),我的公司已禁用该帐户以防止出现安全问题。
在运行gcloud run deploy 命令时使用自定义服务帐户解决了该问题。我的deploy 步骤现在看起来像这样:
- id: deploy
name: gcr.io/google.com/cloudsdktool/cloud-sdk
args:
- gcloud
- run
- deploy
- $_SERVICE_NAME
- --image=eu.gcr.io/$_TARGET_PROJECT_ID/$_SERVICE_NAME
- --project=$_TARGET_PROJECT_ID
- --platform=$_RUN_PLATFORM
- --region=$_REGION
- --service-account=custom-service@my-project.iam.gserviceaccount.com
感谢大家的帮助
【讨论】:
以上是关于GCP - 无法在 Cloud Run 中使用 Google Secret Manager (@google-cloud/secret-manager)的主要内容,如果未能解决你的问题,请参考以下文章
Docker容器上传到gcp cloud-run,核心Web api应用程序不起作用
如何对 GCP Cloud Run 上的联合 GraphQL 服务进行身份验证?
在一个 GCP 项目中来自 Cloud Run 应用的 HTTP 503 错误,但在另一个项目中没有
在 GCP 存储桶中创建对象时触发通过 Cloud Run 部署的数据流作业