文章/答案/技术大牛

发布

社区首页 >问答首页 >GCP -不能在云运行中使用Google秘密管理器(@google/秘-管理器)

问GCP -不能在云运行中使用Google秘密管理器(@google/秘-管理器)
EN

Stack Overflow用户

提问于 2020-08-12 14:31:30

回答 1查看 2.4K关注 0票数 2

我一直在我的Node应用程序中使用@ Google /秘管理器插件，以前托管在Google上。

在我将代码移到Cloud之前，它运行得非常好。我现在得到以下错误: error：

错误:500个未定义的:从插件获取元数据失败了，错误:无法刷新访问令牌:不成功的响应状态代码。

下面是我的代码示例：

import { SecretManagerServiceClient } from '@google-cloud/secret-manager';

const SECRET = {
  FOO_KEY: 'foo_key',
  BAR_KEY: 'bar_key',
};

const buildSecretName = keyName => {
  const project = process.env.PROJECT_ID;
  return `projects/${project}/secrets/${keyName}/versions/latest`;
};

const accessSecret = async keyName => {
  const client = new SecretManagerServiceClient();
  const name = buildSecretName(keyName);
  
  const [version] = await client.accessSecretVersion({
    name,
  });

  return version.payload.data.toString('utf8');
};

const accessFooKey = async () => {
  const secret = await accessSecret(SECRET.FOO_KEY);
  return secret;
};

调试后，运行accessSecretVersion函数时似乎会引发异常。看起来secret-manager插件无法检索当前的服务帐户，是因为我在Docker映像中运行代码吗？

这是我的Dockerfile的内容

FROM node:12

ARG NODE_ENV=production
ENV NODE_ENV ${NODE_ENV}

ARG PROJECT_ID=my-project
ENV PROJECT_ID ${PROJECT_ID}

WORKDIR /usr/src

COPY package.json ./
COPY yarn.lock ./

RUN yarn

COPY . .

RUN yarn api:clean
RUN yarn api:build

EXPOSE 3000
CMD ["yarn", "api:start"]

它是通过使用以下cloudbuild.yaml文件的触发器构建来部署的

steps:
  - id: build API image
    name: gcr.io/cloud-builders/docker
    args:
      - build
      - -t
      - eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
      - .

  - id: publish API image
    name: gcr.io/cloud-builders/docker
    args:
      - push
      - eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}

  - id: deploy
    name: gcr.io/google.com/cloudsdktool/cloud-sdk
    args:
      - gcloud
      - run
      - deploy
      - ${_SERVICE_NAME}
      - --image=eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
      - --project=${_TARGET_PROJECT_ID}
      - --platform=${_RUN_PLATFORM}
      - --region=${_REGION}

images:
  - eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}

timeout: 1200s

关于信息，我的秘密可以被Cloud Run自定义服务帐户读取，它们都有Secret Manager Secret Accessor访问权限。

非常感谢你的帮助！

google-cloud-platform

google-cloud-run

google-secret-manager

node.js

回答 1

Stack Overflow用户

回答已采纳

发布于 2020-08-12 15:24:00

正如John所说，在部署我的Docker映像时，我没有指定任何特定的服务帐户。默认服务帐户是计算引擎帐户( Compute，xxx-compute@developer.gserviceaccount.com)，该帐户被我的公司禁用以防止安全问题。

在运行gcloud run deploy命令时使用自定义服务帐户解决了这个问题。我的deploy步骤现在如下所示：

  - id: deploy
    name: gcr.io/google.com/cloudsdktool/cloud-sdk
    args:
      - gcloud
      - run
      - deploy
      - ${_SERVICE_NAME}
      - --image=eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
      - --project=${_TARGET_PROJECT_ID}
      - --platform=${_RUN_PLATFORM}
      - --region=${_REGION}
      - --service-account=custom-service@my-project.iam.gserviceaccount.com

谢谢你们的帮助

票数 5

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/63378729

复制

相似问题

问GCP -不能在云运行中使用Google秘密管理器(@google/秘-管理器)
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问GCP -不能在云运行中使用Google秘密管理器(@google/秘-管理器)EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问GCP -不能在云运行中使用Google秘密管理器(@google/秘-管理器)
EN