我正在尝试使用 Cloud Tasks 调用 Cloud Run 服务,如文档 here 中所述。
我有一个正在运行的 Cloud Run 服务。如果我使该服务可公开访问,它就会按预期运行。
我创建了一个云队列,并使用本地脚本安排了云任务。这是使用我自己的帐户。脚本看起来像这样
from google.cloud import tasks_v2
client = tasks_v2.CloudTasksClient()
project = 'my-project'
queue = 'my-queue'
location = 'europe-west1'
url = 'https://url_to_my_service'
parent = client.queue_path(project, location, queue)
task = {
'http_request': {
'http_method': 'GET',
'url': url,
'oidc_token': {
'service_account_email': 'my-service-account@my-project.iam.gserviceaccount.com'
}
}
}
response = client.create_task(parent, task)
print('Created task {}'.format(response.name))
我看到任务出现在队列中,但它失败并立即重试。这样做的原因(通过检查日志)是 Cloud Run 服务返回 401 响应。我自己的用户具有“服务帐户 token 创建者”和“服务帐户用户”角色。它没有明确的“云任务队列”,但由于我能够在队列中创建任务,我想我已经继承了所需的权限。
服务帐户“my-service-account@my-project.iam.gserviceaccount.com”(我在任务中使用它来获取 OIDC token )具有以下角色:
所以我做了一个肮脏的伎俩:我为服务帐户创建了一个 key 文件,将其下载到本地并通过使用 key 文件向我的 gcloud 配置添加一个帐户来模拟本地。接下来,我运行
curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" https://url_to_my_service
这样可行! (顺便说一句,当我切换回我自己的帐户时它也有效)最终测试:如果我在创建任务时从任务中删除
oidc_token
,我会收到来自 Cloud Run 的 403 响应!不是401...如果我从服务帐户中删除“Cloud Run Invoker”角色并使用 curl 在本地重试,我也会得到 403 而不是 401。
如果我最终使 Cloud Run 服务可公开访问,则一切正常。
因此,似乎 Cloud Task 无法为服务帐户生成 token 以在 Cloud Run 服务中正确进行身份验证。
我错过了什么?
最佳答案
我在这里遇到了同样的问题是我的修复:
诊断: 生成 OIDC token 当前不支持 audience
参数中的自定义域。我为我的云运行服务 (https://my-service.my-domain.com) 使用自定义域,而不是云运行生成的 url(在云运行服务仪表板中找到),如下所示: https://XXXXXX.run.app
屏蔽行为: 在排队到 Cloud Tasks 的任务中,如果 oidc_token 的 audience
字段未明确设置,则使用任务中的目标 url 来设置 OIDC token 请求中的 audience
。
在我的情况下,这意味着将要发送到目标 https://my-service.my-domain.com/resource
的任务排队,生成 OIDC token 的受众设置为我的自定义域 https://my-service.my-domain.com/resource
。由于生成 OIDC token 时不支持自定义域,因此我收到了来自目标服务的 401 not authorized
响应。
我的修复: 使用 Cloud Run 生成的 URL 显式填充受众,以便发出有效 token 。在我的客户端中,我能够使用基本网址 'audience' : 'https://XXXXXX.run.app'
全局设置针对给定服务的所有任务的受众。这生成了一个有效的 token 。我不需要更改目标资源本身的 url。资源保持不变:'url' : 'https://my-service.my-domain.com/resource'
更多阅读:
我之前在设置服务到服务身份验证时遇到过这个问题:Google Cloud Run Authentication Service-to-Service
关于service-accounts - Google Cloud Tasks 无法对 Cloud Run 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61125728/