Я использую плагин @ google-cloud / secret-manager в своем приложении Node, ранее размещенном на Google App Engine.
Он работал отлично, пока я не переместил свой код в Cloud Run. Теперь я получаю следующую ошибку: ошибка:
Ошибка: 500 undefined: не удалось получить метаданные из плагина с ошибкой: не удалось обновить токен доступа: код состояния неуспешного ответа.
Вот пример моего кода:
import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
const SECRET = {
FOO_KEY: 'foo_key',
BAR_KEY: 'bar_key',
};
const buildSecretName = keyName => {
const project = process.env.PROJECT_ID;
return `projects/${project}/secrets/${keyName}/versions/latest`;
};
const accessSecret = async keyName => {
const client = new SecretManagerServiceClient();
const name = buildSecretName(keyName);
const [version] = await client.accessSecretVersion({
name,
});
return version.payload.data.toString('utf8');
};
const accessFooKey = async () => {
const secret = await accessSecret(SECRET.FOO_KEY);
return secret;
};
После отладки при запуске функции accessSecretVersion
возникает исключение. Похоже, плагин secret-manager
не может получить текущую учетную запись службы, потому что я запускаю свой код внутри образа Docker?
Вот содержимое моего Dockerfile
FROM node:12
ARG NODE_ENV=production
ENV NODE_ENV ${NODE_ENV}
ARG PROJECT_ID=my-project
ENV PROJECT_ID ${PROJECT_ID}
WORKDIR /usr/src
COPY package.json ./
COPY yarn.lock ./
RUN yarn
COPY . .
RUN yarn api:clean
RUN yarn api:build
EXPOSE 3000
CMD ["yarn", "api:start"]
Он развертывается с помощью триггерной сборки с использованием следующего файла cloudbuild.yaml.
steps:
- id: build API image
name: gcr.io/cloud-builders/docker
args:
- build
- -t
- eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
- .
- id: publish API image
name: gcr.io/cloud-builders/docker
args:
- push
- eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
- id: deploy
name: gcr.io/google.com/cloudsdktool/cloud-sdk
args:
- gcloud
- run
- deploy
- ${_SERVICE_NAME}
- --image=eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
- --project=${_TARGET_PROJECT_ID}
- --platform=${_RUN_PLATFORM}
- --region=${_REGION}
images:
- eu.gcr.io/${_TARGET_PROJECT_ID}/${_SERVICE_NAME}
timeout: 1200s
Для информации, мои секреты доступны для чтения Cloud Run
пользовательской учетной записью службы, все они имеют право доступа Secret Manager Secret Accessor
.
Спасибо большое за вашу помощь!