如何解决将GCP Compute Engine用作经过身份验证的云运行服务的代理
我目前在Google Cloud Compute实例上托管了一个经过码头处理的Web应用程序,该应用程序只能从我们公司的专用网络访问。在过去的一年中,此设置运行良好,但是由于其他开发要求和使用增加,我发现自己不断修改实例大小,并且不得不使用新更新重新启动服务器。此外,团队中的其他开发人员在部署此代码方面的经验也较少,这使该应用程序成为我的责任。
我想将此应用程序移至Cloud Run,以实现可伸缩性,易于维护和部署,但仍只能在我们公司的网络上对其进行访问。我的想法是将应用程序移至经过身份验证的云运行服务,并使用原始服务器作为nginx代理,该代理将添加身份验证标头并将请求转发至云运行服务。
我的问题是我将如何使用nginx获取令牌(服务器将具有必要的权限),并将其添加到请求中,然后再将其传递给应用程序。这是我目前的想法,但不确定从这里出发。
location / {
proxy_set_header Authentication "Bearer $ID_TOKEN";
proxy_pass https://the-library-clwysxi3sq-ue.a.run.app;
}
解决方法
您在正确的轨道上。
在这一点上,我建议您考虑使用Envoy代理而不是NGINX。 Envoy已a well-documented protocol从外部源获取动态数据,例如$ ID_TOKEN。
无论选择哪种解决方案,请确保最终最终将“ Host”标头重写为[...].run.app
主机名,因为如果按原样保留主机名(somedomain.com
),则将赢得Cloud Run的负载均衡器不知道要路由哪个应用。
剩下的任务是弄清楚如何动态获取$ ID_TOKEN。
Google Compute VM实例需要通过查询实例元数据服务来检索身份令牌(JWT):
curl -H "Metadata-Flavor: Google" \
http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=https://hello-2wvlk7vg3a-uc.a.run.app
请确保将?audience=
的值替换为目标服务的URL。
此调用的响应主体返回一个JWT令牌,该令牌在一个小时内到期。您应该缓存此响应(基于受众和TTL
请注意,在Cloud Run上,您目前只能生成50 identity tokens per second。但是,您在GCE(和I'm repeating myself here)上运行,我认为GCE上的元数据服务没有记录的速率限制。可能更高。
然后,您需要将其作为HTTP标头添加到外发请求(到Cloud Run)中:
Authorization: Bearer <TOKEN>
Service-to-service authentication文档中说明了此过程。
您可以搜索Stack Overflow或Google,了解如何针对每个请求在NGINX中执行Lua或Bash脚本。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。