在我的场景中,我想在谷歌云构建期间触发一个基于HTTP端点的谷歌云函数。HTTP请求是使用python:3.7-slim容器的步骤完成的。
基于文档中的这个和这个例子,我想使用以下代码:
REGION = 'us-central1'
PROJECT_ID = 'name-of-project'
RECEIVING_FUNCTION = 'my-cloud-function'
function_url = f'https://{REGION}-{PROJECT_ID}.cloudfunctions.net/{RECEIVING_FUNCTION}'
metadata_server_url = 'http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience='
token_full_url = metadata_server_url + function_url
token_headers = {'Metadata-Flavor': 'Google'}
token_response = requests.get(token_full_url, headers=token_headers)
jwt = token_response.text
print(jwt)
r = requests.post(url=function_url, headers=function_headers, json=payload)
令人惊讶的是,代码失败是因为jwt
是Not Found
(根据print
语句(。我已经通过硬编码一个有效的身份令牌测试了代码和IAM设置,并在同一项目内的测试VM上测试了完全相同的获取机制。问题似乎是,获取一些元数据在云构建中不起作用。
我是不是错过了什么?谢谢你的帮助!
如果请求者(生成访问令牌的人(在服务帐户上(或广泛在项目中(具有服务帐户令牌创建者角色,则解决方案是使用新的IAM api在具有访问令牌的服务帐户上生成ID_TOKEN。
第一个例子使用直接的API调用
- name: gcr.io/cloud-builders/gcloud
entrypoint: "bash"
args:
- "-c"
- |
curl -X POST -H "content-type: application/json"
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-d '{"audience": "YOUR AUDIENCE"}'
"https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/YOUR SERVICE ACCOUNT:generateIdToken"
# Use Cloud Build Service Account
# service_account_email=$(gcloud config get-value account)
这里是Python代码版本
- name: python:3.7
entrypoint: "bash"
args:
- "-c"
- |
pip3 install google-auth requests
python3 extract-token.py
并且extract-token.py
包含以下代码
REGION = 'us-central1'
PROJECT_ID = 'name-of-project'
RECEIVING_FUNCTION = 'my-cloud-function'
function_url = f'https://{REGION}-{PROJECT_ID}.cloudfunctions.net/{RECEIVING_FUNCTION}'
import google.auth
credentials, project_id = google.auth.default(scopes='https://www.googleapis.com/auth/cloud-platform')
# To use the Cloud Build service account email
service_account_email = credentials.service_account_email
#service_account_email = "YOUR OWN SERVICE ACCOUNT"
metadata_server_url = f'https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/{service_account_email}:generateIdToken'
token_headers = {'content-type': 'application/json'}
from google.auth.transport.requests import AuthorizedSession
authed_session = AuthorizedSession(credentials)
import json
body = json.dumps({'audience': function_url})
token_response = authed_session.request('POST',metadata_server_url, data=body, headers=token_headers)
jwt = token_response.json()
print(jwt['token'])
如果你需要更多的细节,不要犹豫。
我想我会在Medium上写一篇关于这个的文章,如果你想让我说出你的名字,请告诉我
这里最好的方法是在公共问题跟踪器中创建一个功能请求(FR(。提交问题和FR是有区别的。FR为工程团队提供了真实需求的可见性;根据受此影响的用户数量,他们会优先考虑这些用户的开发。我还建议创建一个guthub回购,这样他们就可以很容易地复制它,并参考上述问题。
另一方面,作为一种变通方法,您可以在Pub/Sub中创建一个主题来接收构建通知:
gcloud pubsub topics create cloud-builds
每次提交构建时,都会向主题推送一条消息,然后您可以创建一个PubSub Cloud函数,并从那里调用您的HTTP CF。
我使用了github的这个例子,在文档Authenticating Function中提到了这个例子来实现
const {get} = require('axios');
// TODO(developer): set these values
const REGION = 'us-central1';
const PROJECT_ID = 'YOUR PROJECTID';
const RECEIVING_FUNCTION = 'FUNCTION TO TRIGGER';
// Constants for setting up metadata server request
// See https://cloud.google.com/compute/docs/instances/verifying-instance-identity#request_signature
const functionURL = `https://${REGION}-${PROJECT_ID}.cloudfunctions.net/${RECEIVING_FUNCTION}`;
const metadataServerURL =
'http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=';
const tokenUrl = metadataServerURL + functionURL;
exports.helloPubSub = async (event, context) => {
// Fetch the token
const message = event.data
? Buffer.from(event.data, 'base64').toString()
: 'Hello, World';
const tokenResponse = await get(tokenUrl, {
headers: {
'Metadata-Flavor': 'Google',
},
});
const token = tokenResponse.data;
// Provide the token in the request to the receiving function
try {
const functionResponse = await get(functionURL, {
headers: {Authorization: `bearer ${token}`},
});
console.log(message);
} catch (err) {
console.error(err);
}
};
最后,当ClouBuild提交时,您的PubSub CF将被触发,您可以在其中调用CF。