google cloud run service - 用CMEK 加密容器

最新推荐文章于 2024-03-18 22:02:23 发布
最新推荐文章于 2024-03-18 22:02:23 发布
阅读量490 收藏 12
点赞数 11
分类专栏: CloudRun gcp google cloud 文章标签: gcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nvd11/article/details/136726298
版权
gcp 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
google cloud
22 篇文章 0 订阅
订阅专栏
CloudRun
3 篇文章 0 订阅
订阅专栏

问题

今天当我尝试部署1个新的service 到cloudrun的时候, 出现了下面错误:

gateman@DESKTOP-UIU9RFJ:~$ gcloud run deploy bq-api-service --region=europe-west2 --image=europe-west2-docker.pkg.dev/jason-hsbc/my-docker-repo/bq-api-service:1.0.0 --platform=managed --ingress=all --port=8080 --min-instances=0 --max-instances=2 --service-account=vm-common@jason-hsbc.iam.gserviceaccount.com --no-allow-unauthenticated
Deploying container to Cloud Run service [bq-api-service] in project [jason-hsbc] region [europe-west2]
X Deploying new service...                                                                                                                                                                                                                                                                                                                           
  . Creating Revision...                                                                                                                                                                                                                                                                                                                             
  . Routing traffic...                                                                                                                                                                                                                                                                                                                               
Deployment failed                                                                                                                                                                                                                                                                                                                                    
ERROR: (gcloud.run.deploy) FAILED_PRECONDITION: Constraint constraints/gcp.restrictNonCmekServices violated for CreateService attempting to create revision without a CMEK key. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information.
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
  violations:
  - description: Constraint constraints/gcp.restrictNonCmekServices violated for CreateService
      attempting to create revision without a CMEK key. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints
      for more information.
    subject: orgpolicy:projects/jason-hsbc
    type: constraints/gcp.restrictNonCmekServices



原因

原因也写得很明白, GCP的organization 新加个了policy, 所有的子项目都必须用CMEK key 加密
而我上面的部署command 并没有CMEK参数的



什么是CMEK

GCP 的 CMEK 指的是 Customer-Managed Encryption Keys(客户管理的加密密钥)。在 Google Cloud Platform(GCP)中,CMEK 允许客户自行管理用于加密其云服务数据的加密密钥。

简单来讲, 我们可以利用1个 Key 去加密保护我们的GCP component , 例如cloud run service 和 bigquery dataset, bucket 等等



创建Key Ring

参考:
https://cloud.google.com/kms/docs/monitor-ekm-usage

首先要enable CMEK api

[gateman@manjaro-x13 ~]$ gcloud services enable cloudkms.googleapis.com
[gateman@manjaro-x13 ~]$ gcloud services list --enabled | grep kms
cloudkms.googleapis.com              Cloud Key Management Service (KMS) API

然后创建1个key ring

在 Google Cloud KMS(Key Management Service)中,Key Ring(密钥环)是一个逻辑容器,用于组织和管理密钥。Key Ring 用于将密钥逻辑上分组,以便更好地管理和控制密钥的访问和使用。

gcloud kms keyrings create mykeyring --location=europe-west2



查看Key Ring

[gateman@manjaro-x13 ~]$ gcloud kms keyrings list --location=europe-west2
NAME
projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring



在这个Key Ring 内创建1个CMEK (KMS Key)

[gateman@manjaro-x13 ~]$ gcloud kms keys create mycmek \
    --keyring mykeyring \
    --location europe-west2 \
    --purpose "encryption" \
    --protection-level "software"



查看CMEK

注意keyring 和 location的参数都要提供

[gateman@manjaro-x13 ~]$ gcloud kms keys list --keyring=mykeyring --location=europe-west2
NAME                                                                             PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED



权限问题

好了, 这时1个新的CMEK 被创建 我们可以加上这个参数
–key=projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek

来部署cloud run

但是遇到了下面的权限问题

gcloud run deploy bq-api-service --region=europe-west2 --image=europe-west2-docker.pkg.dev/jason-hsbc/my-docker-repo/bq-api-service:1.0.0 --platform=managed --ingress=all --port=8080 --min-instances=0 --max-instances=2 --service-account=vm-common@jason-hsbc.iam.gserviceaccount.com --no-allow-unauthenticated --key=projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek
Deploying container to Cloud Run service [bq-api-service] in project [jason-hsbc] region [europe-west2]
X Deploying... Revision 'bq-api-service-00003-tav' is not ready and cannot serve traffic. Please ensure that the provided encryption key URL is correct and the project's Google Cloud Run Service Agent has the permission [cloudkms.cryptoKeyVersions.useToDecrypt] and [cloudkms.cryptoKeyVersions.useToEncrypt] on resource projects/jason-hsbc/l
ocations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek. Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek' (or it may not exist).                                                                                                         
  ✓ Creating Revision...                                                                                                                                                                                                                                                                                                                             
  X Routing traffic... Revision 'bq-api-service-00003-tav' is not ready and cannot serve traffic. Please ensure that the provided encryption key URL is correct and the project's Google Cloud Run Service Agent has the permission [cloudkms.cryptoKeyVersions.useToDecrypt] and [cloudkms.cryptoKeyVersions.useToEncrypt] on resource projects/jaso
  n-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek. Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek' (or it may not exist).                                                                                               
  ✓ Setting IAM Policy...                                                                                                                                                                                                                                                                                                                            
Deployment failed                                                                                                                                                                                                                                                                                                                                    
ERROR: (gcloud.run.deploy) Revision 'bq-api-service-00003-tav' is not ready and cannot serve traffic. Please ensure that the provided encryption key URL is correct and the project's Google Cloud Run Service Agent has the permission [cloudkms.cryptoKeyVersions.useToDecrypt] and [cloudkms.cryptoKeyVersions.useToEncrypt] on resource projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek. Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek' (or it may not exist).



原因

原因也写得很明白, Google Cloud Run Service Agent 没有 对上面的mycmeky 的两个权限。。[cloudkms.cryptoKeyVersions.useToDecrypt] and [cloudkms.cryptoKeyVersions.useToEncrypt]

检查以下这个key 的具体权限信息
果然什么都没有

[gateman@manjaro-x13 ~]$ gcloud kms keys get-iam-policy mycmek --keyring=mykeyring --location=europe-west2
etag: ACAB



什么是 Google Cloud Run Service Agent?

WTF, 我先检查一下service accounts 列表

[gateman@manjaro-x13 ~]$ gcloud iam service-accounts list
DISPLAY NAME EMAIL DISABLED
owner-test owner-test@jason-hsbc.iam.gserviceaccount.com False
App Engine default service account jason-hsbc@appspot.gserviceaccount.com False
terraform terraform@jason-hsbc.iam.gserviceaccount.com False
vm-common vm-common@jason-hsbc.iam.gserviceaccount.com False
pubsub publisher a pubsub-publisher-a@jason-hsbc.iam.gserviceaccount.com False
non-access non-access@jason-hsbc.iam.gserviceaccount.com False
terraform2 terraform2@jason-hsbc.iam.gserviceaccount.com False
Compute Engine default service account 912156613264-compute@developer.gserviceaccount.com False

没有这玩意啊, 倒是有个APP Engine default service account 和 Compute Engine default service account

然后去google
https://cloud.google.com/iam/docs/service-agents

找到了下面的信息
Google Cloud Run Service Agent
Primary service agent for run.googleapis.com.
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com

用下面命令得到project number
gcloud projects describe my-project --format=‘get(projectNumber)’

得到Google Cloud Run Service Agent
就是service-912156613264@serverless-robot-prod.iam.gserviceaccount.com

居然还describe 不出任何信息, 有点怀疑人生

[gateman@manjaro-x13 ~]$ gcloud iam service-accounts describe service-912156613264@serverless-robot-prod.iam.gserviceaccount.com

ERROR: (gcloud.iam.service-accounts.describe) PERMISSION_DENIED: Permission 'iam.serviceAccounts.get' denied on resource (or it may not exist).
- '@type': type.googleapis.com/google.rpc.ErrorInfo
  domain: iam.googleapis.com
  metadata:
    permission: iam.serviceAccounts.get
  reason: IAM_PERMISSION_DENIED
[gateman@manjaro-x13 ~]$

我姑且当它是1个隐藏的service acount



分配加解密权限给Google Cloud run App agent

[gateman@manjaro-x13 ~]$ gcloud kms keys add-iam-policy-binding mycmek \
  --location=europe-west2 \
  --keyring=mykeyring \
  --member=serviceAccount:service-912156613264@serverless-robot-prod.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Updated IAM policy for key [mycmek].
bindings:
- members:
  - serviceAccount:service-912156613264@serverless-robot-prod.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwYTpCn-w7g=
version: 1

[gateman@manjaro-x13 ~]$ gcloud kms keys get-iam-policy mycmek --keyring=mykeyring --location=europe-west2
bindings:
- members:
  - serviceAccount:service-912156613264@serverless-robot-prod.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwYTpCn-w7g=
version: 1



重新尝试部署

gateman@DESKTOP-UIU9RFJ:~$ gcloud run deploy bq-api-service --region=europe-west2 --image=europe-west2-docker.pkg.dev/jason-hsbc/my-docker-repo/bq-api-service:1.0.0 --platform=managed --ingress=all --port=8080 --min-instances=0 --max-instances=2 --service-account=vm-common@jason-hsbc.iam.gserviceaccount.com --no-allow-unauthenticated --key=projects/jason-hsbc/locations/europe-west2/keyRings/mykeyring/cryptoKeys/mycmek
Deploying container to Cloud Run service [bq-api-service] in project [jason-hsbc] region [europe-west2]
✓ Deploying... Done.                                                                                                                                                                                                                                                                                                                                 
  ✓ Creating Revision...                                                                                                                                                                                                                                                                                                                             
  ✓ Routing traffic...                                                                                                                                                                                                                                                                                                                               
  ✓ Setting IAM Policy...                                                                                                                                                                                                                                                                                                                            
Done.                                                                                                                                                                                                                                                                                                                                                
Service [bq-api-service] revision [bq-api-service-00004-dil] has been deployed and is serving 100 percent of traffic.
Service URL: https://bq-api-service-7hq3m4pdya-nw.a.run.app

这次部署成功了!

nvd11
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
从命令行使用CMake
bcbobo21cn的专栏
06-15 470
windows下命令行使用cmake;
Google Cloud Console + Jupyter Notebooks 讲解
CHNMSCS
12-17 654
要想在Google Cloud Console里创建和使用Jupyter,现在博主就将步骤写下来,供各位参考,如果有什么不对的,就请指出来!(Google Cloud Console上的命令和界面会有变化) 在Google Cloud Console,选择已有的Google Cloud Project,或者创建新的Google Cloud Project. 点击"NEW PROJECT",就可以创建新的Google Cloud Project. 确保Google Cloud Project有bi
谷歌cloud_参加Google Cloud专业机器学习工程师考试的20天Beta
weixin_26756255的博客
09-09 822
谷歌cloud1 Aug 2020, I checked to see that the registration page which a week ago showed “we have sufficient beta test takers and registration is closed” is surprisingly active again. I looked through t...
谷歌gcp 远程计算机_Google Cloud Platform(GCP)的Secrets Managers比较
weixin_26722031的博客
07-30 823
谷歌gcp 远程计算机Earlier this year, Google made Secret Manager generally available (GA), and with this release came a new, native secrets manager solution available for workloads in Google Cloud. In an earl...
Reliable Cloud Infrastructure: Design and Process学习笔记
weixin_42051187的博客
03-16 1234
最后更新2022/03/16 忘记更新对应的学习笔记,补上。这一科有9节,加上0章简介 简介 google cloud的好多功能有点相似,这科内容是介绍应该选什么产品,怎么选择,怎么规划,怎么设计等等。首先,你要有个软件产品的设计思想,包括对需求和用户的定义,这个没人能帮你,要你自己解决,google cloud只是个辅助的实现工具,要拿这个工具干什么,你自己决定。 有了这个核心设计思想之后,就要对实现过程进行解构,例如将大目标——10个亿,变成10个1个亿的小目标。。。在现代设计中,基于云架构的系统,最佳
事件响应的红色大按钮:如何处理Cloud中的安全事件
weixin_26752759的博客
09-16 224
事件响应的红色大按钮:如何处理Cloud中的安全事件 (Big red button for incident response: How to approach security incidents in Cloud)Photo by Jeff Kingma on Unsplash Jeff Kingma在Unsplash上拍摄的照片 I was faced with a difficult...
cmake-入门篇
渔道的博客
08-21 681
1 什么是CMake? Cmake是一个编译、构建工具。使用CMakeLists.txt来描述构建过程,可以生成标准的构建文件,如Makefile。一般先编写CMakeLists.txt,然后通过cmake来生成Makefile,最后执行make进行编译。 1.1 cmake安装 ​ 在ubuntu上安装cmake非常简单,执行sudo apt-get install cmake即可。如果想安装最新的cmake版本,就需要自己进行源码编译安装。源码下载。源码编译安装非常简单,这里就不再详细描述了。 1.2
cmake命令行使用
beibeix2015的博客
07-06 1203
cmake的命令行使用
gcloud storage cp
★【World Of Moshow 郑锴】★
03-18 1085
Cloud Storage customers often ask us about the fastest way to ingest and retrieve data from their buckets. Getting the best performance often requires the users to know the right flags and parameters to optimize transfer speeds. In many situations, custome
前18大旋转修整器企业占据全球87%的市场份额.docx
05-06
前18大旋转修整器企业占据全球87%的市场份额
Planet-SkySat-Imagery-Product-Specification-Jan2020.pdf
05-06
SKYSAT IMAGERY PRODUCT SPECIFICATION PLANET.COM VIDEO Full motion videos are collected between 30 and 120 seconds by a single camera from any of the active SkySats. Videos are collected using only the Panchromatic half of the camera, hence all videos are PAN only. Videos are packaged and delivered with a video mpeg-4 file, plus all image frames with accompanying video metadata and a frame index file (reference Product Types below)
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
05-06
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
2019年A~F题特等奖论文合集.pdf
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,历年美赛特等奖O奖论文
雷达物位变送器安装和操作手册
05-06
雷达物位变送器安装和操作手册
node-v11.6.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python3实现快速排序(源代码)
05-06
快速排序是一种基于分治策略的排序算法,通过选择一个基准元素,将待排序的数组划分为两个子数组,一个包含所有小于基准的元素,另一个包含所有大于基准的元素,然后递归地对这两个子数组进行快速排序。快速排序在平均情况下具有O(n log n)的时间复杂度,是一种非常高效的排序算法。然而,在最坏情况下,当输入数据已经有序或接近有序时,快速排序的性能会退化为O(n^2)。此外,快速排序是不稳定的排序算法,即相等的元素可能在排序过程中改变相对位置。尽管如此,快速排序仍然因其高效的平均性能而在实际应用中广泛使用。在Python3中,可以通过递归或迭代的方式实现快速排序算法,但为了避免额外的空间开销,通常会采用原地排序的方式来实现。
毕业课设基于51单片机的出租车计价器(昼夜)
05-06
【作品名称】:基于51单片机的出租车计价器(昼夜) 含(程序、仿真图、流程图、原理图) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 出租车计价器: 1、不同情况具有不同的收费标准,具有白天和夜晚不同的计价能力 2、能进行手动修改单价 3、具有数据的复位功能(起步价,起步公里数,里程单价,白天晚上不一样) 4、能够在掉电的情况下存储单价等数据 5、步进电机模拟里程,一圈表示一里路
2024年中国API 11P往复式气体压缩机行业研究报告.docx
05-06
2024年中国API 11P往复式气体压缩机行业研究报告
Windows 10系统上安装和配置Tomcat的步骤
05-06
附件是Windows 10系统上安装和配置Tomcat的步骤,文件绿色安全,请大家放心下载,仅供交流学习使用,无任何商业目的!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值