问题描述
我在Google App Engine Standard上有一个Python应用程序,该应用程序通过Google Cloud Identity Aware Proxy(IAP)进行了保护。
我想每天使用Cloud Scheduler触发我的应用程序的一部分。 (它正在调用API,进行计算并将结果存储在Google Cloud Storage中。)
为此,我尝试在“ App Engine HTTP”上触发POST请求。示例网址:“ / refresh_data”
运行作业时,出现以下错误:
jsonPayload: {
status: "FAILED_PRECONDITION"
relativeUrl: "/refresh_data"
jobName: "..."
@type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
targetType: "APP_ENGINE_HTTP"
}
我找不到与“ FAILED_PRECONDITION”错误相关的任何文档,因此感觉有点卡在这里。
作为替代方案,我尝试触发对简单“ HTTP”的POST请求,并通过将IAP中的所有者访问级别授予我用于Cloud Scheduler的服务帐户。这次,我得到的错误消息如下:
jsonPayload: {
status: "UNAUTHENTICATED"
@type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
jobName: "..."
targetType: "HTTP"
url: "https:.../refresh_data"
}
我真的不明白如何实现此目的... Cloud Scheduler documentation几乎没有记录“ App Engine HTTP”选项,并且与使用IAP无关,没有任何记录...
任何帮助将不胜感激:)
解决方法
这是IAP的阴暗面。几个月前,我已将此反馈发送给Google。与Pubsub相同,即使您使用具有正确授权的服务帐户,也无法触发和保护App Engine IAP免受这些无服务器产品的侵害。
,您可以从IAP上检查相关的documentation,以了解如何使用服务帐户进行身份验证。
无论何时使用Cloud Scheduler,请求都将通过其服务帐户来完成,因此,遵循的指南应该是上面链接的指南,因为您基本上是在尝试通过编程方式进行身份验证,而不是使用Google登录。
也就是说,在向受IAP保护的端点发出请求之前,您需要生成OIDC令牌。获得OIDC令牌后,需要将其包含在Authorization: Bearer
标头中。
我在将 GAE 应用程序从 python 2.7 升级到 python3(标准)时遇到了类似的问题。 在运行我之前设置为云调度程序作业的 cron.yaml 作业时,我收到了与您相同的错误消息(状态:“FAILED_PRECONDITION”)。 之前的 cron.yaml 文件的上传也无法运行。 然后我发现只需在 url 上添加一个结尾 '/' 即可修复它。 所以一个 cron 像:
cron:
- description: competition participants pilot list update
url: /daily1/
schedule: every 8 hours from 05:00 to 21:00
使用云 SDK 上传后工作:
gcloud app deploy cron.yaml --project my-gae-project
(我忘记了)我还必须:
gcloud services enable cloudscheduler.googleapis.com --project my-gae-project