Secrets verwenden

Ihr Dienst benötigt möglicherweise Abhängigkeiten, die API-Schlüssel, Passwörter oder andere vertrauliche Informationen erfordern. Für Cloud Run empfiehlt Google, diese Art von vertraulichen Informationen in einem Secret zu speichern, das in Secret Manager erstellt wurde.

Es gibt zwei Möglichkeiten, ein Secret für Ihre Container verfügbar zu machen:

  • Stellen Sie jedes Secret als Volume bereit, das dem Container als Datei zur Verfügung steht. Beim Lesen eines Volumes wird immer der Secret-Wert aus Secret Manager abgerufen, sodass er mit der neuesten Version verwendet werden kann. Diese Methode funktioniert auch gut mit der Secret-Rotation.
  • Übergeben Sie ein Secret mithilfe von Umgebungsvariablen. Umgebungsvariablen werden beim Starten der Instanz aufgelöst. Wenn Sie diese Methode verwenden, empfiehlt Google, dass Sie das Secret auf eine bestimmte Version statt auf die neueste Version setzen.

Weitere Informationen finden Sie im Dokument Best Practices für Secret Manager.

So werden Secrets bei der Bereitstellung und zur Laufzeit geprüft

Während der Bereitstellung werden alle Secrets, ob als Umgebungsvariable oder als Volume bereitgestellt, überprüft, um sicherzustellen, dass das Dienstkonto, mit dem der Container ausgeführt wird, Zugriff darauf hat. Wenn eine Prüfung fehlschlägt, schlägt die Bereitstellung fehl.

Während der Laufzeit beim Start von Instanzen:

  • Wenn das Secret eine Umgebungsvariable ist, wird der Wert des Secrets vor dem Starten der Instanz abgerufen. Wenn also der Secret-Abruf fehlschlägt, wird die Instanz nicht gestartet.
  • Wenn das Secret als Volume bereitgestellt wird, wird beim Start der Instanz keine Prüfung durchgeführt. Während der Laufzeit schlägt jedoch der Zugriff auf ein bereitgestelltes Volume fehl, wenn auf ein Secret nicht zugegriffen werden kann.

Cloud Run Zugriff auf ein Secret gewähren

Sie können ein vorhandenes Secret Manager-Secret verwenden oder ein neues Secret erstellen. Um jedoch einem Cloud Run-Dienst den Zugriff auf das Geheimnis zu ermöglichen, müssen Sie dem Cloud Run-Dienstkonto die Secret Manager Secret Accessor-Rolle gewähren:

  1. Rufen Sie in der Cloud Console die Seite Secret Manager auf:

  2. Wählen Sie das Secret aus und klicken Sie im rechten Tab „Berechtigungen“ auf Hauptkonto hinzufügen.

  3. Geben Sie im Textfeld Neue Hauptkonten die E-Mail-Adresse des Dienstkontos für Ihren Cloud Run-Dienst ein.

  4. Gewähren Sie ihm die Rolle Secret Manager Secret Accessor.

Secret für einen Dienst zugänglich machen

Jede Konfigurationsänderung führt zur Erstellung einer neuen Überarbeitung. Für nachfolgende Überarbeitungen gilt automatisch dieselbe Konfigurationseinstellung, sofern Sie sie nicht explizit aktualisieren.

Sie können ein Secret für Ihren Dienst über die Cloud Console, das gcloud-Befehlszeilentool oder eine YAML-Datei bereitstellen, wenn Sie einen neuen Dienst bereitstellen oder einen vorhandenen Dienst aktualisieren und eine Überarbeitung bereitstellen:

Console

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.

  3. Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Weiter > Erweiterte Einstellungen. Daraufhin wird die Seite zur Dienstkonfiguration aufgerufen.

  4. Klicken Sie auf den Tab Variablen und Secrets.

    Bild

  5. Auf dem Tab "Variablen und Secrets":

    • Klicken Sie unter Secrets auf Secret-Referenz.
    • Wählen Sie aus der Drop-down-Liste Secret das gewünschte Secret aus.
    • Wählen Sie im Drop-down-Menü Referenzmethode aus, wie Sie Ihr Secret verwenden möchten: als Volume oder als Umgebungsvariable bereitgestellt.
    • Wenn Sie das Secret als Volume bereitstellen,
      1. Geben Sie unter Bereitstellungspfad den Bereitstellungspfad an, den Sie für Secrets verwenden.
      2. Standardmäßig ist die neueste Version ausgewählt. Sie können bei Bedarf eine bestimmte Version auswählen. Geben Sie unter Angegebene Pfade für Secret-Versionen den Pfad zur Version und zur Versionsnummer an.
      3. Klicken Sie auf Fertig.
    • Wenn Sie das Secret als Umgebungsvariable bereitstellen möchten:
      1. Geben Sie den Namen der Variablen an und wählen Sie die Secret-Version aus. Mit Neueste können Sie immer die aktuelle Secret-Version verwenden.
      2. Klicken Sie auf Fertig.

  6. Klicken Sie auf Erstellen oder Bereitstellen.

Befehlszeile

Geben Sie einen der folgenden Befehle ein, damit Ihr Dienst auf ein Secret zugreifen kann:

  • So stellen Sie das Secret beim Bereitstellen eines Dienstes als Volume bereit:

    gcloud beta run deploy SERVICE --image IMAGE_URL  \
    --update-secrets=PATH=SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • SECRET_NAME durch den Namen des Secrets.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die aktuelle Version oder eine Ganzzahl, z. B. 2.
  • So geben Sie das Secret beim Bereitstellen eines Dienstes als Umgebungsvariable an:

    gcloud beta run deploy SERVICE --image IMAGE_URL --update-secrets=ENV_VAR_NAME=SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest.
    • ENV_VAR_NAME durch den Namen der Umgebungsvariable, die Sie mit dem Secret verwenden möchten.
    • SECRET_NAME durch den Namen des Secrets.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die aktuelle Version oder eine Ganzzahl, z. B. 2.
  • Sie können mehrere Secrets gleichzeitig aktualisieren. Trennen Sie die Konfigurationsoptionen für jedes Secret durch ein Komma. Mit dem folgenden Befehl wird ein Secret aktualisiert, das als Volume bereitgestellt wird, und ein weiteres Secret, das als Umgebungsvariable bereitgestellt wird.

    Geben Sie den folgenden Befehl ein, um vorhandene Secrets zu aktualisieren:

    gcloud beta run deploy SERVICE --image IMAGE_URL \
    --update-secrets=PATH=SECRET_NAME:VERSION,ENV_VAR_NAME=SECRET_NAME:VERSION
    
  • Mit dem Flag --set-secrets können Sie vorhandene Secrets löschen und ein neues Secret für den Dienst zugänglich machen:

    gcloud beta run services update SERVICE \
    --set-secrets="ENV_VAR_NAME=SECRET_NAME:VERSION"
    

YAML

Sie können die vorhandene Dienstkonfiguration mit dem Befehl gcloud run services describe --format export herunterladen und aufrufen, was bereinigte Ergebnisse im YAML-Format liefert. Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run services replace hochladen. Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.

  1. So rufen Sie die Konfiguration auf und laden sie herunter:

    gcloud run services describe SERVICE --format export > service.yaml
  2. Für Secrets, die als Umgebungsvariablen bereitgestellt werden, env, aktualisieren Sie ENV_VAR, VERSION und/oder SECRET_NAME wunschgemäß. Wenn Sie mehrere Secrets als Umgebungsvariablen bereitgestellt haben, sind mehrere dieser Attribute vorhanden.

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
        spec:
          containers:
          - image: IMAGE_URL
            env:
            - name: ENV_VAR
              valueFrom:
                secretKeyRef:
                  key: VERSION
                  name: SECRET_NAME
  3. Aktualisieren Sie MOUNT_PATH, VOLUME_NAME, VERSION, FILENAME und/oder SECRET_NAME wie gewünscht für Secrets, die als Dateipfade bereitgestellt werden. Wenn Sie mehrere Secrets als Dateipfade bereitgestellt haben, sind mehrere dieser Attribute vorhanden.

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
        spec:
          containers:
          - image: IMAGE_URL
            volumeMounts:
            - mountPath: MOUNT_PATH
              name: VOLUME_NAME
          volumes:
          - name: VOLUME_NAME
            secret:
              items:
              - key: VERSION
                path: FILENAME
              secretName: SECRET_NAME

    Beachten Sie, dass VOLUME_NAME auf einen beliebigen Namen gesetzt werden kann.

  4. Ersetzen Sie den Dienst mit dem folgenden Befehl durch die neue Konfiguration:

    gcloud run services replace service.yaml

Auf Secrets aus anderen Projekten verweisen

Sie können auf ein Secret von einem anderen Projekt verweisen, wenn dem Dienstkonto Ihres Projekts Zugriff auf das Secret gewährt wurde.

Console

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.

  3. Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Weiter > Erweiterte Einstellungen. Daraufhin wird die Seite zur Dienstkonfiguration aufgerufen.

  4. Klicken Sie auf den Tab Variablen und Secrets.

    Bild

  5. Auf dem Tab "Variablen und Secrets":

    • Klicken Sie unter Secrets auf Secret-Referenz.
    • Wählen Sie Ihr Secret wird nicht angezeigt? Geben Sie die Secret-Ressourcen-ID ein aus der Pulldown-Liste Secret aus, um das folgende Formular aufzurufen:

      Projektübergreifende Secrets

    • Geben Sie im Formular Secret nach Ressourcen-ID hinzufügen das Secret aus dem anderen Projekt im Format projects/PROJECT_NUMBER/secrets/SECRET_NAME ein. Sie können alternativ die Ressourcen-ID aus dem anderen Projekt kopieren und einfügen, wenn Sie Zugriff darauf haben, indem Sie das Secret auswählen, auf die Ellipse Aktionen rechts neben dem Secret klicken und Ressourcen-ID kopieren aus dem Pull-down-Menü auswählen.
    • Klicken Sie auf Secret hinzufügen.
    • Wählen Sie im Drop-down-Menü Referenzmethode aus, wie Sie Ihr Secret verwenden möchten: als Volume oder als Umgebungsvariable bereitgestellt.
    • Wenn Sie das Secret als Volume bereitstellen,
      1. Geben Sie unter Bereitstellungspfad den Bereitstellungspfad an, den Sie für Secrets verwenden.
      2. Standardmäßig ist die neueste Version ausgewählt. Sie können bei Bedarf eine bestimmte Version auswählen. Geben Sie unter Angegebene Pfade für Secret-Versionen den Pfad zur Version und zur Versionsnummer an.
      3. Klicken Sie auf Fertig.
    • Wenn Sie das Secret als Umgebungsvariable bereitstellen möchten:
      1. Geben Sie den Namen der Variablen an und wählen Sie die Secret-Version aus. Mit Neueste können Sie immer die aktuelle Secret-Version verwenden.
      2. Klicken Sie auf Fertig.

  6. Klicken Sie auf Erstellen oder Bereitstellen.

Befehlszeile

  • So stellen Sie ein Secret beim Bereitstellen eines Dienstes als Volume bereit:

    gcloud beta run deploy SERVICE --image IMAGE_URL  \
    --update-secrets=PATH=project/PROJECT_NUMBER/secrets/SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Namen des Secrets.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die aktuelle Version oder eine Ganzzahl, z. B. 2.

Einstellungen für Secrets ansehen

So rufen Sie die aktuellen Einstellungen für Secrets für Ihren Dienst auf:

Console

  1. Öffnen Sie Cloud Run.

  2. Klicken Sie auf den gewünschten Dienst, um die Seite Dienstdetails zu öffnen.

  3. Klicken Sie auf den Tab Überarbeitungen.

  4. Im Detailbereich auf der rechten Seite wird die Einstellung für Secrets auf dem Tab Variablen und Secrets aufgeführt.

Befehlszeile

  1. Verwenden Sie den folgenden Befehl:

    gcloud run services describe SERVICE
  2. Suchen Sie in der zurückgegebenen Konfiguration nach der Einstellung für Secrets.

YAML

Sie können die vorhandene Dienstkonfiguration mit dem Befehl gcloud run services describe --format export herunterladen und aufrufen, was bereinigte Ergebnisse im YAML-Format liefert. Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run services replace hochladen. Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.

  1. So rufen Sie die Konfiguration auf und laden sie herunter:

    gcloud run services describe SERVICE --format export > service.yaml

Aufgrund von Einschränkungen zur API-Kompatibilität müssen die Secret-Standorte in einer Annotation gespeichert werden.

  1. Für Secrets, die als Umgebungsvariablen bereitgestellt werden:

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
          run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
        spec:
          containers:
          - image: IMAGE_URL
            env:
            - name: ENV_VAR
              valueFrom:
                secretKeyRef:
                  key: VERSION
                  name: SECRET_LOOKUP_NAME

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest.
    • ENV_VAR
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Namen des Secrets.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die aktuelle Version oder eine Ganzzahl, z. B. 2.
    • SECRET_LOOKUP_NAME durch einen Namen mit einer gültigen Syntax für Secret-Namen (z. B. my-secret); dieser kann SECRET_NAME entsprechen.
  2. Für Secrets, die als Dateipfade bereitgestellt werden:

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
          run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
        spec:
          containers:
          - image: IMAGE_URL
            volumeMounts:
            - mountPath: MOUNT_PATH
              name: VOLUME_NAME
          volumes:
          - name: VOLUME_NAME
            secret:
              items:
              - key: VERSION
                path: FILENAME
              secretName: SECRET_LOOKUP_NAME

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Namen des Secrets.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die aktuelle Version oder eine Ganzzahl, z. B. 2.
    • SECRET_LOOKUP_NAME durch einen Namen mit einer gültigen Syntax für Secret-Namen (z. B. my-secret); dieser kann SECRET_NAME entsprechen.
    • VOLUME_NAME durch einen beliebigen Namen (z. B. my-volume). Er kann mit SECRET_NAME identisch sein.

Secrets im Code verwenden

Beispiele für den Zugriff auf Secrets in Ihrem Code als Umgebungsvariablen finden Sie in der Anleitung zur Endnutzerauthentifizierung, insbesondere im Abschnitt Vertrauliche Konfigurationen mit Secret Manager verarbeiten.