Utilizza i secret

Il tuo servizio o job potrebbe avere bisogno di dipendenze che richiedono chiavi API, password o altre informazioni sensibili. Per Cloud Run, Google consiglia di archiviare questo tipo di informazioni sensibili in un secret creato in Secret Manager.

Puoi rendere disponibile un secret per i tuoi container in due modi per i servizi Cloud Run:

  • Monta ogni secret come volume, rendendolo segreto disponibile per il container come file. La lettura di un volume recupera sempre il valore del secret da Secret Manager, pertanto può essere utilizzato con la versione latest. Questo metodo funziona bene anche con la rotazione segreta.
  • Trasmetti un secret utilizzando variabili di ambiente. Le variabili di ambiente vengono risolte al momento dell'avvio dell'istanza, quindi se utilizzi questo metodo, Google consiglia di fissare il secret a una versione specifica anziché utilizzare la versione più recente.

Per i job Cloud Run, puoi utilizzare le variabili di ambiente per i secret.

Per scoprire di più, consulta il documento delle best practice per Secret Manager.

Come vengono controllati i secret in fase di deployment e runtime

Durante il deployment del servizio o la creazione del job, tutti i secret utilizzati, come variabile di ambiente o montati come volume, vengono controllati per garantire che l'account di servizio utilizzato per eseguire il container può accedervi. Se un controllo non va a buon fine, il deployment o la creazione del job non riescono.

Durante l'avvio, quando vengono avviate le istanze:

  • Se il secret è una variabile di ambiente, il valore del secret viene recuperato prima di avviare l'istanza, quindi se il recupero del secret non riesce, l'istanza non si avvia.
  • Se il secret viene montato come volume, non viene eseguito alcun controllo durante l'avvio dell'istanza. Tuttavia, durante il runtime, se un secret è inaccessibile, i tentativi di lettura del volume montato non andranno a buon fine.

Consenti a Cloud Run di accedere a un secret

Puoi utilizzare un secret di Secret Manager esistente o creare un nuovo secret. Tuttavia, per consentire a un servizio Cloud Run di accedere al secret, devi concedere il ruolo Secret Accessor Secret Manager all'account di servizio Cloud Run:

  1. Vai alla pagina di Secret Manager in Cloud Console

  2. Seleziona il secret e, nella scheda delle autorizzazioni sul lato destro, fai clic su Aggiungi entità.

  3. Nella casella di testo Nuove entità, inserisci l'email dell'account di servizio per il servizio Cloud Run.

  4. Concedi il ruolo di Accesso segreto Secret Manager.

Rendere un secret accessibile a Cloud Run

Puoi rendere disponibili i secret per i servizi e i job.

Per i servizi Cloud Run

Qualsiasi modifica alla configurazione determina la creazione di una nuova revisione. Questa impostazione verrà configurata automaticamente anche nelle successive revisioni, a meno che non apporti aggiornamenti espliciti per modificarla.

Puoi rendere un secret accessibile al tuo servizio utilizzando Cloud Console, l'interfaccia a riga di comando di Google Cloud o un file YAML quando esegui il deployment di un nuovo servizio o aggiorni un servizio esistente ed esegui il deployment di una revisione:

Console

  1. Vai a Cloud Run

  2. Fai clic su Create Service (Crea servizio) se stai configurando un nuovo servizio in cui stai eseguendo il deployment. Se stai configurando un servizio esistente, fai clic sul servizio e poi su Modifica ed esegui il deployment di una nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni del servizio iniziale come richiesto, quindi fai clic su Avanti > Container, Variabili &Secret, Connessioni, Sicurezza per accedere alla pagina di configurazione del servizio.

  4. Fai clic sulla scheda Variabili e secret.

    immagine

  5. Nella scheda Variabili e secret:

    • In Secret, fai clic su Riferimento a un secret
    • Seleziona il secret che vuoi utilizzare dall'elenco a discesa Secret.
    • Nel menu a discesa Metodo di riferimento, seleziona il modo in cui vuoi utilizzare il secret, montato come volume o esposto come variabili di ambiente.
    • Se stai montando il secret come volume,
      1. In Percorso di montaggio, specifica il percorso di montaggio che utilizzi per i secret.
      2. Per impostazione predefinita è selezionata l'ultima versione. Se vuoi, puoi selezionare una versione specifica. In Percorsi specificati per le versioni dei secret, specifica il percorso della versione e il numero di versione.
      3. Fai clic su Fine.
    • Se esponi il secret come variabile di ambiente:
      1. Fornisci il nome della variabile e seleziona la versione del secret, oppure il più recente per utilizzare sempre la versione del secret corrente.
      2. Fai clic su Fine.

  6. Fai clic su Crea o Esegui il deployment.

Riga di comando

Per rendere un secret accessibile al tuo servizio, inserisci uno dei seguenti comandi.

  • Per montare il secret come volume durante il deployment di un servizio:

    gcloud run deploy SERVICE --image IMAGE_URL  \
    --update-secrets=PATH=SECRET_NAME:VERSION

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • PATHcon il percorso di montaggio del volume e il nome file del secret. Deve iniziare con una barra, ad esempio: /etc/secrets/dbconfig/password, dove /etc/secrets/dbconfig/ è il percorso di montaggio del volume e password è il nome file del secret.
    • SECRET_NAME con il nome segreto nello stesso progetto, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.
  • Per esporre il secret come variabile di ambiente durante il deployment di un servizio:

    gcloud run deploy SERVICE --image IMAGE_URL --update-secrets=ENV_VAR_NAME=SECRET_NAME:VERSION

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • ENV_VAR_NAME con il nome della variabile di ambiente che vuoi utilizzare con il secret.
    • SECRET_NAME con il nome segreto nello stesso progetto, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.
  • Puoi aggiornare più secret contemporaneamente. Per farlo, separa le opzioni di configurazione di ogni secret con una virgola. Il comando seguente aggiorna un secret montato come volume e un altro secret esposto come variabile di ambiente.

    Per aggiornare i secret esistenti, inserisci il seguente comando:

    gcloud run deploy SERVICE --image IMAGE_URL \
    --update-secrets=PATH=SECRET_NAME:VERSION,ENV_VAR_NAME=SECRET_NAME:VERSION
    
  • Per cancellare i secret esistenti e rendere un nuovo secret accessibile al servizio, utilizza il flag --set-secrets:

    gcloud run services update SERVICE \
    --set-secrets="ENV_VAR_NAME=SECRET_NAME:VERSION"
    

YAML

Puoi scaricare e visualizzare la configurazione del servizio esistente utilizzando il comando gcloud run services describe --format export, che restituisce risultati puliti in formato YAML. Puoi quindi modificare i campi descritti di seguito e caricare il file YAML modificato utilizzando il comando gcloud run services replace. Assicurati di modificare i campi solo come documentato.

  1. Per visualizzare e scaricare la configurazione:

    gcloud run services describe SERVICE --format export > service.yaml
  2. Per i secret esposti come variabili di ambiente, sotto env, aggiorna ENV_VAR, VERSION e/o SECRET_NAME come preferisci. Se hai più secret montati come variabili di ambiente, avrai più di questi attributi.

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
        metadata:
          name: REVISION
        spec:
          containers:
          - image: IMAGE_URL
            env:
            - name: ENV_VAR
              valueFrom:
                secretKeyRef:
                  key: VERSION
                  name: SECRET_NAME
  3. Per i secret montati come percorsi file, aggiorna MOUNT_PATH, VOLUME_NAME, VERSION, FILENAME e/o SECRET_NAME come preferisci. Se hai più secret montati come percorsi file, avrai più di questi attributi.

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
        metadata:
          name: REVISION
        spec:
          containers:
          - image: IMAGE_URL
            volumeMounts:
            - mountPath: MOUNT_PATH
              name: VOLUME_NAME
          volumes:
          - name: VOLUME_NAME
            secret:
              items:
              - key: VERSION
                path: FILENAME
              secretName: SECRET_NAME

    Tieni presente che VOLUME_NAME può essere impostato su qualsiasi nome.

    Sostituisci

    • SERVICE con il nome del tuo servizio Cloud Run
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • REVISION con un nuovo nome di revisione o eliminalo (se presente). Se fornisci un nuovo nome della revisione, deve soddisfare i seguenti criteri:
      • Inizia con SERVICE-
      • Contiene solo lettere minuscole, numeri e -
      • Non termina con -
      • Non superare i 63 caratteri.
  4. Sostituisci il servizio con la nuova configurazione utilizzando il seguente comando:

    gcloud run services replace service.yaml

Riferimento a secret da altri progetti

Puoi fare riferimento a un secret di un altro progetto, se all'account di servizio del progetto è consentito l'accesso al secret.

Console

  1. Vai a Cloud Run

  2. Fai clic su Create Service (Crea servizio) se stai configurando un nuovo servizio in cui stai eseguendo il deployment. Se stai configurando un servizio esistente, fai clic sul servizio e poi su Modifica ed esegui il deployment di una nuova revisione.

  3. Se stai configurando un nuovo servizio, compila la pagina delle impostazioni del servizio iniziale come richiesto, quindi fai clic su Avanti > Container, Variabili &Secret, Connessioni, Sicurezza per accedere alla pagina di configurazione del servizio.

  4. Fai clic sulla scheda Variabili e secret.

    immagine

  5. Nella scheda Variabili e secret:

    • In Secret, fai clic su Riferimento a un secret
    • Seleziona Non vedere il tuo segreto? Inserisci l'ID risorsa segreto dall'elenco a discesa Secret per visualizzare il seguente modulo:

      Secret tra progetti

    • Nel modulo Aggiungi un secret per ID risorsa, inserisci il secret dell'altro progetto nel formato projects/PROJECT_NUMBER/secrets/SECRET_NAME. In alternativa, puoi copiare e incollare l'ID risorsa dall'altro progetto se puoi accedervi, selezionando il secret, facendo clic sui puntini di sospensione Azioni a destra del secret e selezionando Copia ID risorsa dal menu a discesa.
    • Fai clic su Aggiungi secret.
    • Nel menu a discesa Metodo di riferimento, seleziona il modo in cui vuoi utilizzare il secret, montato come volume o esposto come variabili di ambiente.
    • Se stai montando il secret come volume,
      1. In Percorso di montaggio, specifica il percorso di montaggio che utilizzi per i secret.
      2. Per impostazione predefinita è selezionata l'ultima versione. Se vuoi, puoi selezionare una versione specifica. In Percorsi specificati per le versioni dei secret, specifica il percorso della versione e il numero di versione.
      3. Fai clic su Fine.
    • Se esponi il secret come variabile di ambiente:
      1. Fornisci il nome della variabile e seleziona la versione del secret, oppure il più recente per utilizzare sempre la versione del secret corrente.
      2. Fai clic su Fine.

  6. Fai clic su Crea o Esegui il deployment.

Riga di comando

  • Per montare un secret come volume durante il deployment di un servizio:

    gcloud run deploy SERVICE --image IMAGE_URL  \
    --update-secrets=PATH=projects/PROJECT_NUMBER/secrets/SECRET_NAME:VERSION

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • PATHcon il percorso di montaggio del volume e il nome file del secret. Deve iniziare con una barra, ad esempio: /etc/secrets/dbconfig/password, dove /etc/secrets/dbconfig/ è il percorso di montaggio del volume e password è il nome file del secret.
    • PROJECT_NUMBER con il numero di progetto per il progetto in cui è stato creato il secret.
    • SECRET_NAME con il nome del secret, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.

YAML

Puoi scaricare e visualizzare la configurazione del servizio esistente utilizzando il comando gcloud run services describe --format export, che restituisce risultati puliti in formato YAML. Puoi quindi modificare i campi descritti di seguito e caricare il file YAML modificato utilizzando il comando gcloud run services replace. Assicurati di modificare i campi solo come documentato.

  1. Per visualizzare e scaricare la configurazione:

    gcloud run services describe SERVICE --format export > service.yaml

A causa di vincoli relativi alla compatibilità delle API, le località secret devono essere archiviate in un'annotazione.

  1. Per i secret esposti come variabili di ambiente:

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
          run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
        spec:
          containers:
          - image: IMAGE_URL
            env:
            - name: ENV_VAR
              valueFrom:
                secretKeyRef:
                  key: VERSION
                  name: SECRET_LOOKUP_NAME

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • ENV_VAR
    • PROJECT_NUMBER con il numero di progetto per il progetto in cui è stato creato il secret.
    • SECRET_NAME con il nome del secret, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.
    • SECRET_LOOKUP_NAME con qualsiasi nome che ha una sintassi del nome segreto valida (ad esempio my-secret), può essere uguale a SECRET_NAME.
  2. Per i secret montati come percorsi file:

    apiVersion: serving.knative.dev/v1
    kind: Service
    metadata:
      name: SERVICE
    spec:
      template:
          run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
        spec:
          containers:
          - image: IMAGE_URL
            volumeMounts:
            - mountPath: MOUNT_PATH
              name: VOLUME_NAME
          volumes:
          - name: VOLUME_NAME
            secret:
              items:
              - key: VERSION
                path: FILENAME
              secretName: SECRET_LOOKUP_NAME

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • PATHcon il percorso di montaggio del volume e il nome file del secret. Deve iniziare con una barra, ad esempio: /etc/secrets/dbconfig/password, dove /etc/secrets/dbconfig/ è il percorso di montaggio del volume e password è il nome file del secret.
    • PROJECT_NUMBER con il numero di progetto per il progetto in cui è stato creato il secret.
    • SECRET_NAME con il nome del secret, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.
    • SECRET_LOOKUP_NAME con qualsiasi nome che ha una sintassi del nome segreto valida (ad esempio my-secret), può essere uguale a SECRET_NAME.
    • VOLUME_NAME con qualsiasi nome (ad esempio my-volume), può essere uguale a SECRET_NAME
  • Per montare un secret come volume durante il deployment di un servizio:

    gcloud run deploy SERVICE --image IMAGE_URL  \
    --update-secrets=PATH=projects/PROJECT_NUMBER/secrets/SECRET_NAME:VERSION

    Sostituisci:

    • SERVICE con il nome del tuo servizio.
    • IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/hello:latest
    • PATHcon il percorso di montaggio del volume e il nome file del secret. Deve iniziare con una barra, ad esempio: /etc/secrets/dbconfig/password, dove /etc/secrets/dbconfig/ è il percorso di montaggio del volume e password è il nome file del secret.
    • PROJECT_NUMBER con il numero di progetto per il progetto in cui è stato creato il secret.
    • SECRET_NAME con il nome del secret, ad esempio mysecret.
    • VERSION con la versione del secret. Usa latest per la versione più recente o un numero, ad esempio 2.

Per job Cloud Run

Per i job Cloud Run, puoi specificare secret da fornire come variabili di ambiente.

Per rendere un secret accessibile al tuo job Cloud Run:

  1. Specifica il secret in una variabile di ambiente quando crei un nuovo job:

    gcloud beta run jobs create JOB_NAME --image IMAGE_URL --set-secrets ENV_VAR_NAME=SECRET_NAME:VERSION

    Sostituisci

    • JOB_NAME con il nome del tuo lavoro.
    • ENV_VAR_NAME con il nome della variabile di ambiente da utilizzare per il secret.
    • SECRET_NAME con il nome segreto nello stesso progetto, ad esempio mysecret.
    • VERSION con la versione del secret. Utilizza latest per la versione più recente o un numero, ad esempio 2.
    • Sostituisci IMAGE_URL con un riferimento all'immagine container, ad esempio us-docker.pkg.dev/cloudrun/container/job:latest.

    Puoi specificare diverse coppie variabile/segreto di ambiente, utilizzando un elenco delimitato da virgole.

  2. Specifica il secret in una variabile di ambiente quando aggiorni un job:

    gcloud beta run jobs update JOB_NAME --set-secrets --set-secrets ENV_VAR_NAME=SECRET_NAME:VERSION

Visualizza le impostazioni dei secret

Per visualizzare le impostazioni attuali dei secret per il tuo servizio Cloud Run:

Console

  1. Vai a Cloud Run

  2. Fai clic sul servizio che ti interessa per aprire la pagina Dettagli del servizio.

  3. Fai clic sulla scheda Revisioni.

  4. Nel riquadro dei dettagli a destra, l'impostazione dei secret è elencata nella scheda Variabili e secret.

Riga di comando

  1. Utilizza il comando seguente:

    gcloud run services describe SERVICE
  2. Individua l'impostazione dei secret nella configurazione restituita.

Per visualizzare le impostazioni dei secret attuali per il tuo job Cloud Run:

Console

  1. Vai ai job Cloud Run

  2. Fai clic sul lavoro che ti interessa per aprire la pagina Dettagli job.

  3. Fai clic sulla scheda Configurazione.

  4. Individua l'impostazione dei secret nei dettagli di configurazione.

Riga di comando

  1. Utilizza il comando seguente:

    gcloud beta run jobs describe JOB_NAME
  2. Individua l'impostazione dei secret nella configurazione restituita.

Utilizza i secret nel tuo codice

Ad esempio, per accedere ai secret nel tuo codice come variabili di ambiente, fai riferimento al tutorial sull'autenticazione degli utenti finali, in particolare la sezione Gestire la configurazione sensibile con Secret Manager.

Percorsi e limitazioni non consentiti

Cloud Run non consente di montare secret in /dev, /proc e /sys o nelle relative sottodirectory.

Se stai montando secret su /tmp e utilizzi un ambiente di esecuzione di prima generazione, consulta il problema noto relativo al montaggio dei secret su /tmp.

Cloud Run non consente di montare più secret nello stesso percorso perché due montaggi di volume non possono essere montati nella stessa posizione.