Layanan Anda mungkin harus memiliki dependensi yang memerlukan kunci API, sandi, sertifikat, atau informasi sensitif lainnya. Untuk Cloud Run, Google merekomendasikan agar Anda menyimpan informasi sensitif seperti ini di secret yang dibuat di Secret Manager.
Anda dapat membuat secret tersedia untuk container dengan salah satu dari dua cara berikut:
- Instal setiap secret sebagai volume, yang membuat secret tersedia untuk container sebagai file. Membaca volume akan selalu mengambil nilai secret dari Secret Manager, sehingga dapat digunakan dengan versi terbaru. Metode ini juga berfungsi dengan baik pada rotasi secret.
- Teruskan secret menggunakan variabel lingkungan. Variabel lingkungan diselesaikan pada waktu startup instance. Jadi, jika Anda ingin menggunakan metode ini, Google merekomendasikan Anda untuk menyematkan secret ke versi tertentu daripada menggunakan versi terbaru.
Untuk informasi selengkapnya, lihat dokumen praktik terbaik di Secret Manager.
Cara pemeriksaan secret saat deployment dan runtime
Selama deployment layanan, semua secret yang digunakan, baik sebagai variabel lingkungan atau yang dipasang sebagai volume, akan diperiksa guna memastikan akun layanan yang digunakan untuk menjalankan container ini memiliki akses ke secret. Jika ada pemeriksaan yang gagal, deployment layanan akan gagal.
Selama runtime, ketika sistem instance dimulai:
- Jika secret adalah variabel lingkungan, nilai secret akan diambil sebelum instance dimulai. Jadi, jika pengambilan secret gagal, instance tidak akan dimulai.
- Jika secret dipasang sebagai volume, tidak akan ada pemeriksaan yang dilakukan selama startup instance. Namun, jika selama runtime secret tidak dapat diakses, upaya untuk membaca volume yang terpasang juga akan gagal.
Kepemilikan volume berbeda berdasarkan lingkungan eksekusi dan jenis deployment
Saat Anda memasang volume secret, identitas yang memiliki file dan direktori akan berbeda bergantung pada lingkungan eksekusi workload dan apakah deployment terdiri dari satu atau beberapa penampung.
Di lingkungan eksekusi generasi pertama tempat Anda men-deploy satu container, volume secret dimiliki oleh identitas yang digunakan untuk container. Dalam kasus lain, volume dimiliki oleh root. Hal ini mencakup:
- Lingkungan eksekusi generasi pertama tempat Anda men-deploy banyak container
- Lingkungan generasi kedua
Sebelum memulai
-
Enable the Secret Manager API.
- Gunakan secret yang ada atau buat secret di Secret Manager, seperti yang dijelaskan dalam Membuat secret.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi secret, minta administrator Anda untuk memberikan peran IAM berikut:
-
Cloud Run Admin (
roles/run.admin
) di layanan Cloud Run -
Service Account User (
roles/iam.serviceAccountUser
) di identitas layanan
Untuk mengizinkan Cloud Run mengakses secret, identitas layanan harus memiliki peran berikut:
- Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor
)
Untuk petunjuk cara menambahkan akun utama identitas layanan ke peran Secret Manager Secret Accessor, lihat Mengelola akses ke secret.
Untuk mengetahui daftar peran dan izin IAM yang terkait dengan Cloud Run, lihat peran IAM Cloud Run dan izin IAM Cloud Run. Jika layanan Cloud Run Anda berinteraksi dengan Google Cloud API, seperti Library Klien Cloud, lihat panduan konfigurasi identitas layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat izin deployment dan mengelola akses.
Membuat secret dapat diakses oleh Cloud Run
Setiap perubahan konfigurasi akan menghasilkan revisi baru. Revisi selanjutnya juga akan otomatis mendapatkan setelan konfigurasi ini, kecuali jika Anda melakukan pembaruan eksplisit untuk mengubahnya.
Anda dapat membuat secret dapat diakses oleh layanan Anda menggunakan Google Cloud Console, Google Cloud CLI, atau file YAML saat men-deploy layanan baru atau memperbarui layanan yang sudah ada, dan men-deploy revisi. Klik tab pilihan Anda:
Konsol
Di konsol Google Cloud, buka Cloud Run:
Klik Deploy container dan pilih Service untuk mengonfigurasi layanan baru. Isi halaman setelan layanan awal, lalu klik Container, volume, networking, security untuk memperluas halaman konfigurasi layanan.
Jika Anda mengonfigurasi layanan yang ada, klik layanan, lalu klik Edit dan deploy revisi baru.
Ikuti langkah-langkah untuk memasang secret sebagai volume, atau mengekspos secret sebagai variabel lingkungan.
Untuk memasang secret sebagai volume:
- Klik tab Volumes, lalu pilih Add volume.
- Di daftar Volume type, pilih Secret.
- Di kolom Volume name, masukkan nama atau terima nama default.
- Dari daftar Secret, pilih secret yang ingin Anda gunakan.
- Di kolom Path 1, masukkan nama file yang akan dipasang.
- Dalam daftar Version 1, pilih versi secret yang akan direferensikan. Secara default, versi terbaru akan dipilih. Anda dapat memilih versi tertentu jika menginginkannya.
- Klik Done.
- Buka tab Container untuk memasang secret ke penampung.
- Di tab Volume mounts, klik Mount volume.
- Dari daftar Name 1, pilih nama volume Anda.
- Di kolom Mount path 1, masukkan jalur pemasangan untuk secret ini. Ini adalah direktori tempat semua versi secret Anda ditempatkan.
- Klik Done.
- Klik Buat atau Deploy.
Untuk mengekspos secret sebagai variabel lingkungan:
- Klik tab Container.
- Di tab Variables and Secrets, klik Referensikan secret.
- Di kolom Name 1, masukkan nama variabel lingkungan.
- Dari daftar Secret, pilih secret yang ingin Anda gunakan.
- Dari daftar Versi 1, pilih versi secret yang akan direferensikan.
- Klik Done.
- Klik Buat atau Deploy.
gcloud
Agar secret dapat diakses oleh layanan Anda, masukkan salah satu perintah berikut.
Untuk memasang secret sebagai volume saat men-deploy layanan:
gcloud run deploy SERVICE --image IMAGE_URL \ --update-secrets=PATH=SECRET_NAME:VERSION
Ganti:
SERVICE
dengan nama layanan Anda.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL berbentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
PATH
dengan jalur pemasangan volume dan nama file secret. Nama ini harus diawali dengan garis miring, misalnya:/etc/secrets/dbconfig/password
, dengan/etc/secrets/dbconfig/
sebagai jalur pemasangan volume, danpassword
nama file secret.SECRET_NAME
dengan nama secret dalam project yang sama, misalnyamysecret
.VERSION
dengan versi secret. Gunakanlatest
untuk versi terbaru, atau nomor, misalnya,2
.
Untuk menampilkan secret sebagai variabel lingkungan saat men-deploy layanan
gcloud run deploy SERVICE \ --image IMAGE_URL \ --update-secrets=ENV_VAR_NAME=SECRET_NAME:VERSION
Ganti:
SERVICE
dengan nama layanan Anda.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
ENV_VAR_NAME
dengan nama variabel lingkungan yang ingin Anda gunakan dengan secret.SECRET_NAME
dengan nama secret dalam project yang sama, misalnyamysecret
.VERSION
dengan versi secret. Gunakanlatest
untuk versi terbaru, atau nomor, misalnya,2
.
Anda dapat memperbarui beberapa secret secara bersamaan. Untuk melakukannya, pisahkan opsi konfigurasi untuk setiap secret dengan koma. Perintah berikut memperbarui satu secret yang dipasang sebagai volume dan secret lain yang ditampilkan sebagai variabel lingkungan.
Untuk memperbarui secret yang ada, masukkan perintah berikut:
gcloud run deploy SERVICE --image IMAGE_URL \ --update-secrets=PATH=SECRET_NAME:VERSION,ENV_VAR_NAME=SECRET_NAME:VERSION
Untuk menghapus secret yang ada dan membuat secret baru dapat diakses oleh layanan, gunakan flag
--set-secrets
:gcloud run services update SERVICE \ --set-secrets="ENV_VAR_NAME=SECRET_NAME:VERSION"
YAML
Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
gcloud run services describe SERVICE --format export > service.yaml
Untuk secret yang ditampilkan sebagai variabel lingkungan, di bagian
env
, perbarui ENV_VAR, VERSION, dan/atau SECRET_NAME sesuai keinginan. Jika Anda memiliki beberapa secret yang dipasang sebagai variabel lingkungan, Anda akan memiliki beberapa atribut tersebut.apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: metadata: name: REVISION spec: containers: - image: IMAGE_URL env: - name: ENV_VAR valueFrom: secretKeyRef: key: VERSION name: SECRET_NAME
Untuk secret yang dipasang sebagai jalur file, perbarui MOUNT_PATH, VOLUME_NAME, VERSION, FILENAME, dan/atau SECRET_NAME sesuai keinginan. Jika Anda memiliki beberapa secret yang dipasang sebagai jalur file, Anda akan memiliki beberapa atribut tersebut.
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: metadata: name: REVISION spec: containers: - image: IMAGE_URL volumeMounts: - mountPath: MOUNT_PATH name: VOLUME_NAME volumes: - name: VOLUME_NAME secret: items: - key: VERSION path: FILENAME secretName: SECRET_NAME
Perlu diperhatikan bahwa
VOLUME_NAME
dapat disetel ke nama apa pun.Ganti
- SERVICE dengan nama layanan Cloud Run Anda
- IMAGE_URL dengan referensi ke image container, misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
- Dimulai dengan
SERVICE-
- Hanya berisi huruf kecil, angka, dan
-
- Tidak diakhiri dengan
-
- Tidak melebihi 63 karakter
- Dimulai dengan
Ganti layanan dengan konfigurasinya yang baru menggunakan perintah berikut:
gcloud run services replace service.yaml
Terraform
Buat secret dan versi secret.
Buat akun layanan dan beri akun layanan tersebut akses ke secret:
Secret Manager, secret dapat diakses dari Cloud Run sebagai jalur file yang terpasang atau sebagai variabel lingkungan.
Untuk secret yang dipasang sebagai jalur file, referensikan resource Secret Manager di parameter
volumes
.name
sesuai dengan entri dalam parametervolume_mounts
:Untuk secret yang ditampilkan sebagai variabel lingkungan, referensikan resource Secret Manager dalam parameter
env
:
Mereferensikan secret dari project lain
Untuk mereferensikan secret dari project lain, pastikan akun layanan project Anda memiliki akses ke secret tersebut.
Konsol
Di konsol Google Cloud, buka Cloud Run:
Klik Deploy container dan pilih Service untuk mengonfigurasi layanan baru. Isi halaman setelan layanan awal, lalu klik Container, volume, networking, security untuk memperluas halaman konfigurasi layanan.
Jika Anda mengonfigurasi layanan yang ada, klik layanan, lalu klik Edit dan deploy revisi baru.
Ikuti langkah-langkah untuk memasang secret sebagai volume, atau mengekspos secret sebagai variabel lingkungan.
Untuk memasang secret sebagai volume:
- Klik tab Volumes, lalu pilih Add volume.
- Di daftar Volume type, pilih Secret.
- Di kolom Volume name, masukkan nama atau terima nama default.
- Dari daftar Secret, klik Enter secret manually.
Masukkan ID resource secret dalam format berikut:
projects/PROJECT_NUMBER/secrets/SECRET_NAME
Ganti kode berikut:
PROJECT_NUMBER dengan nomor project Google Cloud Anda. Untuk mengetahui petunjuk mendetail tentang cara menemukan nomor project, lihat Membuat dan mengelola project.
SECRET_NAME: Nama secret di Secret Manager.
Di kolom Path 1, masukkan nama file yang akan dipasang.
Dalam daftar Version 1, pilih versi secret yang akan direferensikan. Secara default, versi terbaru akan dipilih. Anda dapat memilih versi tertentu jika menginginkannya.
Klik Done.
Buka tab Container untuk memasang secret ke penampung.
Di tab Volume mounts, klik Mount volume.
Dari daftar Name 1, pilih nama volume Anda.
Di kolom Mount path 1, masukkan jalur pemasangan untuk secret ini. Ini adalah direktori tempat semua versi secret Anda ditempatkan.
Klik Done.
Klik Buat atau Deploy.
Untuk mengekspos secret sebagai variabel lingkungan:
- Klik tab Container.
- Di tab Variables and Secrets, klik Referensikan secret.
- Di kolom Name 1, masukkan nama variabel lingkungan.
- Dari daftar Secret, klik Enter secret manually.
Masukkan ID resource secret dalam format berikut:
projects/PROJECT_NUMBER/secrets/SECRET_NAME
Ganti kode berikut:
PROJECT_NUMBER dengan nomor project Google Cloud Anda. Untuk mengetahui petunjuk mendetail tentang cara menemukan nomor project, lihat Membuat dan mengelola project.
SECRET_NAME: Nama secret di Secret Manager.
Dari daftar Versi 1, pilih versi secret yang akan direferensikan.
Klik Done.
Klik Buat atau Deploy.
gcloud
Untuk memasang secret sebagai volume saat men-deploy layanan:
gcloud run deploy SERVICE --image IMAGE_URL \ --update-secrets=PATH=projects/PROJECT_NUMBER/secrets/SECRET_NAME:VERSION
Ganti:
SERVICE
dengan nama layanan Anda.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL berbentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
PATH
dengan jalur pemasangan volume dan nama file secret. Nama ini harus diawali dengan garis miring, misalnya:/etc/secrets/dbconfig/password
, dengan/etc/secrets/dbconfig/
sebagai jalur pemasangan volume, danpassword
nama file secret.PROJECT_NUMBER
dengan nomor project untuk project tempat secret dibuat.SECRET_NAME
dengan nama secret, misalnyamysecret
.VERSION
dengan versi secret. Gunakanlatest
untuk versi terbaru, atau nomor, misalnya,2
.
YAML
Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
gcloud run services describe SERVICE --format export > service.yaml
Karena keterbatasan seputar kompatibilitas API, lokasi secret harus disimpan dalam anotasi.
Untuk secret yang ditampilkan sebagai variabel lingkungan:
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: metadata: annotations: run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME spec: containers: - image: IMAGE_URL env: - name: ENV_VAR valueFrom: secretKeyRef: key: VERSION name: SECRET_LOOKUP_NAME
Ganti:
SERVICE
dengan nama layanan Anda.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
ENV_VAR
PROJECT_NUMBER
dengan nomor project untuk project tempat secret dibuat.SECRET_NAME
dengan nama secret, misalnyamysecret
.VERSION
dengan versi secret. Gunakanlatest
untuk versi terbaru, atau nomor, misalnya,2
.SECRET_LOOKUP_NAME
dengan setiap nama yang memiliki sintaksis nama secret yang valid (misalnya.my-secret
), nama tersebut bisa sama sepertiSECRET_NAME
Untuk secret yang dipasang sebagai jalur file:
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: metadata: annotations: run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME spec: containers: - image: IMAGE_URL volumeMounts: - mountPath: MOUNT_PATH name: VOLUME_NAME volumes: - name: VOLUME_NAME secret: items: - key: VERSION path: FILENAME secretName: SECRET_LOOKUP_NAME
Ganti:
SERVICE
dengan nama layanan Anda.- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL berbentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
PATH
dengan jalur pemasangan volume dan nama file secret. Nama ini harus diawali dengan garis miring, misalnya:/etc/secrets/dbconfig/password
, dengan/etc/secrets/dbconfig/
sebagai jalur pemasangan volume, danpassword
nama file secret.PROJECT_NUMBER
dengan nomor project untuk project tempat secret dibuat.SECRET_NAME
dengan nama secret, misalnyamysecret
.VERSION
dengan versi secret. Gunakanlatest
untuk versi terbaru, atau nomor, misalnya,2
.SECRET_LOOKUP_NAME
dengan setiap nama yang memiliki sintaksis nama secret yang valid (misalnya.my-secret
), nama tersebut bisa sama sepertiSECRET_NAME
VOLUME_NAME
dengan nama apa pun (misalnyamy-volume
), bisa sama sepertiSECRET_NAME
Lihat setelan secret
Untuk melihat setelan secret saat ini untuk layanan Cloud Run Anda:
Konsol
Di konsol Google Cloud, buka Cloud Run:
Klik layanan yang Anda minati untuk membuka halaman Detail layanan.
Klik tab Revisi.
Pada panel detail di sebelah kanan, setelan secret dicantumkan di bagian tab Container.
gcloud
Gunakan perintah berikut:
gcloud run services describe SERVICE
Temukan setelan secret dalam konfigurasi yang ditampilkan.
Menghapus secret dari layanan
Anda dapat menghapus secret dari layanan menggunakan konsol Google Cloud atau gcloud CLI:
Konsol
Di konsol Google Cloud, buka Cloud Run:
Pilih layanan Anda dari daftar, lalu klik Edit dan deploy revisi baru.
Klik tab Container.
Untuk menghapus secret yang dipasang sebagai volume, pilih tab Volume mount, dan arahkan kursor ke secret yang ingin Anda hapus, lalu klik
Hapus.Untuk menghapus secret yang diekspos sebagai variabel lingkungan, pilih tab Variables and secrets, dan tahan pointer di atas secret yang ingin Anda hapus, lalu klik
Delete.Klik Deploy.
gcloud
Anda dapat menghapus semua secret dari layanan atau menentukan satu atau beberapa secret yang akan dihapus:
Untuk menghapus semua secret, jalankan perintah berikut:
gcloud run deploy SERVICE --image IMAGE_URL \ --clear-secrets
Ganti:
- SERVICE dengan nama layanan Anda.
- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Untuk menentukan daftar secret yang akan dihapus, gunakan flag
--remove-secrets
. Perintah berikut memperbarui satu secret yang dipasang sebagai volume dan secret lain yang diekspos sebagai variabel lingkungan.gcloud run deploy SERVICE --image IMAGE_URL \ --remove-secrets=ENV_VAR_NAME,SECRET_FILE_PATH
Ganti:
- SERVICE dengan nama layanan Anda.
- IMAGE_URL dengan referensi ke image container,
misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
- ENV_VAR_NAME: Nama variabel lingkungan.
SECRET_FILE_PATH: Jalur lengkap secret. Misalnya,
/mnt/secrets/primary/latest
, dengan/mnt/secrets/primary/
sebagai jalur pemasangan danlatest
sebagai jalur secret. Anda juga dapat menentukan jalur pemasangan dan secret secara terpisah:--set-secrets MOUNT_PATH:SECRET_PATH=SECRET:VERSION
Menggunakan secret dalam kode Anda
Untuk mengetahui contoh cara mengakses secret dalam kode Anda sebagai variabel lingkungan, lihat tutorial tentang autentikasi pengguna akhir, terutama bagian Menangani konfigurasi sensitif dengan Secret Manager.
Jalur dan batasan yang tidak diizinkan
Cloud Run tidak mengizinkan Anda memasang secrets di /dev
,
/proc
, dan /sys
, atau di subdirektorinya.
Jika Anda memasang secret pada /tmp
dan Anda menggunakan
lingkungan eksekusi generasi pertama,
lihat masalah umum di
pemasangan secret pada /tmp
.
Cloud Run tidak mengizinkan Anda memasang beberapa secret di jalur yang sama karena dua penyangga volume tidak dapat dipasang di lokasi yang sama.
Mengganti direktori
Jika secret dipasang sebagai volume di Cloud Run, dan direktori terakhir di jalur pemasangan volume sudah ada, file atau folder apa pun di direktori yang ada tidak dapat diakses.
Misalnya, jika secret bernama my-secret
dipasang ke jalur
/etc/app_data
, semua konten di dalam direktori app_data
akan
ditimpa, dan satu-satunya file yang terlihat adalah /etc/app_data/my-secret
.
Untuk menghindari menimpa file di direktori yang ada, buat direktori baru untuk
memasang secret, misalnya, /etc/app_data/secrets
, sehingga jalur mount
untuk secret adalah /etc/app_data/secrets/my-secret
.