Secrets konfigurieren

Ihr Dienst benötigt möglicherweise Abhängigkeiten, die API-Schlüssel, Passwörter oder andere vertrauliche Informationen erfordern. Für Cloud Run empfiehlt Google, diese Art von vertraulichen Informationen in einem Secret zu speichern, das in Secret Manager erstellt wurde.

Es gibt zwei Möglichkeiten, ein Secret für Ihre Container verfügbar zu machen:

  • Stellen Sie jedes Secret als Volume bereit, das dem Container als Datei zur Verfügung steht. Beim Lesen eines Volumes wird immer der Secret-Wert aus Secret Manager abgerufen, sodass er mit der neuesten Version verwendet werden kann. Diese Methode funktioniert auch gut mit der Secret-Rotation.
  • Übergeben Sie ein Secret mithilfe von Umgebungsvariablen. Umgebungsvariablen werden beim Starten der Instanz aufgelöst. Wenn Sie diese Methode verwenden, empfiehlt Google, dass Sie das Secret auf eine bestimmte Version statt auf die neueste Version setzen.

Weitere Informationen finden Sie im Dokument Best Practices für Secret Manager.

So werden Secrets bei der Bereitstellung und zur Laufzeit geprüft

Während der Dienstbereitstellung werden alle Secrets, ob als Umgebungsvariable oder als Volume bereitgestellt, überprüft, um sicherzustellen, dass das Dienstkonto, mit dem der Container ausgeführt wird, Zugriff darauf hat. Wenn eine Prüfung fehlschlägt, schlägt die Dienstbereitstellung fehl.

Während der Laufzeit beim Start von Instanzen:

  • Wenn das Secret eine Umgebungsvariable ist, wird der Wert des Secrets vor dem Starten der Instanz abgerufen. Wenn also der Secret-Abruf fehlschlägt, wird die Instanz nicht gestartet.
  • Wenn das Secret als Volume bereitgestellt wird, wird beim Start der Instanz keine Prüfung durchgeführt. Während der Laufzeit schlägt jedoch der Zugriff auf ein bereitgestelltes Volume fehl, wenn auf ein Secret nicht zugegriffen werden kann.

Volume-Inhaberschaft variiert je nach Ausführungsumgebung und Bereitstellungstyp

Wenn Sie ein Volume bereitstellen, unterscheidet sich die Identität der Dateien und Verzeichnisse je nach Ausführungsumgebung der Arbeitslast und ob die Bereitstellung aus einem oder mehreren Containern besteht.

In der Ausführungsumgebung der ersten Generation, in der Sie einen einzelnen Container bereitstellen, gehört das Volume der Identität, die für den Container verwendet wird. In allen anderen Fällen gehört das Volume dem Root. Dazu zählen:

  • Ausführungsumgebung der ersten Generation, in der Sie mehrere Container bereitstellen
  • Die Umgebung der zweiten Generation

Cloud Run-Zugriff auf Secret gewähren

Sie können ein vorhandenes Secret Manager-Secret verwenden oder ein neues Secret erstellen. Für den Zugriff auf das Secret müssen Sie dem Dienstkonto, das für Ihre Cloud Run-Dienstidentität verwendet wird, die Rolle "Zugriffsperson für Secret Manager-Secret" zuweisen.

Wenn Sie auf der Seite "Cloud Run" in der Google Cloud Console ein Secret auswählen, wird automatisch eine Berechtigungsprüfung durchgeführt und Sie werden aufgefordert, fehlende Berechtigungen gegebenenfalls hinzuzufügen.

So führen Sie diese Aktion manuell aus:

  1. Rufen Sie in der Google Cloud Console die Seite "Secret Manager" auf:

    Zu Secret Manager

  2. Klicken Sie in der Liste auf das Secret.

  3. Klicken Sie im Tab Berechtigung auf Zugriff gewähren.

  4. Geben Sie im Textfeld Neue Hauptkonten die E-Mail-Adresse der Cloud Run-Dienstidentität ein.

  5. Gewähren Sie ihm die Rolle Secret Manager Secret Accessor.

Secret für Cloud Run zugänglich machen

Jede Konfigurationsänderung führt zur Erstellung einer neuen Überarbeitung. Für nachfolgende Überarbeitungen gilt automatisch dieselbe Konfigurationseinstellung, sofern Sie sie nicht explizit aktualisieren.

Sie können ein Secret für Ihren Dienst über die Googlr Cloud Console, die Google Cloud CLI oder eine YAML-Datei bereitstellen, wenn Sie einen neuen Dienst bereitstellen oder einen vorhandenen Dienst aktualisieren und eine Überarbeitung bereitstellen:

Console

  1. Rufen Sie in der Google Cloud Console Cloud Run auf.

    Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.

  3. Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Container, Netzwerk, Sicherheit, um die Seite zur Dienstkonfiguration zu maximieren.

  4. Klicken Sie auf den Tab Container.

    Image

    • Unter Secrets:
      • Klicken Sie auf Auf ein Secret verweisen.
      • Wählen Sie aus der Drop-down-Liste Secret das gewünschte Secret aus.
      • Wählen Sie im Drop-down-Menü Referenzmethode aus, wie Sie Ihr Secret verwenden möchten: als Volume oder als Umgebungsvariable bereitgestellt.
      • Wenn Sie das Secret als Volume bereitstellen:
        1. Geben Sie unter Bereitstellungspfad den Bereitstellungspfad an, den Sie für Secrets verwenden.
        2. Standardmäßig ist die neueste Version ausgewählt. Sie können bei Bedarf eine bestimmte Version auswählen. Geben Sie unter Angegebene Pfade für Secret-Versionen den Pfad zur Version und zur Versionsnummer an.
        3. Klicken Sie auf Fertig.
      • Wenn Sie das Secret als Umgebungsvariable bereitstellen möchten:
        1. Geben Sie den Namen der Variablen an und wählen Sie die Secret-Version aus. Mit Neueste können Sie immer die aktuelle Secret-Version verwenden.
        2. Klicken Sie auf Fertig.

  5. Klicken Sie auf Erstellen oder Bereitstellen.

Befehlszeile

Geben Sie einen der folgenden Befehle ein, damit Ihr Dienst auf ein Secret zugreifen kann:

  • So stellen Sie das Secret beim Bereitstellen eines Dienstes als Volume bereit:

    gcloud run deploy SERVICE --image IMAGE_URL  \
--update-secrets=PATH=SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • SECRET_NAME durch den Secret-Namen im selben Projekt, z. B. mysecret.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die neueste Version oder eine Zahl, z. B. 2.

  • So geben Sie das Secret beim Bereitstellen eines Dienstes als Umgebungsvariable an:

    gcloud run deploy SERVICE \
--image IMAGE_URL \
--update-secrets=ENV_VAR_NAME=SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • ENV_VAR_NAME durch den Namen der Umgebungsvariable, die Sie mit dem Secret verwenden möchten.
    • SECRET_NAME durch den Secret-Namen im selben Projekt, z. B. mysecret.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die neueste Version oder eine Zahl, z. B. 2.

  • Sie können mehrere Secrets gleichzeitig aktualisieren. Trennen Sie dazu die Konfigurationsoptionen für jedes Secret durch ein Komma. Mit dem folgenden Befehl wird ein Secret aktualisiert, das als Volume bereitgestellt wird, und ein weiteres Secret, das als Umgebungsvariable bereitgestellt wird.

    Geben Sie den folgenden Befehl ein, um vorhandene Secrets zu aktualisieren:

    gcloud run deploy SERVICE --image IMAGE_URL \
--update-secrets=PATH=SECRET_NAME:VERSION,ENV_VAR_NAME=SECRET_NAME:VERSION

  • Mit dem Flag --set-secrets können Sie vorhandene Secrets löschen und ein neues Secret für den Dienst zugänglich machen:

    gcloud run services update SERVICE \
--set-secrets="ENV_VAR_NAME=SECRET_NAME:VERSION"

YAML

Sie können vorhandene Dienstkonfigurationen mit dem Befehl gcloud run services describe --format export herunterladen und aufrufen, was bereinigte Ergebnisse im YAML-Format liefert. Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run services replace hochladen. Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.

  1. So rufen Sie die Konfiguration auf und laden sie herunter:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Für Secrets, die als Umgebungsvariablen bereitgestellt werden, env, aktualisieren Sie ENV_VAR, VERSION und/oder SECRET_NAME wunschgemäß. Wenn Sie mehrere Secrets als Umgebungsvariablen bereitgestellt haben, sind mehrere dieser Attribute vorhanden.

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
    spec:
      containers:
      - image: IMAGE_URL
        env:
        - name: ENV_VAR
          valueFrom:
            secretKeyRef:
              key: VERSION
              name: SECRET_NAME

  3. Aktualisieren Sie MOUNT_PATH, VOLUME_NAME, VERSION, FILENAME und/oder SECRET_NAME wie gewünscht für Secrets, die als Dateipfade bereitgestellt werden. Wenn Sie mehrere Secrets als Dateipfade bereitgestellt haben, sind mehrere dieser Attribute vorhanden.

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
    spec:
      containers:
      - image: IMAGE_URL
        volumeMounts:
        - mountPath: MOUNT_PATH
          name: VOLUME_NAME
      volumes:
      - name: VOLUME_NAME
        secret:
          items:
          - key: VERSION
            path: FILENAME
          secretName: SECRET_NAME

    Beachten Sie, dass VOLUME_NAME auf einen beliebigen Namen gesetzt werden kann.

    Ersetzen

    • SERVICE durch den Namen Ihres Cloud Run-Dienstes
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • REVISION durch einen neuen Überarbeitungsnamen oder löschen (falls vorhanden). Wenn Sie einen neuen Überarbeitungsnamen angeben, muss er die folgenden Kriterien erfüllen:
      • Beginnt mit SERVICE-
      • Enthält nur Kleinbuchstaben, Ziffern und -
      • Endet nicht mit -
      • Darf nicht mehr als 63 Zeichen enthalten

  4. Ersetzen Sie den Dienst mit dem folgenden Befehl durch die neue Konfiguration:

    gcloud run services replace service.yaml

Terraform

  1. Erstellen Sie ein Secret und eine Secret-Version.

    
terraform {
  required_providers {
    google = {
      source  = "hashicorp/google"
      version = "~> 5.13.0"
    }
  }
}

resource "google_secret_manager_secret" "default" {
  secret_id = "my-secret"
  replication {
    auto {}
  }
}

resource "google_secret_manager_secret_version" "default" {
  secret      = google_secret_manager_secret.default.name
  secret_data = "this is secret data"
}

  2. Erstellen Sie ein Dienstkonto und gewähren Sie diesem Zugriff auf das Secret:

    resource "google_service_account" "default" {
  account_id   = "cloud-run-service-account"
  display_name = "Service account for Cloud Run"
}

resource "google_secret_manager_secret_iam_member" "default" {
  secret_id = google_secret_manager_secret.default.id
  role      = "roles/secretmanager.secretAccessor"
  # Grant the new deployed service account access to this secret.
  member     = "serviceAccount:${google_service_account.default.email}"
  depends_on = [google_secret_manager_secret.default]
}

  3. Auf Secret Manager-Secrets kann über Cloud Run als bereitgestellte Dateipfade oder als Umgebungsvariablen zugegriffen werden.

    1. Verweisen Sie für Secrets, die als Dateipfade bereitgestellt werden, auf die Secret Manager-Ressource im volumes-Parameter. name entspricht einem Eintrag im volume_mounts-Parameter:

      resource "google_cloud_run_v2_service" "mounted_secret" {
  name     = "cloudrun-srv-mounted-secret"
  location = "us-central1"
  ingress  = "INGRESS_TRAFFIC_ALL"

  template {
    volumes {
      name = "my-service-volume"
      secret {
        secret = google_secret_manager_secret.default.secret_id
        items {
          version = "latest"
          path    = "my-secret"
          mode    = 0 # use default 0444
        }
      }
    }
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
      volume_mounts {
        name       = "my-service-volume"
        mount_path = "/secrets"
      }
    }
    service_account = google_service_account.default.email
  }
  depends_on = [google_secret_manager_secret_version.default]
}

    2. Verweisen Sie für Secrets, die als Umgebungsvariablen bereitgestellt werden, auf die Secret Manager-Ressource im env-Parameter:

      resource "google_cloud_run_v2_service" "env_variable_secret" {
  name     = "cloudrun-srv-env-var-secret"
  location = "us-central1"
  ingress  = "INGRESS_TRAFFIC_ALL"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello"
      env {
        name = "MY_SECRET"
        value_source {
          secret_key_ref {
            secret  = google_secret_manager_secret.default.secret_id
            version = "latest"
          }
        }
      }
    }
    service_account = google_service_account.default.email
  }
  depends_on = [google_secret_manager_secret_version.default]
}

Auf Secrets aus anderen Projekten verweisen

Sie können auf ein Secret von einem anderen Projekt verweisen, wenn dem Dienstkonto Ihres Projekts Zugriff auf das Secret gewährt wurde.

Console

  1. Rufen Sie in der Google Cloud Console Cloud Run auf.

    Öffnen Sie Cloud Run.

  2. Klicken Sie auf Dienst erstellen, wenn Sie einen neuen Dienst für die Bereitstellung konfigurieren. Wenn Sie einen vorhandenen Dienst konfigurieren möchten, klicken Sie auf den Dienst und dann auf Neue Überarbeitung bearbeiten und bereitstellen.

  3. Wenn Sie einen neuen Dienst konfigurieren, füllen Sie die Seite mit den anfänglichen Diensteinstellungen wie gewünscht aus und klicken Sie dann auf Container, Netzwerk, Sicherheit, um die Seite zur Dienstkonfiguration zu maximieren.

  4. Klicken Sie auf den Tab Container.

    Image

    • Unter Secrets:
      • Klicken Sie auf Auf ein Secret verweisen.
      • Wählen Sie Ihr Secret wird nicht angezeigt? Geben Sie die Secret-Ressourcen-ID aus der Drop-down-Liste Secret ein, um das folgende Formular aufzurufen:

        Projektübergreifende Secrets

      • Geben Sie im Formular Secret nach Ressourcen-ID hinzufügen das Secret aus dem anderen Projekt im Format projects/PROJECT_NUMBER/secrets/SECRET_NAME ein. Sie können alternativ die Ressourcen-ID aus dem anderen Projekt kopieren und einfügen, wenn Sie Zugriff darauf haben, indem Sie das Secret auswählen, auf die Ellipse Aktionen rechts neben dem Secret klicken und Ressourcen-ID kopieren aus dem Pull-down-Menü auswählen.
      • Klicken Sie auf Secret hinzufügen.
      • Wählen Sie im Drop-down-Menü Referenzmethode aus, wie Sie Ihr Secret verwenden möchten: als Volume oder als Umgebungsvariable bereitgestellt.
      • Wenn Sie das Secret als Volume bereitstellen:
        1. Geben Sie unter Bereitstellungspfad den Bereitstellungspfad an, den Sie für Secrets verwenden.
        2. Standardmäßig ist die neueste Version ausgewählt. Sie können bei Bedarf eine bestimmte Version auswählen. Geben Sie unter Angegebene Pfade für Secret-Versionen den Pfad zur Version und zur Versionsnummer an.
        3. Klicken Sie auf Fertig.
      • Wenn Sie das Secret als Umgebungsvariable bereitstellen möchten:
        1. Geben Sie den Namen der Variablen an und wählen Sie die Secret-Version aus. Mit Neueste können Sie immer die aktuelle Secret-Version verwenden.
        2. Klicken Sie auf Fertig.

  5. Klicken Sie auf Erstellen oder Bereitstellen.

Befehlszeile

  • So stellen Sie ein Secret beim Bereitstellen eines Dienstes als Volume bereit:

    gcloud run deploy SERVICE --image IMAGE_URL  \
--update-secrets=PATH=projects/PROJECT_NUMBER/secrets/SECRET_NAME:VERSION

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Secret-Namen, z. B. mysecret.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die neueste Version oder eine Zahl, z. B. 2.

YAML

Sie können vorhandene Dienstkonfigurationen mit dem Befehl gcloud run services describe --format export herunterladen und aufrufen, was bereinigte Ergebnisse im YAML-Format liefert. Anschließend können Sie die unten beschriebenen Felder ändern und die geänderte YAML-Datei mit dem Befehl gcloud run services replace hochladen. Achten Sie darauf, dass Sie die Felder nur wie dokumentiert ändern.

  1. So rufen Sie die Konfiguration auf und laden sie herunter:

    gcloud run services describe SERVICE --format export > service.yaml

Aufgrund von Einschränkungen zur API-Kompatibilität müssen die Secret-Standorte in einer Annotation gespeichert werden.

  1. Für Secrets, die als Umgebungsvariablen bereitgestellt werden:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
    spec:
      containers:
      - image: IMAGE_URL
        env:
        - name: ENV_VAR
          valueFrom:
            secretKeyRef:
              key: VERSION
              name: SECRET_LOOKUP_NAME

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • ENV_VAR
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Secret-Namen, z. B. mysecret.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die neueste Version oder eine Zahl, z. B. 2.
    • SECRET_LOOKUP_NAME durch einen Namen mit einer gültigen Syntax für Secret-Namen (z. B. my-secret); dieser kann SECRET_NAME entsprechen.

  2. Für Secrets, die als Dateipfade bereitgestellt werden:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: SERVICE
spec:
  template:
    metadata:
      annotations:
        run.googleapis.com/secrets: SECRET_LOOKUP_NAME:projects/PROJECT_NUMBER/secrets/SECRET_NAME
    spec:
      containers:
      - image: IMAGE_URL
        volumeMounts:
        - mountPath: MOUNT_PATH
          name: VOLUME_NAME
      volumes:
      - name: VOLUME_NAME
        secret:
          items:
          - key: VERSION
            path: FILENAME
          secretName: SECRET_LOOKUP_NAME

    Ersetzen Sie:

    • SERVICE durch den Namen des Dienstes.
    • IMAGE_URL durch einen Verweis auf das Container-Image, z. B. us-docker.pkg.dev/cloudrun/container/hello:latest. Wenn Sie Artifact Registry verwenden, muss das Repository REPO_NAME bereits erstellt sein. Die URL hat die Form LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG.
    • PATH durch den Bereitstellungspfad des Volumes und des Dateinamens des Secrets. Sie muss mit einem Schrägstrich beginnen, z. B. /etc/secrets/dbconfig/password, wobei /etc/secrets/dbconfig/ der Bereitstellungspfad des Volumes und password der Dateiname des Secrets ist.
    • PROJECT_NUMBER durch die Projektnummer des Projekts, in dem das Secret erstellt wurde.
    • SECRET_NAME durch den Secret-Namen, z. B. mysecret.
    • VERSION mit der Secret-Version. Verwenden Sie latest für die neueste Version oder eine Zahl, z. B. 2.
    • SECRET_LOOKUP_NAME durch einen Namen mit einer gültigen Syntax für Secret-Namen (z. B. my-secret); dieser kann SECRET_NAME entsprechen.
    • VOLUME_NAME durch einen beliebigen Namen (z. B. my-volume). Er kann mit SECRET_NAME identisch sein.

Einstellungen für Secrets aufrufen

So rufen Sie die aktuellen Secret-Einstellungen für Ihren Cloud Run-Dienst auf:

Console

  1. Rufen Sie in der Google Cloud Console Cloud Run auf.

    Öffnen Sie Cloud Run.

  2. Klicken Sie auf den gewünschten Dienst, um die Seite Dienstdetails zu öffnen.

  3. Klicken Sie auf den Tab Überarbeitungen.

  4. Im Detailbereich auf der rechten Seite ist die Secrets-Einstellung auf dem Tab Container aufgelistet.

Befehlszeile

  1. Verwenden Sie den folgenden Befehl:

    gcloud run services describe SERVICE

  2. Suchen Sie in der zurückgegebenen Konfiguration nach der Einstellung für Secrets.

Secrets in Ihrem Code verwenden

Beispiele für den Zugriff auf Secrets in Ihrem Code als Umgebungsvariablen finden Sie in der Anleitung zur Endnutzerauthentifizierung, insbesondere im Abschnitt Vertrauliche Konfigurationen mit Secret Manager verarbeiten.

Unzulässige Pfade und Einschränkungen

Mit Cloud Run können Sie keine Secrets unter /dev, /proc und /sys oder in ihren Unterverzeichnissen bereitstellen.

Wenn Sie Secrets unter /tmp bereitstellen und die Ausführungsumgebung der ersten Generation verwenden, lesen Sie die Informationen zum bekannten Problem unter Secrets unter /tmp bereitstellen.

Mit Cloud Run können Sie nicht mehrere Secrets auf demselben Pfad bereitstellen, da zwei Volume-Bereitstellungen nicht unter demselben Speicherort bereitgestellt werden können.

Verzeichnis überschreiben

Wenn das Secret als Volume in Cloud Run bereitgestellt wird und das letzte Verzeichnis im Volume-Bereitstellungspfad bereits vorhanden ist, sind alle Dateien oder Ordner im vorhandenen Verzeichnis nicht mehr zugänglich.

Wenn beispielsweise ein Secret mit dem Namen my-secret im Pfad /etc/app_data bereitgestellt wird, werden der gesamte Inhalt im Verzeichnis app_data überschrieben. Damit ein vorhandenes Verzeichnis nicht überschrieben wird, geben Sie einen Pfad an, durch den ein neues Verzeichnis erstellt werden würde, z. B. /etc/app_data/secrets. Dadurch wird ein Bereitstellungspfad /etc/app_data/secrets/my-secret erstellt, der das Secret enthält.