1

我在 Google App Engine Standard 上有一个 Python 应用程序,它使用 Google Cloud Identity Aware Proxy (IAP) 进行保护。

我想每天使用 Cloud Scheduler 触发我的应用程序的一部分。(它正在调用 API、进行计算并将结果存储在 Google Cloud Storage 中。)

为此,我尝试在“App Engine HTTP”上触发 POST 请求。示例 URL:“/refresh_data”

运行作业时,我收到以下错误:

jsonPayload: {
status: "FAILED_PRECONDITION"
relativeUrl: "/refresh_data"
jobName: "..."
@type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
targetType: "APP_ENGINE_HTTP"
}

我找不到任何与“FAILED_PRECONDITION”错误相关的文档,所以我感觉有点卡在这里。

作为替代方案,我尝试触发对简单“HTTP”的 POST 请求,并将 IAP 中的 Owner 访问级别授予我用于 Cloud Scheduler 的服务帐户。这一次,我得到的错误信息如下:

 jsonPayload: {
 status: "UNAUTHENTICATED"
 @type: "type.googleapis.com/google.cloud.scheduler.logging.AttemptFinished"
 jobName: "..."
 targetType: "HTTP"
 url: "https:.../refresh_data"
 }

我真的不明白如何使这项工作...... Cloud Scheduler 文档几乎没有记录“App Engine HTTP”选项,并且没有任何关于使用 IAP 的记录......

任何帮助将非常感激 :)

4

3 回答 3

2

这是 IAP 的阴暗面。几个月前,我将此反馈发送给了 Google。与 Pubsub 相同,即使您使用具有正确授权的服务帐户,您也无法触发和保护 App Engine IAP 免受这些无服务器产品的影响。

于 2020-09-03T20:15:30.540 回答
0

将我的 GAE 应用程序从 python 2.7 升级到 python3(标准)时,我遇到了类似的问题。在运行我以前设置为云调度程序作业的 cron.yaml 作业时,我收到了与您相同的错误消息(状态:“FAILED_PRECONDITION”)。并且以前的 cron.yaml 文件的上传也无法运行。然后我发现只需在 url 上添加一个结尾 '/' 就可以修复它。所以像这样的cron:

cron:
- description: competition participants pilot list update
  url: /daily1/
  schedule: every 8 hours from 05:00 to 21:00

使用云 SDK 上传后工作:

gcloud app deploy cron.yaml --project my-gae-project

(我忘记了)我还必须:

gcloud services enable cloudscheduler.googleapis.com --project my-gae-project
于 2021-02-28T10:22:50.517 回答
0

您可以从 IAP 查看有关如何使用服务帐户进行身份验证的相关文档。

每当您使用 Cloud Scheduler 时,请求都将使用其服务帐户完成,因此要遵循的指南应该是上面链接的指南,因为您基本上是在尝试以编程方式进行身份验证,而不是使用 Google 登录。

话虽如此,您需要在向受 IAP 保护的端点发出请求之前生成 OIDC 令牌。获得 OIDC 令牌后,需要将其包含在Authorization: Bearer标头中。

于 2020-09-03T12:47:25.943 回答