Подключение реестра контейнеров Google к Cloud SQL

мы используем Google App Engine и Cloud SQL для веб-приложения django. Мы хотим запускать миграции во время сборки; однако GAE использует реестр контейнеров для создания приложения, а реестр контейнеров не аутентифицирован для доступа к Cloud SQL. Итак, как и ожидалось, миграция не выполняется из-за отклоненного соединения.

Как кто-то разрешает Реестру контейнеров доступ к Cloud SQL?


google-kubernetes-engine google-cloud-sql google-app-engine google-container-registry
person Mike    schedule 06.09.2017    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Когда ты говоришь:

GAE использует реестр контейнеров для создания приложения, а реестр контейнеров не аутентифицирован для доступа к Cloud SQL.

Я предполагаю, что вы имеете в виду:

GAE использует Container Builder для создания приложения, а учетная запись службы Container Builder не аутентифицирована для доступа к Cloud SQL.

Предполагая, что это то, что вам нужно, в этом документе объясняется, как использовать IAM для предоставления дополнительных разрешений учетной записи службы: https://cloud.google.com/container-builder/docs/how-to/service-account-permissions

Если вы на самом деле задаете другой вопрос, поясните, пожалуйста, пример, демонстрирующий возникшую у вас проблему.

person David Bendory    schedule 06.09.2017
comment
Привет, Дэвид, спасибо за ответ. Документация немного сбивает с толку. В нем говорится, что API автоматически создаст учетную запись службы, но этого не произошло. Однако у нас уже есть <project ID>.iam.gserviceaccount.com сервисная учетная запись, обрабатывающая развертывания, у которой есть разрешение Owner, что является неоптимальным, но мы получаем ошибки отказа в разрешении с другими ролями. Этой учетной записи службы, несмотря на наличие разрешений на владение всем проектом, отказано в доступе к Cloud SQL. Требуется ли учетная запись службы Cloud Builder? - person Mike; 07.09.2017
comment
На самом деле, Дэвид, я нашел учетную запись службы и мне удалось изменить разрешения, чтобы добавить Cloud SQL Client, но я все еще получаю ту же ошибку отказа в соединении - person Mike; 07.09.2017
comment
Я ожидал, что Cloud SQL Client будет достаточно. Подтвердите, что вы добавили это в свою учетную запись службы Cloud Builder, которая называется ‹project_number› @ cloudbuild.gserviceaccount.com в консоли IAM здесь: pantheon.corp.google.com/iam-admin/iam/project Если это действительно так, единственные другие предложения, которые у меня есть: (1) временное добавление меня как зрителя вашего проекта, чтобы я мог подтвердить и (2) связаться с Cloud SQL, чтобы узнать, могут ли они помочь. Для №1 наш контактный адрес электронной почты: [email protected], включите ссылку на этот вопрос в свое электронное письмо. - person David Bendory; 08.09.2017
comment
Спасибо, Дэвид - очень ценю доступность. Мы решили эту проблему, изменив разрешение с Cloud SQL Client на Project Editor. - person Mike; 09.09.2017