# #http-status-code-403 #google-authentication #google-cloud-run
Вопрос:
У меня есть интерфейс и серверная часть в облачном режиме, у каждого своя служба, но когда я помещаю «внутренний трафик» в внутренний API, он не работает, дайте мне 403, так как интерфейс и это еще одна служба того же проекта, и в документации говорится, что внутренний означает «только для того же проекта», так что…
две службы, начиная с одного и того же проекта, не являются внутренним трафиком?
Я думаю, это потому, что я использую пользовательский домен, а не точный URL-адрес службы, но я не уверен, потому что здесь говорится, что пользовательские домены тоже разрешены.
Итак, что мне нужно сделать, чтобы аутентифицировать свою веб-службу в облачном режиме?
Я пробовал ни на йоту не аутентифицироваться, но есть лучший вариант, не так ли
Комментарии:
1. Вам нужно будет настроить доступ к VPC без сервера и маршрутизировать выход из облачного запуска через соединитель egress settings» rel=»nofollow noreferrer»> cloud.google.com/run/docs/configuring/…
2. Каков ваш интерфейс? Статический веб-сайт на Javascript?
Ответ №1:
Службы облачного запуска, настроенные на внутренний, принимают только трафик, поступающий из сети VPC. Чтобы подключиться к службе облачного запуска, которая обслуживает внутренний трафик, служба подключения должна быть подключена к разъему VPC. В этом случае вам необходимо настроить разъем доступа к VPC без сервера, как указано в этом примечании:
Для запросов от других облачных служб или Облачных функций в том же проекте подключите службу или функцию к сети VPC и направьте все исходящие данные через соединитель, как описано в разделе Подключение к сети VPC. Обратите внимание, что разрешение на вызов IAM по-прежнему применяется.
Для аутентификации между службами вы можете просто получить идентификационный токен с сервера Compute medatada. Вы можете сделать это в любой вычислительной среде GCP (Облачный запуск, движок приложений, Вычислительный движок и т.д.). Вы можете выполнить действия, описанные в этой документации.
Ответ №2:
две службы, начиная с одного и того же проекта, не являются внутренним трафиком?
Две услуги в одном проекте следует рассматривать как внутренний трафик.
Я считаю, что вам нужно выполнить действия по аутентификации с помощью токена, как рекомендуется здесь (проверка подлинности от службы к службе).:
https://cloud.google.com/run/docs/authenticating/service-to-service
https://cloud.google.com/run/docs/securing/service-identity#per-service-identity
Пожалуйста, обратите внимание, что, несмотря на то, что вы настроили входной трафик на внутренний, для учетной записи службы по-прежнему необходим вызыватель облачного запуска роли IAM.