Мобильная версияЯ не использую json-ключи сервисного аккаунта с неограниченным сроком действия. Я везде использую окружающие кредиты и OIDC, поэтому не могу генерировать и использовать json-ключи для AR.
Я хочу это сделать pip устанавливается в мои файлы Dockerfile для установки моих частных пакетов AR.
Что-то вроде этого работает:
# Passing in a non expiring key
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="gsa_key.json" .
##### IN DOCKERFILE
# I dont want to generate json keys like this
ENV GOOGLE_APPLICATION_CREDENTIALS=/run/secrets/gcp_creds
RUN pip install keyring keyrings.google-artifactregistry-auth
COPY requirements.txt requirements.txt
RUN --mount=type=secret,id=gcp_creds \
--mount=type=cache,target=target=/root/.cache \
pip install -r requirements.txt
Поддерживает ли keyrings.google-artifactregistry-auth токены каким-либо образом?
Это, например, не сработало:
# GSA is active through ambient creds or impersonation
gcloud auth print-access-token > /tmp/token.json
# also tried: gcloud config config-helper --format="json(credential)" > /tmp/token.json
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="/tmp/token.json" .
Я бы не хотел прибегать к чему-то вроде сборки вне контейнера и копирования построенных артефактов в образ. Я хочу выполнить сборку внутри файла docker.
EDIT
Итак, я получил эту работу с GCP, предоставленным инструментом действий GH, поэтому я знаю, что это возможно генерировать временные токены в формате, который принимает связка ключей. Я все еще хочу знать, как это сделать с помощью командной строки gcloud для других сценариев.
Используя приведенный выше файл dockerfile и эти шаги действий GH, я могу авторизоваться через OIDC и создать файл creds, связку ключей pip. провайдер принимает:
- id: 'auth'
name: 'auth to gcp'
uses: 'google-github-actions/auth@v2'
with:
token_format: 'access_token'
workload_identity_provider: 'projects/xxxxx/locations/global/workloadIdentityPools/github/providers/github'
service_account: xxxxxxxx
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- uses: docker/build-push-action@v6
with:
push: false
context: '.'
file: 'Dockerfile'
tags: myimage:mytag
load: true
cache-from: type=gha,scope=localbuild
cache-to: type=gha,mode=max,scope=localbuild
secret-files: |
gcp_creds=${{steps.auth.outputs.credentials_file_path}}
Подробнее здесь: https://stackoverflow.com/questions/792 ... vice-accou
Keyrings.google-artifactregistry.auth для репозитория Python AR без ключа json сервисной учетной записи ⇐ Python
Программы на Python
1734565946
Anonymous
Я не использую json-ключи сервисного аккаунта с неограниченным сроком действия. Я везде использую окружающие кредиты и OIDC, поэтому не могу генерировать и использовать json-ключи для AR.
Я хочу это сделать pip устанавливается в мои файлы Dockerfile для установки моих частных пакетов AR.
Что-то вроде этого работает:
# Passing in a non expiring key
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="gsa_key.json" .
##### IN DOCKERFILE
# I dont want to generate json keys like this
ENV GOOGLE_APPLICATION_CREDENTIALS=/run/secrets/gcp_creds
RUN pip install keyring keyrings.google-artifactregistry-auth
COPY requirements.txt requirements.txt
RUN --mount=type=secret,id=gcp_creds \
--mount=type=cache,target=target=/root/.cache \
pip install -r requirements.txt
Поддерживает ли keyrings.google-artifactregistry-auth токены каким-либо образом?
Это, например, не сработало:
# GSA is active through ambient creds or impersonation
gcloud auth print-access-token > /tmp/token.json
# also tried: gcloud config config-helper --format="json(credential)" > /tmp/token.json
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="/tmp/token.json" .
Я бы не хотел прибегать к чему-то вроде сборки вне контейнера и копирования построенных артефактов в образ. Я хочу выполнить сборку внутри файла docker.
EDIT
Итак, я получил эту работу с GCP, предоставленным инструментом действий GH, поэтому я знаю, что это возможно генерировать временные токены в формате, который принимает связка ключей. Я все еще хочу знать, как это сделать с помощью командной строки gcloud для других сценариев.
Используя приведенный выше файл dockerfile и эти шаги действий GH, я могу авторизоваться через OIDC и создать файл creds, связку ключей pip. провайдер принимает:
- id: 'auth'
name: 'auth to gcp'
uses: 'google-github-actions/auth@v2'
with:
token_format: 'access_token'
workload_identity_provider: 'projects/xxxxx/locations/global/workloadIdentityPools/github/providers/github'
service_account: xxxxxxxx
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- uses: docker/build-push-action@v6
with:
push: false
context: '.'
file: 'Dockerfile'
tags: myimage:mytag
load: true
cache-from: type=gha,scope=localbuild
cache-to: type=gha,mode=max,scope=localbuild
secret-files: |
gcp_creds=${{steps.auth.outputs.credentials_file_path}}
Подробнее здесь: [url]https://stackoverflow.com/questions/79292053/keyrings-google-artifactregistry-auth-for-python-ar-repo-without-a-service-accou[/url]
Ответить
1 сообщение
• Страница 1 из 1
Перейти
- Кемерово-IT
- ↳ Javascript
- ↳ C#
- ↳ JAVA
- ↳ Elasticsearch aggregation
- ↳ Python
- ↳ Php
- ↳ Android
- ↳ Html
- ↳ Jquery
- ↳ C++
- ↳ IOS
- ↳ CSS
- ↳ Excel
- ↳ Linux
- ↳ Apache
- ↳ MySql
- Детский мир
- Для души
- ↳ Музыкальные инструменты даром
- ↳ Печатная продукция даром
- Внешняя красота и здоровье
- ↳ Одежда и обувь для взрослых даром
- ↳ Товары для здоровья
- ↳ Физкультура и спорт
- Техника - даром!
- ↳ Автомобилистам
- ↳ Компьютерная техника
- ↳ Плиты: газовые и электрические
- ↳ Холодильники
- ↳ Стиральные машины
- ↳ Телевизоры
- ↳ Телефоны, смартфоны, плашеты
- ↳ Швейные машинки
- ↳ Прочая электроника и техника
- ↳ Фототехника
- Ремонт и интерьер
- ↳ Стройматериалы, инструмент
- ↳ Мебель и предметы интерьера даром
- ↳ Cантехника
- Другие темы
- ↳ Разное даром
- ↳ Давай меняться!
- ↳ Отдам\возьму за копеечку
- ↳ Работа и подработка в Кемерове
- ↳ Давай с тобой поговорим...
