Google Pub/Sub-Push-Abonnement in IAP-geschützte App Engine

Question

Ich teste gerade ein sehr einfaches Pub/Sub-Abonnement aus. Ich habe den Push-Endpunkt auf eine App festgelegt, die ich über einen Python Flex-Dienst in App Engine bereitgestellt habe. Der Dienst befindet sich in einem Projekt mit aktiviertem Identity-Aware-Proxy. Das IAP ist so konfiguriert, dass es Benutzern erlaubt ist, mit unserer Domain authentifiziert zu werden.

Ich sehe keine Push-Anfragen, die von meiner App verarbeitet werden.

Ich habe den IAP-Schutz deaktiviert und dann sehe ich, dass die Anfragen verarbeitet werden. Ich schalte es wieder an und sie werden nicht mehr bearbeitet.

Ich hatte ähnliche Probleme mit IAP, wenn ich versuchte, einen Cron-Dienst zum Laufen zu bringen; Dieses Problem wurde behoben, nachdem ich eine neue Test-App im selben Projekt bereitgestellt hatte.

Hat jemand Erfolg mit der Konfiguration eines Push-Abonnements über IAP gehabt? Ich habe auch damit experimentiert, verschiedene Dienstkonten auf die IAP-Zugriffsliste zu setzen, und keiner von ihnen hat funktioniert.

Answer 1

Ich bin mir nicht bewusst, wie Pub/Sub-Push-Abonnements + Flex + IAP funktioniert. Ich wundere mich ... es könnte arbeiten, wenn der Abonnent auf Standard ist.

Einige andere mögliche Problemumgehungen: - Wechseln Sie zu einem Pull-Abonnenten. - Richten Sie eine Cloud Functions-Funktion als Ihren Pub/Sub-Abonnenten ein - https://cloud.google.com/functions/docs/writing/background - und leiten Sie dann in dieser Funktion die Anforderung an die GAE-App weiter, und verwenden Sie https://cloud.google.com/iap/docs/authentication-howto, um sich als Dienstkonto zu authentifizieren.

Sorry, ich wünschte, ich hätte eine bessere Antwort für Sie, aber AFAIK das sind die Optionen, die heute funktionieren. --Matthew, IAP-Engineering-Leitung