Cloud Run Proxy vs IAP for Cloud Run
IAP for Cloud Run の勝利!!
WebUI は IAP で保護、Google ログインして使う
API アクセスは gcloud run service proxy で手元からプロキシ
IAP の認証情報を付与しにくいため
という構成を試みたけど、IAP が有効な Cloud Run サービスに proxy 通しても単にエラーになる
ブラウザからのアクセス
There was a problem with your request. Please reference https://cloud.google.com/iap/docs/faq#error_codes. Error code 9
curl http://127.0.0.1:3000
Invalid IAP credentials: empty token
具体的には promptfoo のセルフホストでこの構成にしたかった
share する時だけ Cloud Run Proxy 経由で行うつもりだったが失敗
LB に IAP を付ける構成を試す
LB からのアクセスは IAP が通る & IAP が付いているのは LB と Cloud Run の間
Cloud Run Proxy は直接 Cloud Run につなぎに行けるので IAP を通らない
--ingress=all --no-allow-unauthenticated である必要はありそう
--ingress=internal では proxy から到達できない
--no-allow-unauthenticated でないと誰でも見れる(proxy する必要もない)
これはいけた
https://gyazo.com/ff6a19ee5c065be3126fb2b0cbab7a60
#GoogleCloud