Could not load the default credentials.

GCP 環境上で動作させる際に、認証情報を渡さなくても実行環境上で探してくれるのだが、失敗したり timeout したりしてエラーになった場合に起きる

回避策

process.env.GOOGLE_APPLICATION_CREDENTIALS = './my-secret.json';

鍵の管理、サービスアカウントの role の管理、デプロイフローに影響するのであまりやりたくない......

アプリケーション起動時に待ってあげるとうまくいかないか?

コードリーディング

getApplicationDefaultAsync

isGCE = await this._checkIsGCE();

this.checkIsGCE = await gcpMetadata.isAvailable();

この結果はキャッシュされる

code:google-auth-library/src/auth/googleauth.ts

async _checkIsGCE() {

if (this.checkIsGCE === undefined) {

this.checkIsGCE = await gcpMetadata.isAvailable();

}

return this.checkIsGCE;

}

失敗したらそれが使われ続ける

isAvailable()

code:gcp-metadata/src/index.ts

cachedIsAvailableResponse = metadataAccessor(

'instance',

undefined,

detectGCPAvailableRetries(),

true

);

metadataAccessor()

http リクエスト投げている

これが timeoutしている

BASE_URL と SECONDARY_URL

http://169.254.169.254/computeMetadata/v1

http://metadata.google.internal./computeMetadata/v1

return Promise.race([r1, r2]);

compute client、GCP 実行環境上で動く

GCE metadata サーバー

code:shell

pokutuna@cloudshell:~ (pokutuna-playground)$ curl http://metadata.google.internal/computeMetadata/v1/instance/name

devshell-vm-23a348f3-7923-4f31-8fa0-3b12a333847b

ぱっと眺めた感じはなさそう

どうやって token とっているの

fetchIdToken

http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token

デフォルトサービスアカウントの AccessToken が返ってる?

接続ユーザなり Cloud Shell 立ち上げたユーザなりで制限されていそう

ユーザのリクエストそのまま Proxy するようなの

グローバルスコープで GCP クライアントライブラリを new しない

ほんとにこれでいいのか??