从 k8s 集群中调用 Google API答案

【问题标题】：Calling Google APIs from within k8s cluster从 k8s 集群中调用 Google API
【发布时间】：2020-03-25 09:03:50
【问题描述】：

根据来自 Google Cloud 的“Finding credentials automatically”：

...只要设置了 GOOGLE_APPLICATION_CREDENTIALS 环境变量，或者只要应用程序在计算引擎上运行， ADC（应用程序默认凭据）就能够隐式找到凭据>GKE、App Engine 或 Cloud Functions。

如果我想在当前的 Google Cloud 项目中调用 Google Cloud API，我是否正确理解 GOOGLE_APPLICATION_CREDENTIALS 不需要存在？

假设我在 pod 中的容器中，我可以在容器中做些什么来测试调用 Google Cloud API 是否正常工作™？

【问题讨论】：

标签： kubernetes google-cloud-platform google-api google-oauth

【解决方案1】：

查看https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity，了解如何为您的 pod 增加权限。您必须进行一些映射，以便 Google 知道哪些 pod 获得了哪些特权，但之后就像您提到的那样，它是自动魔术。否则调用将使用节点级别的谷歌权限，这通常是最小的。

【讨论】：