在GCP上使用Pubsub时如何解决身份验证范围不足的问题

Question

我正在尝试构建 2 个微服务（在 Java Spring Boot 中）以使用 GCP Pub/Sub 相互通信。

首先，我测试了程序（在 Eclipse 中）在我的本地笔记本电脑（ http://localhost ）中按预期工作，即一个微服务发布了消息，另一个微服务使用在 GCP 中创建的主题/订阅者（以及凭证私钥：mypubsub.json）。

然后，我部署了相同的程序来运行 GCP，但出现以下错误：

- 2020-03-21 15:53:16.831 WARN 1 --- [bsub-publisher2] o.s.c.g.p.c.p.PubSubPublisherTemplate : Publishing to json-payload-sample-topic topic failed
- com.google.api.gax.rpc.PermissionDeniedException: io.grpc.StatusRuntimeException: PERMISSION_DENIED: Request had insufficient authentication scopes. at com.google.api.gax.rpc.ApiExceptionFactory

我做了什么来部署程序（在容器中）以在 GCP/Kubernetes Engine 上运行：

1. 切换到我的项目后登录 Cloud Shell 进行 Pubsub 测试
2. Git 克隆我正在 Eclipse 中测试的程序
3. 将 mypubsub.json 文件移动到 /home/my_user_id 下
4. 导出 GOOGLE_APPLICATION_CREDENTIALS="/home/my_user_id/mp6key.json"
5. 运行“mvn clean package”来构建杂服务程序
6. 运行“docker build”来创建图像文件
7. 运行“docker Push”将镜像文件推送到 gcr.io 存储库
8. 运行“kubectl create”来创建部署并公开服务

一旦部署并公开这两个微服务，当我尝试在浏览器中访问它们时，发布消息的微服务可以很好地从数据库检索数据并处理数据，然后在尝试访问 GCP Pubsub API 时失败并出现上述错误发布消息

任何人都可以提供有关检查哪些内容以解决问题的提示吗？

Answer 1

该问题已按照指南解决：

https://cloud.google.com/kubernetes-engine/docs/tutorials/authentication-to-cloud-platform

简而言之，解决方案是在deployment.yaml中添加以下行来加载凭证密钥：

        - name: google-cloud-key
          secret:
            secretName: pubsub-key
        containers:
        - name: my_container
          image: gcr.io/my_image_file
          volumeMounts:
          - name: google-cloud-key
            mountPath: /var/secrets/google
          env:
          - name: GOOGLE_APPLICATION_CREDENTIALS
            value: /var/secrets/google/key.json