以内部入口模式从 Compute Engine 访问 Cloud Run

Question

我们正在尝试从计算引擎访问云运行服务 URL。

Cloud Run 服务以内部入口模式部署。

目前，在访问服务 URL 时，其状态为“禁止访问”。

然而，当入口模式设置为所有我可以访问但只想通过我的计算引擎在谷歌网络中访问它。

我什至将计算引擎的计算服务帐户添加为云运行权限中的成员。

有什么解决办法吗？

更新

项目设置 我有一个共享 vpc 设置（目前只有 us-central1 子网共享），其中主机项目的虚拟机尝试访问云运行 url。从主机项目的虚拟机执行 Curl 失败，并显示“访问被禁止”。

但是，我尝试在存在云运行服务的同一项目中创建临时虚拟机。我仍然从这个虚拟机中看到同样的错误。

根据文档，设置内部入口将允许直接访问项目中的任何入口。但这似乎并没有发生。

我什至为计算引擎的服务帐户添加了Roles/run.invoker角色作为云运行服务中的成员。

Cloud Run 正在使用宿主项目的无服务器 vpc 连接器。

Answer 1

我正在做和你类似的事情，并就这个问题联系了支持人员。起初他们甚至说这是可能的，但后来改变了主意，给了我以下答复：

确实，Cloud Run 是共享 VPC 的合格资源，但这仅适用于出站连接，这是 Cloud Run 通过 VPC 连接器调用共享 VPC 中的任何其他资源（Cloud Run -> 共享 VPC -> Google云资源）。

对于入站连接（例如，使用 GKE 集群调用启用了内部入口设置的 Cloud Run 服务，例如 GKE 集群 -> 共享 VPC -> Cloud Run），目前这是不可能的。尽管如此，Cloud Run 产品团队正在努力为服务提供私有 IP，一旦到位，内部服务将能够使用其私有 IP 从共享 VPC 调用，但遗憾的是，在此之前，这还不受支持。