我尝试使用 使用 IAM 数据库身份验证登录 与服务帐户。但失败了

用户的 Cloud SQL IAM 服务帐户身份验证失败

我完全陷入困境

程序

1.创建 postgreSQL

实例测试验证

并设置标志

databaseFlags:
- name: cloudsql.iam_authentication
  value: on

2.创建数据库

数据库名称：db_hoge

3.创建服务帐户

[email protected] 并将其添加为用户。另外，我添加了自己的电子邮件（这是该 GCP 项目的所有者） 看起来添加正确。

$ gcloud sql 用户列表 --instance test-auth

NAME                               HOST  TYPE                       PASSWORD_POLICY
postgres                                 CLOUD_IAM_USER
[email protected]                     CLOUD_IAM_USER
[email protected]                CLOUD_IAM_SERVICE_ACCOUNT

4.运行云 sql 代理（v 1.31.0）

$ ./cloud_sql_proxy-版本

Cloud SQL Auth proxy: 1.31.0+linux.amd64

$ ./cloud_sql_proxy -enable_iam_login -instances=myproject:asia-northeast1:test-auth=tcp:127.0.0.1:5432

5.数据库连接

使用服务帐户 -> 失败

psql“sslmode=禁用dbname=db_hoge主机=127.0.0.1用户[email protected]”

 psql: error: FATAL:  Cloud SQL IAM service account authentication failed for user "[email protected]"

与用户（我自己）-> 成功

psql“sslmode =禁用dbname = db_hoge主机= 127.0.0.1用户= [email protected]”

psql (12.11 (Ubuntu 12.11-0ubuntu0.20.04.1), server 14.2)
WARNING: psql major version 12, server major version 14.
         Some psql features might not work.
Type "help" for help.

db_hoge=>

IAM 角色

• [email protected] => 所有者
• [email protected] => roles/cloudsql.client ,roles/cloudsql.instanceUser

我真诚地请求某人的好心帮助。

提前谢谢您

---

更新

按照建议，我部署了用于在 GKE 上测试连接的应用程序

但是现在，我收到错误“致命：客户端返回空密码”。 当使用 IAM 数据库身份验证时，我们不需要该用户的密码。

我不知道这是因为 App、GKE、IAM 或 CloudSQL。

部署和应用程序

使用 sidecar，我运行了 cloudSQL 代理。并且该 pod 的服务帐户已绑定 google-service-account，该帐户具有 CloudSQL 实例用户和 CloudSQL 客户端。

app.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: web
spec:
  selector:
    matchLabels:
      run: web
  template:
    metadata:
      labels:
        run: web
    spec:
      containers:
      - image: cloudproxy-test:1.0.0
        imagePullPolicy: Always
        name: web
        ports:
        - containerPort: 8080
          protocol: TCP
      - command:
        - /cloud_sql_proxy
        - -enable_iam_login
        - -instances=my-project:asia-northeast1:test-auth=tcp:5432
        image: gcr.io/cloudsql-docker/gce-proxy:1.25.0
        name: cloudsql-proxy        
      serviceAccountName: ksa-workload-identity-binded     
---

我用 go 制作了应用程序。对于 postgreSQL，使用 dialers/postgres 模块。

package main

import (
    "context"
    "database/sql"
    "fmt"
    "log"
    "net/http"
    "github.com/gin-gonic/gin"

    _ "github.com/GoogleCloudPlatform/cloudsql-proxy/proxy/dialers/postgres"
)


func main() {

  engine := gin.Default()
  engine.GET("/", func(c *gin.Context) {
    ctx := context.Background()

    if err := showRecords(ctx, "my-project:asia-northeast1:test-auth", "db_hoge", "[email protected]"); err != nil {
      log.Fatal(err)
    }

    c.JSON(http.StatusOK, gin.H{
      "How": "itwork",
    })
  })

  engine.Run(":8080")
}

func showRecords(ctx context.Context, dbAddress, dbName, dbUser string) error {
    dsn := fmt.Sprintf("host=%s user=%s dbname=%s sslmode=disable", dbAddress, dbUser, dbName)

    fmt.Println(dsn)

    db, err := sql.Open("cloudsqlpostgres", dsn)
    if err != nil {
    log.Fatal(err)    
        return err
    }
    defer db.Close()
    return nil
}

当我使用默认用户

postgres

和密码并从 sidecar 命令中删除 -enable_iam_login 选项时，我可以连接数据库。 所以应用程序本身似乎没有错误。

gcloud logging