問題タブ [google-cloud-api-gateway]

プログラムによるサーバー間アクセスを必要とする API を設計しています。Qps を制限して、顧客プロジェクトごとにクォータを設定したいと考えています。API Gatewayを構成してデプロイしました。

Cloud Endpointsの Quotas ドキュメント (API Gateway ドキュメントからリンク) によると、クォータは API キーやサービス アカウントではなく特定の GCP プロジェクトにバインドされるため、この動作は複数の GCP プロジェクトを介して実装できます。

1. このような展開を管理するためのベスト プラクティスは何ですか?

2. これを解決する良い方法は、トークンまたは SA のみを使用して、お客様のプロジェクトごとに個別の空の GCP プロジェクトを作成することですか? プロジェクトのクォータは一般的に簡単に拡張できますか?

Apigeeを検討して試してみました。ただし、このプロジェクトはエンタープライズ グレードとはほど遠いため、価格は適切ではなく、これを書いている時点では 60 日間の評価しかサポートされていません (無料利用枠はありません)。

私の GCP プロジェクトでは、docker コンテナで (connexion を使用して) Python API を実行しています。API Gateway を使用して (API キーを使用して) API を公開したいと考えています。

で docker コンテナーをデプロイすると、ゲートウェイ経由で API 呼び出し--ingress internalが行われます。Access is forbidden.そのため、API ゲートウェイは Google Run コンテナにアクセスできません。を使用する--ingress allと、すべてが期待どおりに機能しますが、内部 API は Web からアクセスできますが、これは私が望んでいるものではありません。

このためのサービス アカウントを作成しました。

... アカウントにrun.invoker許可を与えました:

...そして、サービス アカウントを使用して API 構成を作成しました。

しかし、API Gateway から docker API にアクセスできません。ここで何が欠けていますか？API Gateway が内部的に接続できるように、API を保護するにはどうすればよいですか。

Update1: 実行サービスにもロールを適用しました:

Update2: John Hanley のリクエストによる追加情報:

私のゲートウェイ yml は次のようになります。

Cloud Run で直接デバッグを試みました:

結果は依然として禁止されています:

したがって、問題はサービス アカウントが Cloud Run アプリケーションにアクセスできないことにあります。run.invoker役割が実行サービスに追加されたため、これが機能しない理由はわかりません。