Обзор

Метаданные — это служебная и пользовательская информация, которая описывает основные характеристики виртуальных машин (ВМ), представленная в формате «ключ-значение». К метаданным относятся, например, идентификатор ВМ, имя хоста, внешний IP-адрес и т.п.

Изнутри каждой ВМ доступен специализированный сервис, с помощью которого получить метаданные в формате Google Compute Engine.

Чтобы получить метаданные ВМ, подключитесь к ней по SSH и выполните GET-запрос на IP-адрес 169.254.169.254:

1
curl http://169.254.169.254/computeMetadata/v1/instance/?recursive=true -H "Metadata-Flavor:Google" | jq

В результате выполнения запроса вы получите метаданные в формате JSON. Для отображения метаданных в удобном для чтения виде в примере используется утилита jq.

Запрашивать метаданные изнутри ВМ могут все авторизованные пользователи. Ограничить доступ к метаданным для отдельных пользователей или групп пользователей нельзя.

Для работы с метаданными удобно использовать сервисный аккаунт, привязанный к ВМ. После привязки сервисного аккаунта его токен поступает в метаданные ВМ, а также автоматически обновляется раз в 12 часов. Вы можете выполнять запросы к API облака, используя этот токен. Это позволяет избежать хранения ключей или токенов на диске ВМ и упрощает автоматизацию процессов в облаке.

Вы также можете заменить привязанный сервисный аккаунт, или отвязать его от ВМ. После отвязки сервисного аккаунта его токен не будет доступен в метаданных ВМ. При этом полученный ранее токен будет действителен, пока не истечет срок его действия.

Привязка сервисного аккаунта и автоматизация получения токена позволит вам реализовать сценарии:

• Интеграция с Object Storage. Приложение получает доступ к Object Storage для чтения конфигураций, загрузки файлов или создания резервных копий без встраивания токенов в исходный код или образы.
• Построение процессов CI/CD. Build-сервер собирает Docker-образы и загружает их в Artifact Registry через docker push без выполнения docker login, а Production-серверы скачивают образы через docker pull.
• Управление секретами через Certificate Manager. Приложение читает пароли к базам данных, токены и сертификаты из Certificate Manager без их хранения в исходном коде или переменных окружения. Приложение обращается к API с автоматической ротацией и версионированием через сервисный аккаунт.
• Автоматическое масштабирование и управление жизненным циклом. Виртуальные машины автоматически регистрируются в Load Balancer, подключают дополнительные диски и выполняют Graceful Shutdown при масштабировании вниз через сервисный аккаунт с правами на управление сетевыми и вычислительными ресурсами.

Дополнительно, привязка сервисного аккаунта к ВМ упростит процесс инициализации MWS CLI.

Подробнее о привязке сервисного аккаунта и работе с его токеном читайте в практическом руководстве.

Также получить список ключей метаданных, доступных изнутри ВМ, можно с помощью запроса:

1
curl http://169.254.169.254/computeMetadata/v1/instance/ -H "Metadata-Flavor:Google"