GCP デプロイ構成
AuthFoundation を GCP に移行した後の初期構成です。 Cloud Run はアプリコンテナ、Compute Engine VM は SQL Server / Redis のデータ層として扱います。
Notes
- Cloud Run と Artifact Registry は
us-west1に揃える。 - SQL Server / Redis は VM 上で手動運用する。
- Cloud Run から VM へは Direct VPC egress で private IP 接続する。
- GitHub Actions の GCP 認証は Workload Identity Federation を使い、JSON key は使わない。
- Cloudflare は DNS / optional proxy として使う。証明書発行までは
DNS onlyを基本にする。 - メール送信は Gmail SMTP を利用し、
Mail__FromEmail/GmailSmtp__Username/GmailSmtp__AppPasswordを Secret Manager で注入する。 JwkPrivateKeyEncryptionKeyはauth-jwk-encryption-keyから注入し、未設定時は起動失敗になる。- deploy workflow では
CLOUD_RUN_UPDATE_SECRETSの必須マッピングを検証し、CLOUD_RUN_SECRET_MAX_AGE_DAYSを設定した場合は古すぎる Secret version を検知して deploy を失敗させる。