配置开发环境

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本文档介绍如何配置 API Gateway 开发环境。

前提条件

在 API Gateway 上创建 API 之前,请确保您已经:

  • 创建一个 Google Cloud 项目,并且您在该项目中拥有 EditorOwner 角色。在初次部署之后,您可以向用户、组或服务帐号授予具有更多限制的服务配置编辑者角色。

  • 下文所述,准备 Cloud SDK

  • 下文所述,启用必需 Google 服务。

  • 下文所述,配置用于创建 API 配置的服务帐号。

准备 Cloud SDK 以进行部署

如需为部署准备 gcloud,请执行以下操作:

  1. 安装并初始化 Cloud SDK
  2. 更新 Cloud SDK:
    gcloud components update
  3. 确保 Cloud SDK 有权访问您的数据和服务:
    gcloud auth login

    您的浏览器会打开一个新标签页,并提示您选择一个帐号。

  4. 设置默认项目。将 PROJECT_ID 替换为您的 Google Cloud 项目 ID:
    gcloud config set project PROJECT_ID

启用必需服务

API Gateway 要求您启用以下 Google 服务:

名称 标题
apigateway.googleapis.com API Gateway API
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API

如需确认已启用必需的服务,请运行以下命令:

gcloud services list

如果您没有看到列出的必需服务,请启用它们:

gcloud services enable apigateway.googleapis.com
gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

如需详细了解 gcloud 服务,请参阅 gcloud 服务

配置服务帐号

在网关上部署的 API 配置使用与网关服务帐号关联的权限执行。

最佳做法是,在用于 API Gateway 的同一项目中创建一个单独的服务帐号。然后,只向该服务帐号分配访问后端服务所需的权限。这样,您可以限制与 API 配置关联的权限。

对于 API Gateway,创建或更新 API 配置或网关的用户需要对服务帐号对象拥有 iam.serviceAccounts.actAs 权限。此权限包含在 Service Account User 角色中。

您可以使用以下命令将角色和权限添加到用户的服务帐号:

gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \
  --member user:USER_EMAIL \
  --role roles/iam.serviceAccountUser

此外,网关服务帐号需要具备访问后端服务所需的权限。例如,如果您的后端作为 Cloud Functions 函数实现,则至少应该为服务帐号分配 Cloud Functions Invoker 角色。对于 Cloud Run 后端,角色为 Cloud Run Invoker。通过限制与 API 配置关联的权限,您可以更好地保护后端系统。

如需了解详情,请参阅 Identity and Access Management (IAM) 文档

创建服务帐号后,请在创建 API 配置时使用 --backend-auth-service-account 选项指定该服务帐号的电子邮件地址:

gcloud api-gateway api-configs create CONFIG_ID \
  --api=API_ID --openapi-spec=API_DEFINITION --project=PROJECT_ID \
  --backend-auth-service-account=SERVICE_ACCOUNT_EMAIL

如需详细了解如何创建 API 配置,请参阅创建 API

使用默认服务帐号

某些 GCP 产品定义了默认服务帐号。例如,如果您使用 Compute Engine 并为项目启用了 Compute Engine API,则系统会为您创建默认 Compute Engine 服务帐号。通过电子邮件地址可识别默认服务帐号:

PROJECT_NUMBER-compute@developer.gserviceaccount.com

如果您为默认服务帐号分配了必要的权限,则可以在创建 API 配置时省略 --backend-auth-service-account 选项:

gcloud api-gateway api-configs create CONFIG_ID \
  --api=API_ID --openapi-spec=API_DEFINITION --project=PROJECT_ID

如需了解详情,请参阅使用 Compute Engine 默认服务帐号

使用 OpenID Connect

从 API Gateway 到后端服务的请求可能会使用身份验证。这些请求使用由网关的服务帐号签名的 OpenID Connect (OIDC) 令牌进行保护。您应确认您的后端服务已正确配置为接受使用 OIDC 令牌进行身份验证和授权。Cloud Functions、Cloud Run 和 Identity Aware Proxy (IAP) 提供此选项。

后续步骤