Comienza a usar API Gateway y App Engine
En esta página, se muestra cómo configurar API Gateway para administrar y proteger un servicio de backend de App Engine.
Lista de tareas
Usa la siguiente lista de tareas mientras trabajas en el instructivo. Todas las tareas son necesarias a fin de implementar una API Gateway para tu servicio de backend de App Engine.
- Crea o selecciona un proyecto de Google Cloud.
- Si no has implementado tu propio App Engine, implementa una app de ejemplo. Consulta Antes de comenzar.
- Habilita los servicios de API Gateway necesarios.
- Configura IAP para proteger tu app. Consulta la sección sobre cómo configurar IAP.
- Crea una especificación de OpenAPI que describa tu API y configura las rutas a App Engine. Consulta Crea una configuración de API.
- Implementa una API Gateway con tu configuración de API. Consulta Implementa una API Gateway.
- Realiza seguimiento de la actividad de tus apps. Consulta Cómo realizar un seguimiento de la actividad de la API.
- Evita que se generen cargos en tu cuenta de Google Cloud. Consulta Cómo realizar una limpieza.
Antes de comenzar
En la consola de Google Cloud, ve a la página Panel y selecciona o crea un proyecto de Google Cloud.
Asegúrate de tener habilitada la facturación para tu proyecto.
Toma nota del ID del proyecto que deseas usar para este instructivo. En el resto de esta página, este ID del proyecto se denomina PROJECT_ID.
Descarga y, luego, instala Google Cloud CLI.
Actualiza los componentes de
gcloud
:gcloud components update
Configura el proyecto predeterminado. Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud
gcloud config set project PROJECT_ID
Si no implementaste tu propia aplicación de App Engine, sigue los pasos en la guía de inicio rápido de App Engine para que tu lenguaje use la Google Cloud CLI a fin de seleccionar o crear un proyecto de Google Cloud y, luego, implementar una app de muestra. Toma nota de la URL de la app, así como de la región y el ID del proyecto donde se implementa tu app.
Habilita los servicios obligatorios
API Gateway requiere que habilites los siguientes servicios de Google:
Nombre | Título |
---|---|
apigateway.googleapis.com |
API de API Gateway |
servicemanagement.googleapis.com |
API de Service Management |
servicecontrol.googleapis.com |
API de Service Control |
Para confirmar que los servicios obligatorios están habilitados, haz lo siguiente:
gcloud services list
Si no ves los servicios necesarios que se incluyeron en la lista, habilítalos:
gcloud services enable apigateway.googleapis.comgcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
Para obtener más información sobre los servicios de gcloud
, consulta Servicios de gcloud
.
Configura IAP para proteger tu aplicación
Para proteger tu app de App Engine, debes usar el Identity Aware Proxy (IAP) a fin de asegurarte de que las solicitudes se autentiquen. Este proceso incluye especificar los miembros a los que se les debe otorgar la función IAP-secured Web App User
necesaria para el proyecto.
Sigue los pasos para habilitar IAP y asegurarte de poder acceder a tu aplicación.
Crea una configuración de API
Antes de que se pueda usar API Gateway para administrar el tráfico al backend de App Engine implementado, necesita una configuración de API.
Puedes crear una configuración de API con una especificación de OpenAPI que contenga anotaciones especializadas para definir el comportamiento deseado de API Gateway. Deberás agregar un campo específico de Google que contenga la URL de cada app de App Engine a fin de que API Gateway tenga la información necesaria para invocar una app.
- Crea un archivo de texto denominado
openapi2-appengine.yaml
. Por conveniencia, esta página hace referencia a la especificación de OpenAPI mediante ese nombre de archivo, pero puedes nombrarlo de otra manera si lo prefieres. - Enumera cada una de tus apps en la sección
paths
del archivoopenapi2-appengine.yaml
, como se muestra a continuación:# openapi2-appengine.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with an App Engine backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: APP_URL jwt_audience: IAP_CLIENT_ID responses: '200': description: A successful response schema: type: string
- En el campo
title
, reemplaza API_ID por el nombre de tu API y reemplaza optional-string por una breve descripción de tu elección. Si tu API todavía no existe, el comando para crear la configuración de la API también creará la API con el nombre que especifiques. El valor del campotitle
se usa cuando se crean claves de API que otorgan acceso a esta API. Consulta los requisitos del ID de API para obtener lineamientos de nombres de API. - En el campo
address
de la secciónx-google-backend
, reemplaza APP_URL por la URL real de tu servicio de App Engine (la ruta de acceso completa de la API llamada). Por ejemplo,https://myapp.an.r.appspot.com/hello
.Reemplaza IAP_CLIENT_ID por el ID de cliente de OAuth que creaste cuando configuraste IAP.
- Ingresa el siguiente comando, donde:
- CONFIG_ID especifica el nombre de la configuración de tu API.
- API_ID especifica el nombre de tu API. Si la API aún no existe, este comando la creará.
- PROJECT_ID especifica el nombre del proyecto de Google Cloud.
- SERVICE_ACCOUNT_EMAIL especifica la cuenta de servicio que se usa para firmar tokens para backends con autenticación configurada.
gcloud api-gateway api-configs create CONFIG_ID \ --api=API_ID --openapi-spec=openapi2-appengine.yaml \ --project=PROJECT_ID --backend-auth-service-account=SERVICE_ACCOUNT_EMAIL
Esta operación puede tardar varios minutos en completarse, ya que la configuración de la API se propaga a los sistemas descendentes. La creación de una configuración de API compleja podría tardar hasta diez minutos en completarse de forma correcta.
- Después de crear la configuración de la API, puedes ver sus detalles mediante la ejecución de este comando:
gcloud api-gateway api-configs describe CONFIG_ID \ --api=API_ID --project=PROJECT_ID
Implementa una API Gateway
Ahora puedes implementar tu API en API Gateway. Cuando implementas una API en API Gateway, también se define una URL externa que los clientes de API pueden usar para acceder a tu API.
Ejecuta el comando siguiente para implementar la configuración de la API que acabas de crear en API Gateway:
gcloud api-gateway gateways create GATEWAY_ID \ --api=API_ID --api-config=CONFIG_ID \ --location=GCP_REGION --project=PROJECT_ID
Donde:
- GATEWAY_ID especifica el nombre de la puerta de enlace.
- API_ID especifica el nombre de la API de API Gateway asociada a esta puerta de enlace.
- CONFIG_ID especifica el nombre de la configuración de la API implementada en la puerta de enlace.
GCP_REGION es la región de Google Cloud para la puerta de enlace implementada.
PROJECT_ID especifica el nombre del proyecto de Google Cloud.
Cuando el proceso finalice con éxito, puedes usar el siguiente comando para ver los detalles de la puerta de enlace:
gcloud api-gateway gateways describe GATEWAY_ID \ --location=GCP_REGION --project=PROJECT_ID
Observa el valor de la propiedad defaultHostname
en el resultado de este comando. Esta es la parte del nombre de host de la URL de la puerta de enlace que usarás para probar tu implementación en el siguiente paso.
Cómo probar tu implementación de API
Ahora puedes enviar solicitudes a tu API mediante la URL generada cuando se implementa tu puerta de enlace.
Ingresa el siguiente comando curl
, en el que sucede lo siguiente:
- DEFAULT_HOSTNAME especifica la parte del nombre de host de la URL de la puerta de enlace implementada. El valor de
defaultHostname
se puede encontrar en el resultado del comandogateways describe
que se muestra arriba. hello
es la ruta de acceso especificada en tu configuración de API.
curl https://DEFAULT_HOSTNAME/hello
Por ejemplo:
curl https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Debería ver el siguiente resultado:
My-AppEngineApp: Access denied for user gateway-1a2b3c@04d5e6f35FgdsT73dFrty-tp.iam.gserviceaccount.com requesting https://my-project.appspot.com/helloGET. If you should have access, contact myldap@google.com and include the full text of this message.
¡Listo! API Gateway administra el acceso a tu servicio de backend de App Engine. Para otorgar acceso a tu aplicación de App Engine, deberás configurar una cuenta de servicio con los permisos correctos para tu API Gateway.
Realiza un seguimiento de la actividad de la API
Consulta los gráficos de actividad de tu API en la página API Gateway en la consola de Google Cloud. Haz clic en tu API para ver los gráficos de actividad en la página Descripción general. Las solicitudes pueden tardar unos minutos en reflejarse en los gráficos.
Consulta los registros de solicitud de tu API en la página Visor de registros. Puedes encontrar un vínculo a la página Explorador de registros en la página API Gateway en la consola de Google Cloud.
Una vez en la página API Gateway, haz lo siguiente:- Selecciona la API que quieres ver.
- Haz clic en la pestaña Detalles.
- Haz clic en el vínculo en Registros.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido, puedes hacer lo siguiente:
Como alternativa, también puedes borrar el proyecto de Google Cloud que se usó para este instructivo.