API Gateway と App Engine のスタートガイド

このページでは、API Gateway を設定して App Engine バックエンド サービスを管理および保護する方法について説明します。

タスクリスト

次のタスクリストを参照しながら、チュートリアルを実施してください。App Engine バックエンド サービス用の API Gateway をデプロイするには、すべてのタスクを行う必要があります。

  1. Google Cloud プロジェクトを作成または選択する。
  2. 独自の App Engine をデプロイしていない場合は、サンプルアプリをデプロイします。始める前にをご覧ください。
  3. 必要な API Gateway サービスを有効にします。
  4. IAP を構成してアプリのセキュリティを確保します。IAP を構成するをご覧ください。
  5. API を記述する OpenAPI 仕様を作成し、App Engine へのルートを構成します。API 構成の作成をご覧ください。
  6. API 構成を使用して API Gateway をデプロイします。API ゲートウェイのデプロイをご覧ください。
  7. アプリに対するアクティビティを追跡します。 API の活動を追跡するをご覧ください。
  8. Google Cloud アカウントへの課金が発生しないようにします。クリーンアップをご覧ください。

準備

  1. Google Cloud コンソールで [ダッシュボード] ページに移動し、Google Cloud プロジェクトを選択または作成します。

    [ダッシュボード] ページに移動する

  2. プロジェクトに対して課金が有効になっていることを確認します。

    課金を有効にする方法について

  3. このチュートリアルで使用するプロジェクト ID をメモします。このページでは以降、このプロジェクト ID を PROJECT_ID として記載します。

  4. Google Cloud CLI をダウンロードしてインストールします。

    gcloud CLI をダウンロードする

  5. gcloud コンポーネントを更新します。

    gcloud components update
  6. デフォルト プロジェクトを設定します。PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

    gcloud config set project PROJECT_ID

  7. 独自の App Engine アプリをデプロイしていない場合は、ご使用の言語の App Engine のクイックスタートの手順に沿って Google Cloud CLI を使用して Google Cloud プロジェクトを選択または作成し、サンプルアプリをデプロイします。アプリの URL、アプリがデプロイされているリージョンとプロジェクト ID をメモします。

必要なサービスを有効にする

API Gateway では、次の Google サービスを有効にする必要があります。

名前 タイトル
apigateway.googleapis.com API Gateway API
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API

必要なサービスが有効になっていることを確認するには:

gcloud services list

必要なサービスが表示されない場合は、次のコマンドを使用してサービスを有効にします。

gcloud services enable apigateway.googleapis.com
gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

gcloud サービスの詳細については、gcloud サービスをご覧ください。

アプリのセキュリティを確保するための IAP の構成

App Engine アプリを保護するには、Identity Aware Proxy(IAP)を使用して、リクエストが認証されるようにする必要があります。このプロセスでは、プロジェクトに必要な IAP-secured Web App User ロールを付与するメンバーを指定します。

手順に従って IAP を有効化し、アプリにログインできることを確認します。

API 構成の作成

デプロイされた App Engine バックエンドへのトラフィックを API ゲートウェイで管理するには、API 構成が必要です。

特殊なアノテーションを含む OpenAPI 仕様を使用して API 構成を作成し、必要な API Gateway の動作を定義できます。API Gateway がアプリを呼び出すために必要な情報を取得できるよう、このドキュメントには各 App Engine アプリの URL を設定した Google 固有のフィールドも追加する必要があります。

  1. openapi2-appengine.yaml という名前のテキスト ファイルを作成します(便宜上、このページでは OpenAPI 仕様をこのファイル名で表記していますが、必要に応じて別の名前を指定することもできます)。
  2. 以下のように、openapi2-appengine.yaml ファイルの paths セクションに各アプリを一覧表示します。
    # openapi2-appengine.yaml
    swagger: '2.0'
    info:
      title: API_ID optional-string
      description: Sample API on API Gateway with an App Engine backend
      version: 1.0.0
    schemes:
      - https
    produces:
      - application/json
    paths:
      /hello:
        get:
          summary: Greet a user
          operationId: hello
          x-google-backend:
            address: APP_URL
            jwt_audience: IAP_CLIENT_ID
          responses:
            '200':
              description: A successful response
              schema:
                type: string
  3. title フィールドで、API_ID を API の名前に置き換え、optional-string を任意の簡単な説明に置き換えます。API が存在しない場合は、API Config を作成するためのコマンドによって、指定した名前の API も作成されます。title フィールドの値は、この API へのアクセス権を付与する API キーを作成する際に使用されます。API の命名ガイドラインについては、API ID の要件をご覧ください。
  4. x-google-backend セクションの address フィールドで、APP_URL を App Engine サービスの実際の URL(呼び出された API のフルパス)に置き換えます。例: https://myapp.an.r.appspot.com/hello

    IAP_CLIENT_ID を IAP の設定時に作成した OAuth クライアント ID に置き換えます。

  5. 次のコマンドを入力します。ここで、
    • CONFIG_ID は API 構成の名前を指定します。
    • API_ID は API の名前を指定します。API が存在しない場合は、このコマンドによって作成されます。
    • PROJECT_ID は Google Cloud プロジェクトの名前を指定します。
    • SERVICE_ACCOUNT_EMAIL は、認証が構成されたバックエンドのトークンの署名に使用されるサービス アカウントを指定します。
    gcloud api-gateway api-configs create CONFIG_ID \
      --api=API_ID --openapi-spec=openapi2-appengine.yaml \
      --project=PROJECT_ID --backend-auth-service-account=SERVICE_ACCOUNT_EMAIL

    API 構成がダウンストリームのシステムに伝播される際に、このオペレーションが完了するまでに数分を要する場合があります。複雑な API 構成の作成が正常に完了するまでに最大 10 分を要する場合があります。

  6. API 構成が作成されたら、次のコマンドを実行して詳細を表示できます。
    gcloud api-gateway api-configs describe CONFIG_ID \
      --api=API_ID --project=PROJECT_ID

API Gateway のデプロイ

これで、API Gateway に API をデプロイできるようになりました。API Gateway に API をデプロイすると、API クライアントが API へのアクセスに使用できる外部 URL も定義されます。

次のコマンドを実行して、作成した API 構成を API Gateway にデプロイします。

gcloud api-gateway gateways create GATEWAY_ID \
  --api=API_ID --api-config=CONFIG_ID \
  --location=GCP_REGION --project=PROJECT_ID

ここで、

  • GATEWAY_ID はゲートウェイの名前を指定します。
  • API_ID は、このゲートウェイに関連付けられた API Gateway API の名前を指定します。
  • CONFIG_ID は、ゲートウェイにデプロイされた API 構成の名前を指定します。
  • GCP_REGION は、デプロイされたゲートウェイの Google Cloud リージョンです。

  • PROJECT_ID は Google Cloud プロジェクトの名前を指定します。

正常に完了したら、次のコマンドを使用してゲートウェイの詳細を表示できます。

gcloud api-gateway gateways describe GATEWAY_ID \
  --location=GCP_REGION --project=PROJECT_ID

このコマンドの出力で、defaultHostname プロパティの値をメモします。これは、次のステップでデプロイのテストに使用するゲートウェイ URL のホスト名部分です。

API デプロイのテスト

これでゲートウェイのデプロイ時に生成された URL を使用して API にリクエストを送信できるようになりました。

次の curl コマンドを入力します。ここで、

  • DEFAULT_HOSTNAME は、デプロイするゲートウェイ URL のホスト名の部分を指定します。defaultHostname の値は、上記の gateways describe コマンドの出力で確認できます。
  • hello は、API 構成で指定されたパスです。
curl https://DEFAULT_HOSTNAME/hello

次に例を示します。

curl https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello

次の出力が表示されます。

My-AppEngineApp: Access denied for user gateway-1a2b3c@04d5e6f35FgdsT73dFrty-tp.iam.gserviceaccount.com requesting https://my-project.appspot.com/helloGET. If you should have access, contact myldap@google.com and include the full text of this message.

Success! API Gateway が App Engine バックエンド サービスへのアクセスを管理しています。App Engine アプリへのアクセス権を付与するには、API Gateway に対する適切な権限を持つサービス アカウントを構成する必要があります。

API の活動を追跡する

  1. Google Cloud コンソールの [API Gateway] ページで API のアクティビティ グラフを確認します。API をクリックして、[概要] ページにアクティビティ グラフを表示します。グラフにリクエストが反映されるまでにしばらく時間がかかる場合があります。

  2. [ログ エクスプローラ] ページで API のリクエストログを確認します。[ログ エクスプローラ] ページへのリンクは、Google Cloud コンソールの [API Gateway] ページにあります。

    [API Gateway] ページに移動

    [API Gateway] ページで次の操作を行います。

    1. 表示する API を選択します。
    2. [詳細] タブをクリックします。
    3. [ログ] の下にあるリンクをクリックします。

クリーンアップ

このクイックスタートで使用したリソースに対して、Google Cloud アカウントに課金されないようにするには:

このチュートリアルで使用した Google Cloud プロジェクトの削除もできます。