Traffic zu einem Dienst mit der Google Cloud Console sichern
Auf dieser Seite erfahren Sie, wie Sie eine API in API Gateway bereitstellen, um den Traffic zu einem Backend-Dienst zu sichern.
Führen Sie die folgenden Schritte aus, um über die Google Cloud Console eine neue API bereitzustellen, um auf einen Backend-Dienst in Cloud Run-Funktionen zuzugreifen. In dieser Kurzanleitung wird auch beschrieben, wie Sie Ihr Backend mithilfe eines API-Schlüssels vor unbefugtem Zugriff schützen.
Hinweis
Rufen Sie in der Google Cloud Console die Seite API Gateway auf und wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Für API Gateway müssen Sie die folgenden Google-Dienste aktivieren:
Name Titel apigateway.googleapis.com
API Gateway API servicemanagement.googleapis.com
Service Management API servicecontrol.googleapis.com
Service Control API Wenn Sie diese Dienste für das ausgewählte Projekt nicht aktiviert haben, werden Sie jetzt dazu aufgefordert.
Hier kannst du überprüfen, ob das der Fall ist.
API-Backend bereitstellen
API Gateway steht vor einem bereitgestellten Backend-Dienst und verarbeitet alle eingehenden Anfragen. In dieser Kurzanleitung leitet API Gateway eingehende Aufrufe an das Back-End einer Cloud Run-Funktion mit dem Namen helloGET
weiter, das die unten gezeigte Funktion enthält:
/** * HTTP Cloud Function. * This function is exported by index.js, and is executed when * you make an HTTP request to the deployed function's endpoint. * * @param {Object} req Cloud Function request context. * More info: https://expressjs.com/en/api.html#req * @param {Object} res Cloud Function response context. * More info: https://expressjs.com/en/api.html#res */ exports.helloGET = (req, res) => { res.send('Hello World!'); };
Führen Sie die Schritte in Kurzanleitung: Google Cloud CLI verwenden aus, um den Beispielcode für Cloud Run-Funktionen herunterzuladen und den Back-End-Dienst für Cloud Run-Funktionen bereitzustellen.
API-Definition erstellen
API Gateway verwendet eine API-Definition, um Aufrufe an den Backend-Dienst weiterzuleiten. Sie können eine OpenAPI-Spezifikation verwenden, die spezielle Annotationen enthält, um das gewünschte API Gateway-Verhalten zu definieren. Die OpenAPI-Spezifikation für diese Kurzanleitung enthält Routinganweisungen an das Cloud Run-Funktions-Backend:
# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://us-central1-PROJECT_ID.cloudfunctions.net/helloGET responses: '200': description: A successful response schema: type: string
So verwenden Sie die oben gezeigte OpenAPI-Spezifikation, um Ihre API zu definieren:
Erstellen Sie über die Befehlszeile eine neue Datei mit dem Namen
openapi2-functions.yaml
.Kopieren Sie den Inhalt der oben angezeigten OpenAPI-Spezifikation und fügen Sie ihn in die neu erstellte Datei ein
Bearbeiten Sie die Datei so:
- Ersetzen Sie im Feld
title
den Namen API_ID durch den Namen Ihrer API (die im nächsten Schritt erstellt wird) und ersetzen Sie optional-string durch eine kurze Beschreibung Ihrer Wahl. Der Wert dieses Felds wird verwendet, wenn API-Schlüssel erstellt werden, die Zugriff auf diese API gewähren. Benennungsrichtlinien für API-IDs - Ersetzen Sie im Feld
address
PROJECT_ID durch den Namen Ihres Google Cloud-Projekts.
- Ersetzen Sie im Feld
Gateway erstellen
Jetzt können Sie ein Gateway auf API Gateway erstellen und bereitstellen.
Öffnen Sie in der Google Cloud Console die Seite „API Gateway“.
Klicken Sie auf Gateway erstellen.
Im Abschnitt API:
- Sie können eine neue API erstellen oder eine vorhandene API aus dem Drop-down-Menü API auswählen auswählen. Wählen Sie für diese Anleitung Neue API erstellen aus.
- Geben Sie den Anzeigenamen für Ihre API ein.
- Geben Sie die API-ID für Ihre API ein.
- (Optional) Fügen Sie Ihrer API Labels in einem Schlüssel/Wert-Paar-Format hinzu. Wenn Sie mehrere Labels hinzufügen möchten, klicken Sie auf Label hinzufügen und geben Sie zusätzliche Werte ein.
Im Abschnitt API-Konfiguration:
- Sie können eine neue API-Konfiguration erstellen oder eine vorhandene API-Konfiguration aus dem Drop-down-Menü Konfiguration auswählen auswählen. Wählen Sie für diese Anleitung Neue API-Konfiguration erstellen aus.
- Verwenden Sie den Dateibrowser, um die
openapi2-functions.yaml
zum Definieren der API hochzuladen. - Geben Sie einen Anzeigenamen für die API-Konfiguration ein.
Wählen Sie ein Dienstkonto aus der Drop-down-Liste aus. Das ausgewählte Dienstkonto wird als Identität für API Gateway verwendet.
(Optional) Fügen Sie Ihrer API-Konfiguration Labels in einem Schlüssel/Wert-Paar-Format hinzu. Wenn Sie mehrere Labels hinzufügen möchten, klicken Sie auf Label hinzufügen und geben Sie zusätzliche Werte ein.
Im Abschnitt Gatewaydetails:
- Geben Sie den Anzeigenamen des Gateways ein. Die URL für das Gateway wird automatisch generiert.
- Wählen Sie den Standort des Gateways aus dem Drop-down-Menü aus.
- (Optional) Fügen Sie Ihrem Gateway Labels in einem Schlüssel/Wert-Paar-Format hinzu. Wenn Sie mehrere Labels hinzufügen möchten, klicken Sie auf Label hinzufügen und geben Sie zusätzliche Werte ein.
Klicken Sie auf Gateway erstellen.
Dadurch wird die API-Konfiguration auf einem neu erstellten Gateway bereitgestellt. Durch das Bereitstellen einer API-Konfiguration auf einem Gateway wird eine externe URL definiert, über die API-Clients auf Ihre API zugreifen können.
Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Wenn Sie den Status des Erstellungs- und Bereitstellungsprozesses prüfen möchten, können Sie auf das Symbol Benachrichtigung in der Hauptnavigationsleiste klicken, um eine Statusbenachrichtigung anzuzeigen, wie in der folgenden Abbildung dargestellt:
Nach erfolgreichem Abschluss können Sie sich Details zum Gateway auf der Landingpage des Gateways ansehen.
Notieren Sie sich die Gateway-URL. Dies wird im nächsten Schritt zum Testen der Bereitstellung verwendet.
API-Bereitstellung testen
Jetzt können Sie Anfragen über die bei der Bereitstellung des Gateways generierte URL an Ihre API senden.
Geben Sie im Webbrowser die folgende URL ein. Dabei gilt:
- GATEWAY_URL gibt die bereitgestellte Gateway-URL an.
hello
ist der in Ihrer API-Konfiguration angegebene Pfad.
https://GATEWAY_URL/hello
Beispiel:
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Die Meldung Hello World!
sollte in Ihrem Browser angezeigt werden.
Sie haben erfolgreich ein API Gateway erstellt und bereitgestellt.
Zugriff mithilfe eines API-Schlüssels sichern
Um den Zugriff auf Ihr API-Backend zu sichern, können Sie einen mit Ihrem Projekt verknüpften API-Schlüssel generieren und diesem Schlüssel Zugriff zum Aufrufen der API gewähren. Weitere Informationen finden Sie unter API-Zugriff mit API-Schlüsseln einschränken.
Wenn dem Google Cloud-Projekt, das Sie in dieser Kurzanleitung verwenden, noch kein API-Schlüssel zugeordnet ist, können Sie einen hinzufügen. Führen Sie dazu die Schritte unter API-Schlüssel erstellen aus.
So sichern Sie den Zugriff auf Ihr Gateway mit einem API-Schlüssel:
- Unterstützung für API-Schlüssel für Ihren Dienst aktivieren:
- Gehen Sie in der Google Cloud Console zu APIs und Dienste > Bibliothek.
- Geben Sie in der Suchleiste den Namen des verwalteten Dienstes der soeben erstellten API ein. Sie finden diesen Wert in der Spalte Verwalteter Dienst für Ihre API auf der Landing page der APIs.
Beispiel:
my-api-123abc456def1.apigateway.my-project.cloud.goog
- Klicken Sie auf der Landing page für Ihren Dienst auf Aktivieren.
- Ändern Sie die OpenAPI-Spezifikation, mit der Sie Ihre API-Konfiguration erstellt haben, um Anweisungen zur Durchsetzung einer Sicherheitsrichtlinie für die API-Schlüsselvalidierung für den gesamten Traffic aufzunehmen. Fügen Sie den Typ
security
undsecurityDefinitions
wie unten gezeigt hinzu: Die# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address:https://us-central1.PROJECT_ID.cloudfunctions.net/helloGET security: - api_key: [] responses: '200': description: A successful response schema: type: string securityDefinitions: # This section configures basic authentication with an API key. api_key: type: "apiKey" name: "key" in: "query"
securityDefinition
konfiguriert die API so, dass ein API-Schlüssel als Abfrageparameter mit dem Namenkey
übergeben werden muss, wenn Zugriff auf alle in der Spezifikation definierten Pfade angefordert wird. - Erstellen Sie eine neue API-Konfiguration und stellen Sie sie für Ihr vorhandenes Gateway bereit:
- Rufen Sie die Landingpage „Gateways“ auf.
- Wählen Sie Ihr Gateway aus der Liste aus, um Details aufzurufen.
- Klicken Sie auf Bearbeiten, um den Bereich „Gateway-Konfiguration“ zu öffnen.
- Im Abschnitt API-Konfiguration:
- Wählen Sie im Drop-down-Menü die Option Neue API-Konfiguration erstellen aus.
- Laden Sie Ihre geänderte OpenAPI-Spezifikation mit dem Dateibrowser hoch.
- Geben Sie den Anzeigenamen für die neue API-Konfiguration ein.
- Wählen Sie ein Dienstkonto aus der Drop-down-Liste aus. Das ausgewählte Dienstkonto wird als Identität für API Gateway verwendet.
- (Optional) Fügen Sie Ihrer API-Konfiguration Labels in einem Schlüssel/Wert-Paar-Format hinzu. Wenn Sie mehrere Labels hinzufügen möchten, klicken Sie auf Label hinzufügen und geben Sie zusätzliche Werte ein.
- Klicken Sie auf Aktualisieren.
API-Schlüssel testen
Nachdem Sie die geänderte API erstellt und bereitgestellt haben, versuchen Sie, eine Anfrage an sie zu senden.
Geben Sie im Webbrowser die folgende URL ein. Dabei gilt:
- GATEWAY_URL gibt die bereitgestellte Gateway-URL an.
hello
ist der in Ihrer API-Konfiguration angegebene Pfad.
https://GATEWAY_URL/hello
Beispiel:
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Dies sollte zu folgendem Fehler führen:
UNAUTHENTICATED:Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.
Geben Sie jetzt im Webbrowser die folgende URL ein. Dabei gilt:
- GATEWAY_URL gibt die bereitgestellte Gateway-URL an.
hello
ist der in Ihrer API-Konfiguration angegebene Pfad.- API_KEY gibt den API-Schlüssel an, den Sie unter Zugriff mit einem API-Schlüssel sichern erstellt haben.
https://GATEWAY_URL/hello?key=API_KEY
Nun sollte Hello World!
in Ihrem Browser angezeigt werden.
Das war's auch schon! Sie haben Ihr API-Backend mit einem API Gateway erfolgreich geschützt. Sie können jetzt mit der Einrichtung neuer API-Clients beginnen. Generieren Sie dazu zusätzliche API-Schlüssel.
API-Aktivität verfolgen
Sehen Sie sich in der Google Cloud Console auf der Seite API Gateway die Aktivitätsgrafiken Ihrer API an. Klicken Sie auf die API, um die Aktivitätsgrafiken auf der Seite Übersicht aufzurufen. Es kann einen Moment dauern, bis die Anfragen in den Grafiken angezeigt werden.
Sehen Sie sich auf der Seite Log-Explorer die Anfragelogs an. Einen Link zur Seite Log-Explorer finden Sie auf der Seite API Gateway in der Google Cloud Console.
Auf der API Gateway-Seite:- Wählen Sie die API aus, die Sie ansehen möchten.
- Klicken Sie auf den Tab Details.
- Klicken Sie auf den Link unter Logs.
Bereinigen
So vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden:
Alternativ können Sie auch das für diese Anleitung verwendete Google Cloud-Projekt löschen.