Protege el tráfico a un servicio con la consola de Google Cloud
En esta página, se muestra cómo implementar una API en API Gateway para proteger el tráfico a un servicio de backend.
Sigue los pasos que se indican a continuación para implementar una API nueva para acceder a un servicio de backend en las funciones de Cloud Run con la consola de Google Cloud. En esta guía de inicio rápido, también se describe cómo usar una clave de API para proteger tu backend del acceso no autorizado.
Antes de comenzar
En la consola de Google Cloud, ve a la página API Gateway y selecciona o crea un proyecto de Google Cloud.
API Gateway requiere que habilites los siguientes servicios de Google:
Nombre Título apigateway.googleapis.com
API de API Gateway servicemanagement.googleapis.com
API de Administración de servicios servicecontrol.googleapis.com
API de Service Control Si no has habilitado previamente estos servicios para el proyecto que seleccionaste, se te solicitará que lo hagas.
Confirma que la facturación esté habilitada para tu proyecto.
Implementa un backend de API
API Gateway se posiciona frente a un servicio de backend implementado y controla todas las solicitudes entrantes. En esta guía de inicio rápido, API Gateway enruta las llamadas entrantes a un backend de funciones de Cloud Run llamado helloGET
que contiene la función que se muestra a continuación:
/** * HTTP Cloud Function. * This function is exported by index.js, and is executed when * you make an HTTP request to the deployed function's endpoint. * * @param {Object} req Cloud Function request context. * More info: https://expressjs.com/en/api.html#req * @param {Object} res Cloud Function response context. * More info: https://expressjs.com/en/api.html#res */ exports.helloGET = (req, res) => { res.send('Hello World!'); };
Sigue los pasos de la Guía de inicio rápido: Usa Google Cloud CLI para descargar el código de muestra de las funciones de Cloud Run y, luego, implementar el servicio de backend de la función de Cloud Run.
Crea una definición de la API
API Gateway usa una definición de API para enrutar las llamadas al servicio de backend. Puedes usar una especificación de OpenAPI que contenga anotaciones especializadas para definir el comportamiento deseado de API Gateway. OpenAPI para esta guía de inicio rápido se incluyen instrucciones de enrutamiento al backend de la función de Cloud Run:
# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://us-central1-PROJECT_ID.cloudfunctions.net/helloGET responses: '200': description: A successful response schema: type: string
Para usar la especificación de OpenAPI que se muestra arriba para definir tu API, haz lo siguiente:
Desde la línea de comandos, crea un archivo nuevo llamado
openapi2-functions.yaml
.Copia y pega el contenido de la especificación de OpenAPI que se mostró anteriormente en el archivo recién creado.
Edita el archivo de la siguiente manera:
- En el campo
title
, reemplaza API_ID por el nombre de tu API (que se creará en el siguiente paso) y reemplaza optional-string por una breve descripción de tu elección. El valor de este campo se usa cuando se emiten claves de API que otorgan acceso a esta API. Consulta los requisitos de los IDs de API para conocer los lineamientos de nombres de los IDs de API. - En el campo
address
, reemplaza PROJECT_ID por el nombre de tu proyecto de Google Cloud.
- En el campo
Cómo crear una puerta de enlace
Ahora estás listo para crear y, luego, implementar una puerta de enlace en API Gateway.
Abre la página API Gateway en la consola de Google Cloud.
Haz clic en Crear puerta de enlace.
En la sección API, haz lo siguiente:
- Puedes crear una API nueva o seleccionar una existente en el menú desplegable Seleccionar una API. Para este instructivo, selecciona Crear una API nueva.
- Ingresa el Nombre visible de tu API.
- Ingresa el ID de la API de tu API.
- De forma opcional, agrega etiquetas a tu API con un formato de clave-valor. Para agregar más de una etiqueta, haz clic en Agregar etiqueta y, luego, ingresa valores adicionales.
En la sección Configuración de API, haz lo siguiente:
- Puedes crear una configuración de API nueva o seleccionar una existente desde el menú desplegable Seleccionar una configuración. Para este instructivo, selecciona Crear un nuevo Configuración de la API.
- Usa el navegador de archivos para subir el
openapi2-functions.yaml
que usaste para definir tu API de gcloud. - Ingresa un nombre visible para tu configuración de API.
Selecciona una cuenta de servicio de la lista desplegable. La cuenta de servicio que selecciones se usará como identidad para API Gateway.
De forma opcional, agrega etiquetas a la configuración de tu API con un formato de clave-valor. Para agregar más de una etiqueta, haz clic en Agregar etiqueta y, luego, ingresa valores adicionales.
En la sección Detalles de la puerta de enlace, haz lo siguiente:
- Ingresa el nombre visible de la puerta de enlace. La URL de la puerta de enlace se genera automáticamente.
- Selecciona la ubicación de la puerta de enlace en el menú desplegable.
- De forma opcional, agrega etiquetas a la puerta de enlace con un formato de par clave-valor. Para agregar más de una etiqueta, haz clic en Agregar etiqueta y, luego, ingresa valores adicionales.
Haz clic en Crear puerta de enlace.
Esto implementa la configuración de la API en una puerta de enlace recién creada. La implementación de una configuración de API en una puerta de enlace define una URL externa que los clientes de la API pueden usar para acceder a tu API.
Es posible que la operación tarde varios minutos en completarse. Para verificar el estado del proceso de creación y de implementación, puedes hacer clic en el ícono de notificación en la barra de navegación principal para mostrar una notificación de estado, como se muestra en la siguiente imagen:
Cuando el proceso finalice con éxito, podrás ver los detalles de la puerta de enlace en la página de destino de las puertas de enlace.
Ve a la página Puertas de enlace
Toma nota de la URL de la puerta de enlace. Se usa para probar la implementación en el siguiente paso.
Prueba la implementación de tu API
Ahora puedes enviar solicitudes a tu API con la URL generada luego de la implementación de la puerta de enlace.
En el navegador, ingresa la siguiente URL:
- GATEWAY_URL especifica la URL de la puerta de enlace implementada.
hello
es la ruta de acceso que se especifica en la configuración de la API.
https://GATEWAY_URL/hello
Por ejemplo:
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Deberías ver el mensaje Hello World!
en el navegador.
Creaste e implementaste una API Gateway con éxito.
Protege el acceso mediante una clave de API
Para proteger el acceso al backend de la API, puedes generar una clave de API asociada con tu proyecto y otorgarle a esa clave acceso para llamar a tu API. Consulta Cómo restringir el acceso a la API con claves de API para obtener más información.
Si aún no tienes una clave de API asociada con el proyecto de Google Cloud que usas en esta guía de inicio rápido, puedes agregar una mediante los pasos que se indican en Crea una clave de API.
Para proteger el acceso a tu puerta de enlace con una clave de API, sigue estos pasos:
- Habilita la compatibilidad con claves de API para tu servicio:
- En la consola de Google Cloud, ve a APIs y servicios > Biblioteca.
- En la barra de búsqueda, ingresa el nombre del servicio administrado de la API que acabas de crear. Puedes encontrar este valor en la columna Servicio administrado de tu API en la página de destino de las APIs.
Por ejemplo:
my-api-123abc456def1.apigateway.my-project.cloud.goog
- En la página de destino del servicio, haz clic en Habilitar.
- Modifica las especificaciones de OpenAPI que se usan para crear la configuración de la API a fin de incluir instrucciones de modo que se pueda aplicar una política de seguridad de validación de claves de API en todo el tráfico. Agrega el tipo
security
ysecurityDefinitions
como se muestra a continuación:# openapi2-functions.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address:https://us-central1.PROJECT_ID.cloudfunctions.net/helloGET security: - api_key: [] responses: '200': description: A successful response schema: type: string securityDefinitions: # This section configures basic authentication with an API key. api_key: type: "apiKey" name: "key" in: "query"
securityDefinition
configura tu API para que requiera una clave de API. como un parámetro de consulta llamadokey
cuando se solicita acceso a todas las rutas definidas en la especificación. - Crea e implementa una nueva configuración de API en tu puerta de enlace existente:
- Ve a la página de destino de las puertas de enlace.
- Selecciona tu puerta de enlace de la lista para ver los detalles.
- Haz clic en Editar para abrir el panel de configuración de la puerta de enlace.
- En la sección Configuración de API, haz lo siguiente:
- Selecciona Crear una nueva configuración de API en el menú desplegable disponible.
- Sube la especificación de OpenAPI modificada con el navegador de archivos.
- Ingresa el nombre visible de tu nueva configuración de API.
- Selecciona una cuenta de servicio de la lista desplegable. La cuenta de servicio que selecciones se usará como la identidad para API Gateway.
- (Opcional) Agrega etiquetas a tu configuración de API con un formato de clave-valor. Para agregar más de una etiqueta, haz clic en Agregar etiqueta y, luego, ingresa valores adicionales.
- Haz clic en Actualizar.
Cómo probar tu clave de API
Una vez que hayas creado e implementado la API modificada, intenta enviarle una solicitud.
En el navegador, ingresa la siguiente URL:
- GATEWAY_URL especifica la URL de la puerta de enlace implementada.
hello
es la ruta de acceso que se especifica en la configuración de la API.
https://GATEWAY_URL/hello
Por ejemplo:
https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello
Esto debería mostrar el siguiente error:
UNAUTHENTICATED:Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.
Ahora, en el navegador, ingresa la siguiente URL, donde:
- GATEWAY_URL especifica la URL de la puerta de enlace implementada.
hello
es la ruta de acceso que se especifica en la configuración de la API.- API_KEY especifica la clave de API que creaste en Protege el acceso mediante una clave de API.
https://GATEWAY_URL/hello?key=API_KEY
Ahora, deberías ver Hello World!
en el navegador.
¡Felicitaciones! Protegiste correctamente el backend de tu API con API Gateway. Ahora puedes comenzar a integrar nuevos clientes de API mediante la generación de claves de API adicionales.
Realiza un seguimiento de la actividad de la API
Consulta los gráficos de actividad de tu API en la página API Gateway en la Consola de Google Cloud Haz clic en tu API para ver los gráficos de actividad en la página Descripción general. Las solicitudes pueden tardar unos minutos en reflejarse en los gráficos.
Consulta los registros de solicitud de tu API en la página Visor de registros. Un vínculo a la Puedes encontrar la página Explorador de registros en la página API Gateway en Consola de Google Cloud
Una vez en la página API Gateway, haz lo siguiente:- Selecciona la API que quieres ver.
- Haz clic en la pestaña Detalles.
- Haz clic en el vínculo en Registros.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido, puedes hacer lo siguiente:
Como alternativa, también puedes borrar el proyecto de Google Cloud que se usó para este instructivo.
¿Qué sigue?
- Obtén más información sobre API Gateway.
- Consulta Configura tu entorno de desarrollo.