Puoi accedere a prodotti e servizi Google Cloud dal tuo codice utilizzando API Cloud. Queste API Cloud mostrano una semplice interfaccia REST JSON che puoi chiamare tramite le librerie client.
Questo documento descrive come attivare le API Cloud e aggiungere le librerie client di Cloud al tuo progetto.
Sfogliare le API Cloud
Per esplorare tutte le API Google Cloud disponibili nell'IDE, segui questi passaggi:
Vai a Strumenti > Google Cloud Code >. API Cloud.
La finestra Gestisci le API Google Cloud raggruppa le API Cloud per categoria. Tu Puoi anche utilizzare la barra di ricerca Search APIs (Cerca API) per trovare API specifiche.
Fai clic su un'API per visualizzare ulteriori dettagli, ad esempio il suo stato e la lingua specifica le istruzioni di installazione per le librerie client corrispondenti e i relativi documentazione.
Abilita Cloud APIs
Per abilitare le API Cloud per un progetto utilizzando i dettagli dell'API, segui questi passaggi:
Nella visualizzazione dei dettagli dell'API Cloud, seleziona un progetto Google Cloud che per cui vuoi abilitare l'API Cloud.
Fai clic su Abilita API.
Quando l'API è abilitata, viene visualizzato un messaggio di conferma della modifica.
Aggiungi le librerie client di Cloud
Per aggiungere librerie al tuo progetto in IntelliJ, segui questi passaggi:
Per i progetti Maven Java
- Vai a Strumenti > Google Cloud Code > API Cloud.
- Seleziona Google come tipo di libreria preferito. Libreria client Cloud (consigliata per la maggior parte dei progetti) o Java Google Cloud Spring (consigliato se il tuo progetto utilizza Java Spring).
- Segui le restanti istruzioni nella sezione Installa libreria client nell'IDE, se applicabile.
- Al termine, fai clic su Chiudi.
La sezione Installa libreria client in Gestisci Google La finestra di dialogo delle API Cloud mostra le librerie supportate.
Per tutti gli altri progetti
- Vai a Strumenti > Google Cloud Code > Cloud per le API.
- Per installare l'API, segui le istruzioni di installazione riportate nella pagina dei dettagli dell'API per la tua lingua preferita.
Se stai sviluppando un'applicazione Java, devi anche specificare la preferenza della libreria come Libreria client Google Cloud (opzione consigliata) o Java Spring Google Cloud.
- Al termine, fai clic su Chiudi.
La sezione Installa libreria client in Gestisci Google La finestra di dialogo delle API Cloud mostra le librerie supportate.
Utilizzare gli esempi di codice API
Per cercare e utilizzare esempi di codice per ogni API in Explorer API, segui questi passaggi:
Vai a Strumenti > Google Cloud Code >. API Cloud.
Per aprire la visualizzazione dei dettagli, fai clic sul nome di un'API.
Per visualizzare esempi di codice per l'API, fai clic sulla scheda Esempi di codice.
Per filtrare l'elenco degli esempi, digita il testo da cercare o seleziona una linguaggio di programmazione dal menu a discesa Lingua.
Configura l'autenticazione
Dopo aver attivato le API richieste e aggiunto le librerie client necessarie, devi configurare l'applicazione affinché venga autenticata correttamente. La configurazione dipende dal tipo di sviluppo la piattaforma su cui stai utilizzando.
Una volta completati i passaggi di autenticazione pertinenti, l'applicazione può essere autenticata ed è pronta per il deployment.
Sviluppo locale
Macchina locale
Cloud Code garantisce che l'applicazione sia predefinita
Credenziali (ADC) impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se
non accedi con Cloud Code, esegui gcloud
auth application-default login manualmente.
minikube
- Cloud Code garantisce che l'applicazione sia predefinita
Credenziali (ADC) impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se
non stai accedendo con Cloud Code, esegui
gcloud auth application-default loginmanualmente. - Avvia minikube con
minikube start --addons gcp-auth. In questo modo nei tuoi pod. Per una guida dettagliata all'autenticazione minikube per Google Cloud, consulta la documentazione su minikube gcp-auth.
Altri cluster K8s locali
- Cloud Code assicura che le credenziali predefinite per l'applicazione (ADC) siano impostate se hai eseguito l'accesso a Google Cloud tramite l'IDE. Se
non accedi con Cloud Code, esegui
gcloud auth application-default loginmanualmente. - Monta la directory
gcloudlocale nei pod Kubernetes modificando la specifica del pod nei manifest del pod o del deployment, in modo che le librerie client Google Cloud possano trovare le tue credenziali. Esempio di configurazione dei pod di Kubernetes:apiVersion: v1 kind: Pod metadata: name: my-app labels: name: my-app spec: containers: - name: my-app image: gcr.io/google-containers/busybox ports: - containerPort: 8080 volumeMounts: - mountPath: /root/.config/gcloud name: gcloud-volume volumes: - name: gcloud-volume hostPath: path: /path/to/home/.config/gcloud
Cloud Run
Cloud Code garantisce che l'applicazione sia predefinita
Credenziali (ADC) impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se
non stai accedendo con Cloud Code, esegui gcloud
auth application-default login manualmente.
Sviluppo remoto
Google Kubernetes Engine
A seconda dell'ambito del progetto, puoi scegliere come autentica i servizi Google Cloud su GKE:
- (Solo sviluppo)
- Crea un cluster GKE con le seguenti impostazioni:
- Assicurati di utilizzare l'account di servizio predefinito di GKE, ovvero l'account di servizio predefinito di Compute Engine, e che Ambiti di accesso sia impostato su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
Poiché l'account di servizio Compute Engine è condiviso da tutti i carichi di lavoro di cui è stato eseguito il deployment sul tuo nodo, questo metodo esegue un overprovisioning delle autorizzazioni e deve essere utilizzato solo per lo sviluppo. - Assicurati che Workload Identity non sia abilitato nel cluster (nella sezione Cluster > Sicurezza).
- Assicurati di utilizzare l'account di servizio predefinito di GKE, ovvero l'account di servizio predefinito di Compute Engine, e che Ambiti di accesso sia impostato su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
- Assegna i ruoli necessari all'account di servizio predefinito di Compute Engine:
- Se stai cercando di accedere a un secret, segui questi passaggi specifici di Secret Manager per configurare i ruoli richiesti nel tuo account di servizio.
- Se viene utilizzato l'account di servizio predefinito di Compute Engine, i ruoli IAM corretti potrebbero essere già applicati.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida ai ruoli.
Per la procedura di concessione dei ruoli, vedi Concessione, modifica e revoca dell'accesso alle risorse.
- Crea un cluster GKE con le seguenti impostazioni:
- (Consigliato per la produzione)
- Configura il cluster e l'applicazione GKE con Workload Identity per autenticare i servizi Google Cloud su GKE. Questa operazione associa l'account di servizio Kubernetes con il tuo account di servizio Google.
- Configura il tuo deployment Kubernetes in modo che faccia riferimento al servizio Kubernetes
account impostando il campo
.spec.serviceAccountNamenel tuo YAML del deployment di Kubernetes.
Se stai lavorando a un'app creata da un Cloud Code, questo file si trova nel kubernetes-manifests. - Se il servizio Google Cloud a cui stai tentando di accedere richiede
ruoli, concedili per l'account di servizio Google che utilizzi per sviluppare
la tua app:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti per il tuo account di servizio.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida Informazioni sui ruoli.
Per la procedura di concessione dei ruoli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Cloud Run
-
Per creare un nuovo account di servizio univoco per il deployment di Cloud Run
nella pagina Account di servizio, seleziona il progetto
in cui è archiviato il tuo secret.
- Fai clic su Crea account di servizio.
- Nella finestra di dialogo Crea account di servizio, inserisci un nome descrittivo per l'account di servizio.
- Modifica l'ID account di servizio impostando un valore univoco e riconoscibile e fai clic su Crea.
- Se il servizio Google Cloud a cui stai tentando di accedere richiede ruoli, concedili, fai clic su Continua e quindi su Fine.
- Per aggiungere l'account di servizio Kubernetes alla configurazione di deployment, vai a Esegui > Modifica configurazioni, quindi specifica l'account di servizio nel campo Nome servizio.
Cloud Run
A seconda dell'ambito del progetto, puoi scegliere come autenticare i servizi Google Cloud su GKE:
- (Solo sviluppo)
- Crea un cluster GKE con le seguenti impostazioni:
- Assicurati di utilizzare l'account di servizio predefinito di GKE, ovvero l'account di servizio predefinito di Compute Engine, e che Ambiti di accesso sia impostato su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
Poiché l'account di servizio Compute Engine è condiviso da tutti i carichi di lavoro di cui è stato eseguito il deployment sul tuo nodo, questo metodo esegue un overprovisioning delle autorizzazioni e deve essere utilizzato solo per lo sviluppo.
- Assicurati che Workload Identity non sia abilitato nel cluster (nella sezione Cluster > Sicurezza).
- Assicurati di utilizzare l'account di servizio predefinito di GKE, ovvero l'account di servizio predefinito di Compute Engine, e che Ambiti di accesso sia impostato su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
- Assegna i ruoli necessari all'account di servizio predefinito di Compute Engine:
- Se stai cercando di accedere a un secret, segui questi passaggi specifici di Secret Manager per configurare i ruoli richiesti nel tuo account di servizio.
- Se viene utilizzato l'account di servizio predefinito di Compute Engine, potrebbero essere già stati applicati ruoli IAM corretti.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida ai ruoli.
Per la procedura di concessione dei ruoli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
- Crea un cluster GKE con le seguenti impostazioni:
- (Consigliato per la produzione)
- Configura il cluster e l'applicazione GKE con Workload Identity per autenticare i servizi Google Cloud su GKE. Questa operazione associa l'account di servizio Kubernetes con il tuo account di servizio Google.
- per aggiungere il tuo account di servizio Kubernetes al deployment:
configurazione, vai a Esegui > Modifica
configurazioni e specificare il servizio Kubernetes
nel campo Nome servizio.
- Se il servizio Google Cloud a cui stai tentando di accedere richiede
ruoli, concedili per l'account di servizio Google che utilizzi per sviluppare
la tua app:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti per il tuo account di servizio.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida Informazioni sui ruoli.
Per la procedura di concessione dei ruoli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Sviluppo remoto con le autorizzazioni di Secret Manager abilitate
Se esegui lo sviluppo in remoto, utilizzando un account di servizio per l'autenticazione e la tua applicazione utilizza i secret, devi completare alcuni passaggi aggiuntivi oltre alle istruzioni per lo sviluppo remoto. Questi passaggi assegnano Account di servizio Google con il ruolo necessario per accedere a un determinato secret di Secret Manager:
Per aprire la finestra dello strumento Secret Manager, vai a Strumenti > Codice Google Cloud > Secret Manager.
Seleziona il secret a cui vuoi accedere nel codice.
Fai clic sulla scheda Autorizzazioni e poi configura le autorizzazioni del segreto facendo clic su Modifica Modifica autorizzazione.
La console Google Cloud si apre in una nuova finestra del browser web e mostra la pagina di configurazione di Secret Manager del segreto.
Nella console Google Cloud, fai clic sulla scheda Autorizzazioni e poi su Concedi accesso.
Nel campo Nuove entità, inserisci il tuo account di servizio.
Nel campo a discesa Seleziona un ruolo, seleziona il Secret di Secret Manager Funzione di accesso.
Al termine, fai clic su Salva.
L'account di servizio dispone dell'autorizzazione per accedere a questo secret.