Puoi accedere ai prodotti e ai servizi Google Cloud dal tuo codice utilizzando le API Cloud. Queste API Cloud espongono una semplice interfaccia REST JSON che puoi chiamare tramite librerie client.
Questo documento descrive come abilitare le API Cloud e aggiungere le librerie client di Cloud al tuo progetto.
Esplora le API Cloud
Per esplorare tutte le API Google Cloud disponibili nel tuo IDE, segui questi passaggi:
Vai a Strumenti > Google Cloud Code > API Cloud.
La finestra Gestisci API Google Cloud raggruppa le API Cloud per categoria. Puoi anche utilizzare la barra di ricerca delle API di ricerca per trovare API specifiche.
Fai clic su un'API per visualizzare ulteriori dettagli, ad esempio lo stato, le istruzioni di installazione specifiche per i linguaggi per le librerie client corrispondenti e la documentazione pertinente.
Abilita Cloud APIs
Per abilitare le API Cloud per un progetto utilizzando i dettagli dell'API, segui questi passaggi:
Nella visualizzazione dei dettagli dell'API Cloud, seleziona un progetto Google Cloud per cui vuoi abilitare l'API Cloud.
Fai clic su Abilita API.
Se l'API è abilitata, viene visualizzato un messaggio per confermare la modifica.
Aggiungi le librerie client di Cloud
Per aggiungere librerie al tuo progetto in IntelliJ, segui questi passaggi:
Per i progetti Maven Java
- Vai a Strumenti > Google Cloud Code > API Cloud.
- Seleziona il tipo di libreria preferito come libreria client di Google Cloud (consigliato per la maggior parte dei progetti) o Java Spring Google Cloud (opzione consigliata se il progetto utilizza Java Spring).
- Segui le altre istruzioni nella Installa libreria client nel tuo IDE, se applicabile.
- Al termine, fai clic su Chiudi.
La sezione Installa libreria client della finestra di dialogo Gestisci API Google Cloud mostra le librerie supportate.
Per tutti gli altri progetti
- Vai a Strumenti > Google Cloud Code > API Cloud.
- Per installare l'API, segui le istruzioni di installazione elencate nella pagina dei dettagli dell'API per la tua lingua preferita.
Se stai sviluppando un'applicazione Java, devi anche specificare la tua preferenza di libreria come libreria client di Google Cloud (opzione consigliata) o Java Spring Google Cloud.
- Al termine, fai clic su Chiudi.
La sezione Installa libreria client della finestra di dialogo Gestisci API Google Cloud mostra le librerie supportate.
Utilizzare esempi di codice API
Per cercare e utilizzare esempi di codice per ogni API in Explorer API, segui questi passaggi:
Vai a Strumenti > Google Cloud Code > API Cloud.
Per aprire la visualizzazione dei dettagli, fai clic sul nome di un'API.
Per visualizzare esempi di codice per l'API, fai clic sulla scheda Esempi di codice.
Per filtrare l'elenco degli esempi, digita il testo da cercare o seleziona una lingua di programmazione dal menu a discesa Lingua.
Configura l'autenticazione
Dopo aver abilitato le API richieste e aggiunto le librerie client necessarie, devi configurare l'applicazione affinché venga autenticata. La configurazione dipende dal tipo di sviluppo e dalla piattaforma su cui viene eseguita.
Una volta completati i passaggi di autenticazione pertinenti, l'applicazione può autenticarsi ed è pronta per il deployment.
Sviluppo locale
Macchina locale
Cloud Code garantisce che le credenziali predefinite dell'applicazione (ADC) siano impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se non accedi con Cloud Code, esegui gcloud
auth application-default login
manualmente.
Minikube
- Cloud Code garantisce che le credenziali predefinite dell'applicazione (ADC) siano impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se non accedi con Cloud Code, esegui
gcloud auth application-default login
manualmente. - Avvia minikube con
minikube start --addons gcp-auth
. In questo modo l'ADC viene montato nei pod. Per una guida dettagliata all'autenticazione di minikube per Google Cloud, consulta la documentazione di minikube gcp-auth.
Altri cluster K8s locali
- Cloud Code garantisce che le credenziali predefinite dell'applicazione (ADC) siano impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se non accedi con Cloud Code, esegui
gcloud auth application-default login
manualmente. - Monta la directory
gcloud
locale nei tuoi pod Kubernetes modificando la specifica del pod nei manifest del pod o del deployment, in modo che le librerie client di Google Cloud possano trovare le tue credenziali. Esempio di configurazione di pod Kubernetes:apiVersion: v1 kind: Pod metadata: name: my-app labels: name: my-app spec: containers: - name: my-app image: gcr.io/google-containers/busybox ports: - containerPort: 8080 volumeMounts: - mountPath: /root/.config/gcloud name: gcloud-volume volumes: - name: gcloud-volume hostPath: path: /path/to/home/.config/gcloud
Cloud Run
Cloud Code garantisce che le credenziali predefinite dell'applicazione (ADC) siano impostate se hai eseguito l'accesso a Google Cloud tramite il tuo IDE. Se non accedi con Cloud Code, esegui gcloud
auth application-default login
manualmente.
Sviluppo remoto
Google Kubernetes Engine
A seconda dell'ambito del progetto, puoi scegliere la modalità di autenticazione dei servizi Google Cloud su GKE:
- (Solo sviluppo)
- Crea un cluster GKE con le seguenti impostazioni:
- Assicurati di utilizzare l'account di servizio utilizzato da GKE per impostazione predefinita, l'account di servizio predefinito di Compute Engine e che gli Ambiti di accesso siano impostati su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
Poiché l'account di servizio Compute Engine è condiviso da tutti i carichi di lavoro di cui è stato eseguito il deployment sul nodo, questo metodo esegue l'overprovisioning delle autorizzazioni e deve essere utilizzato solo per lo sviluppo. - Assicurati che Workload Identity non sia abilitato nel tuo cluster (nella sezione Cluster > Sicurezza).
- Assicurati di utilizzare l'account di servizio utilizzato da GKE per impostazione predefinita, l'account di servizio predefinito di Compute Engine e che gli Ambiti di accesso siano impostati su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
- Assegna i ruoli necessari all'account di servizio predefinito di Compute Engine:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti nell'account di servizio.
- Se viene utilizzato l'account di servizio predefinito di Compute Engine, potrebbero essere già stati applicati i ruoli IAM corretti.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida alla comprensione dei ruoli.
Per la procedura di concessione dei ruoli, vedi Concessione, modifica e revoca dell'accesso alle risorse.
- Crea un cluster GKE con le seguenti impostazioni:
- (Consigliata per la produzione)
- Configura il tuo cluster e la tua applicazione GKE con Workload Identity per autenticare i servizi Google Cloud su GKE. In questo modo il tuo account di servizio Kubernetes verrà associato all'account di servizio Google.
- Configura il tuo deployment Kubernetes in modo che faccia riferimento all'account di servizio Kubernetes impostando il campo
.spec.serviceAccountName
nel file YAML del deployment di Kubernetes.
Se stai lavorando su un'app creata da un modello Cloud Code, questo file si trova nella cartella kubernetes-manifests. - Se il servizio Google Cloud a cui stai tentando di accedere richiede ruoli aggiuntivi, concedili per l'account di servizio Google che stai utilizzando per sviluppare la tua app:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti nell'account di servizio.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida alla comprensione dei ruoli.
Per la procedura di concessione dei ruoli, vedi Concessione, modifica e revoca dell'accesso alle risorse.
Cloud Run
-
Per creare un nuovo account di servizio univoco per il deployment della tua applicazione Cloud Run, seleziona il progetto in cui è archiviato il tuo secret nella pagina Account di servizio.
- Fai clic su Crea account di servizio.
- Nella finestra di dialogo Crea account di servizio, inserisci un nome descrittivo per l'account di servizio.
- Modifica l'ID account di servizio in un valore univoco e riconoscibile, quindi fai clic su Crea.
- Se il servizio Google Cloud a cui stai tentando di accedere richiede ulteriori ruoli, concedili, fai clic su Continua e poi su Fine.
- Per aggiungere il tuo account di servizio Kubernetes alla configurazione del deployment, vai a Esegui > Modifica configurazioni e specifica il tuo account di servizio nel campo Nome servizio.
Cloud Run
A seconda dell'ambito del progetto, puoi scegliere la modalità di autenticazione dei servizi Google Cloud su GKE:
- (Solo sviluppo)
- Crea un cluster GKE con le seguenti impostazioni:
- Assicurati di utilizzare l'account di servizio utilizzato da GKE per impostazione predefinita, l'account di servizio predefinito di Compute Engine e che gli Ambiti di accesso siano impostati su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
Poiché l'account di servizio Compute Engine è condiviso da tutti i carichi di lavoro di cui è stato eseguito il deployment sul nodo, questo metodo esegue l'overprovisioning delle autorizzazioni e deve essere utilizzato solo per lo sviluppo.
- Assicurati che Workload Identity non sia abilitato nel tuo cluster (nella sezione Cluster > Sicurezza).
- Assicurati di utilizzare l'account di servizio utilizzato da GKE per impostazione predefinita, l'account di servizio predefinito di Compute Engine e che gli Ambiti di accesso siano impostati su Consenti l'accesso completo a tutte le API Cloud (entrambe le impostazioni sono accessibili nella sezione Pool di nodi > Sicurezza).
- Assegna i ruoli necessari all'account di servizio predefinito di Compute Engine:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti nell'account di servizio.
- Se viene utilizzato l'account di servizio predefinito di Compute Engine, potrebbero essere già stati applicati i ruoli IAM corretti.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida alla comprensione dei ruoli.
Per la procedura di concessione dei ruoli, vedi Concessione, modifica e revoca dell'accesso alle risorse.
- Crea un cluster GKE con le seguenti impostazioni:
- (Consigliata per la produzione)
- Configura il tuo cluster e la tua applicazione GKE con Workload Identity per autenticare i servizi Google Cloud su GKE. In questo modo il tuo account di servizio Kubernetes verrà associato all'account di servizio Google.
- Per aggiungere il tuo account di servizio Kubernetes alla configurazione del deployment, vai a Esegui > Modifica configurazioni, quindi specifica il tuo account di servizio Kubernetes nel campo Nome servizio.
- Se il servizio Google Cloud a cui stai tentando di accedere richiede ruoli aggiuntivi, concedili per l'account di servizio Google che stai utilizzando per sviluppare la tua app:
- Se stai tentando di accedere a un secret, segui questi passaggi specifici per Secret Manager per configurare i ruoli richiesti nell'account di servizio.
Per un elenco dei tipi di ruoli IAM e dei ruoli predefiniti che puoi concedere alle identità, consulta la guida alla comprensione dei ruoli.
Per la procedura di concessione dei ruoli, vedi Concessione, modifica e revoca dell'accesso alle risorse.
Sviluppo remoto con autorizzazioni di Secret Manager abilitate
Se stai sviluppando in remoto, utilizzando un account di servizio per l'autenticazione e la tua applicazione utilizza i secrets, devi completare alcuni passaggi aggiuntivi oltre alle istruzioni per lo sviluppo da remoto. Questi passaggi assegnano al tuo account di servizio Google il ruolo necessario per accedere a un determinato secret di Secret Manager:
Per aprire la finestra dello strumento Secret Manager, vai a Strumenti > Google Cloud Code > Secret Manager.
Seleziona il secret a cui vuoi accedere nel tuo codice.
Fai clic sulla scheda Autorizzazioni, quindi configura le autorizzazioni del secret facendo clic su Modifica Modifica autorizzazione.
La console Google Cloud si apre in una nuova finestra del browser web che mostra la pagina di configurazione di Secret Manager del tuo secret.
Nella console Google Cloud, fai clic sulla scheda Autorizzazioni, quindi su Concedi l'accesso.
Nel campo Nuove entità, inserisci il tuo account di servizio.
Nel campo a discesa Seleziona un ruolo, seleziona il ruolo Accessore ai secret di Secret Manager.
Al termine, fai clic su Salva.
Il tuo account di servizio dispone dell'autorizzazione per accedere a questo secret.