Mithilfe von Cloud APIs können Sie direkt aus Ihrem Code auf Google Cloud-Produkte und -Dienste zugreifen. Diese Cloud APIs bieten eine einfache JSON-REST-Schnittstelle, die Sie über Clientbibliotheken aufrufen können.
In diesem Dokument wird beschrieben, wie Sie Cloud APIs aktivieren und Cloud-Clientbibliotheken zu Ihrem Projekt hinzufügen.
Nach Cloud APIs suchen
Um alle verfügbaren Google Cloud APIs in Ihrer IDE kennenzulernen, gehen Sie so vor: Schritte:
Gehen Sie zu Tools > Google Cloud Code > Cloud APIs:
Im Fenster Google Cloud APIs verwalten sind die Cloud APIs nach Kategorie gruppiert. Ich Sie können auch die Suchleiste der Search APIs verwenden, um bestimmte APIs zu finden.
Klicken Sie auf eine API, um weitere Details wie den Status, sprachspezifische Installationsanleitungen für die entsprechenden Client-Bibliotheken und relevante Dokumentation.
Cloud APIs aktivieren
So aktivieren Sie Cloud APIs für ein Projekt mithilfe der API-Details:
Wählen Sie in der Detailansicht der Cloud API ein Google Cloud-Projekt aus, das für die Sie die Cloud API aktivieren möchten.
Klicken Sie auf API aktivieren.
Wenn die API aktiviert ist, wird eine Meldung zur Bestätigung der Änderung angezeigt.
Cloud-Clientbibliotheken hinzufügen
So fügen Sie Bibliotheken zu Ihrem Projekt in IntelliJ hinzu:
Für Java Maven-Projekte
- Gehen Sie zu Tools > Google Cloud Code > Cloud APIs:
- Wähle den gewünschten Bibliothekstyp aus: Google Cloud-Clientbibliothek (für die meisten Projekte empfohlen) oder Java Spring Google Cloud (empfohlen, wenn Ihr Projekt Java Spring).
- Befolgen Sie den Rest der Anweisungen im Abschnitt Client installieren Bibliothek in Ihrer IDE an, falls zutreffend.
- Wenn Sie fertig sind, klicken Sie auf Schließen.
Im Abschnitt Clientbibliothek installieren im Artikel Google-Konto verwalten Cloud APIs zeigt die unterstützten Bibliotheken an.
Für alle anderen Projekte
- Klicken Sie auf Tools > Google Cloud Code > Cloud APIs.
- Um die API zu installieren, folgen Sie der Installationsanleitung auf
die API-Detailseite für Ihre bevorzugte Sprache.
Wenn Sie eine Java-Anwendung entwickeln, um auch Ihre Bibliothekseinstellung als Google Cloud-Client Bibliothek (empfohlen) oder Java Spring Google Cloud.
- Wenn Sie fertig sind, klicken Sie auf Schließen.
Im Bereich Clientbibliothek installieren des Dialogfelds Google Cloud APIs verwalten werden die unterstützten Bibliotheken angezeigt.
API-Codebeispiele verwenden
Folgen Sie der Anleitung, um im API Explorer für jede API nach Codebeispielen zu suchen und diese zu verwenden: diese Schritte:
Gehen Sie zu Tools > Google Cloud Code > Cloud APIs:
Klicken Sie zum Öffnen der Detailansicht auf den Namen einer API.
Klicken Sie auf den Tab Codebeispiele, um Codebeispiele für die API aufzurufen.
Um die Liste der Beispiele zu filtern, geben Sie Text ein, nach dem gesucht werden soll, oder wählen Sie einen Programmiersprache aus dem Drop-down-Menü Sprache aus.
Authentifizierung einrichten
Nachdem Sie die erforderlichen APIs aktiviert und die erforderlichen Clientbibliotheken hinzugefügt haben, müssen Sie Ihre Anwendung für die Authentifizierung konfigurieren. Ihre Konfiguration hängt von Ihrer Art der Entwicklung und der Plattform ab, auf der Sie arbeiten.
Nachdem Sie die erforderlichen Authentifizierungsschritte abgeschlossen haben, kann sich Ihre Anwendung authentifizieren und bereitgestellt werden.
Lokale Entwicklung
Lokaler Rechner
Cloud Code sorgt dafür, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben. Wenn
Sie sich nicht mit Cloud Code anmelden, führen Sie gcloud
auth application-default login manuell aus.
minikube
- Cloud Code stellt sicher, dass Sie Ihre Standardanwendung haben
Anmeldedaten (ADC), die festgelegt werden, wenn Sie sich über Ihre IDE in Google Cloud angemeldet haben. Wenn
Sie sich nicht mit Cloud Code anmelden, führen Sie
gcloud auth application-default loginmanuell aus. - Starten Sie minikube mit
minikube start --addons gcp-auth. Dadurch werden Ihre ADC in Ihren Pods bereitgestellt. Eine detaillierte minikube-Authentifizierungsanleitung für Google Cloud finden Sie in der minikube gcp-auth-Dokumentation.
Andere lokale K8s-Cluster
- Cloud Code stellt sicher, dass Sie Ihre Standardanwendung haben
Anmeldedaten (ADC), die festgelegt werden, wenn Sie sich über Ihre IDE in Google Cloud angemeldet haben. Wenn
Sie sich nicht mit Cloud Code anmelden, führen Sie
gcloud auth application-default loginmanuell aus. - Stellen Sie das lokale Verzeichnis
gcloudin Ihren Kubernetes-Pods bereit. Bearbeiten Sie dazu die Pod-Spezifikation in den Pod- oder Deployment-Manifesten, damit die Google Cloud-Clientbibliotheken Ihre Anmeldedaten finden können. Beispiel für eine Kubernetes-Pod-Konfiguration:apiVersion: v1 kind: Pod metadata: name: my-app labels: name: my-app spec: containers: - name: my-app image: gcr.io/google-containers/busybox ports: - containerPort: 8080 volumeMounts: - mountPath: /root/.config/gcloud name: gcloud-volume volumes: - name: gcloud-volume hostPath: path: /path/to/home/.config/gcloud
Cloud Run
Cloud Code stellt sicher, dass Sie Ihre Standardanwendung haben
Anmeldedaten (ADC), die festgelegt werden, wenn Sie sich über Ihre IDE in Google Cloud angemeldet haben. Wenn Sie sich nicht mit Cloud Code anmelden, führen Sie gcloud
auth application-default login manuell aus.
Remote-Entwicklung
Google Kubernetes Engine
Je nach Umfang Ihres Projekts können Sie wählen, authentifizieren Sie Google Cloud-Dienste in GKE:
- (Nur Entwicklung)
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
Da das Compute Engine-Dienstkonto von allen auf Ihrem Knoten bereitgestellten Arbeitslasten gemeinsam genutzt wird, überdimensioniert diese Methode die Berechtigungen und sollte nur für die Entwicklung verwendet werden. - Achten Sie darauf, dass Workload Identity in Ihrem Cluster nicht aktiviert ist. Dies geschieht unter Cluster > Sicherheit.
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
- Weisen Sie dem Compute Engine-Standarddienstkonto die erforderlichen Rollen zu:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- Wenn das Compute Engine-Standarddienstkonto verwendet wird, werden möglicherweise bereits die richtigen IAM-Rollen angewendet.
Eine Liste der IAM-Rollentypen und vordefinierten Rollen, die Sie Identitäten zuweisen können, finden Sie in der Anleitung zu Rollen.
Die Schritte zum Zuweisen der Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- (für die Produktion empfohlen)
- Konfigurieren Sie Ihren GKE-Cluster und Ihre Anwendung mit Workload Identity, um Google Cloud-Dienste in GKE zu authentifizieren. Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
- Konfigurieren Sie Ihre Kubernetes-Bereitstellung so, dass sie auf das Kubernetes-Dienstkonto verweist. Legen Sie dazu das Feld
.spec.serviceAccountNamein der YAML-Datei Ihrer Kubernetes-Bereitstellung fest.
Wenn Sie an einer Anwendung arbeiten, die mit einer Cloud Code-Vorlage erstellt wurde, befindet sich diese Datei im Ordner „kubernetes-manifests“. - Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
Eine Liste der IAM-Rollentypen und vordefinierten Rollen, die Sie Identitäten zuweisen können, finden Sie in der Anleitung zu Rollen.
Die Schritte zum Zuweisen der Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Cloud Run
-
Wenn Sie ein neues eindeutiges Dienstkonto für die Bereitstellung Ihrer Cloud Run-Anwendung erstellen möchten, wählen Sie auf der Seite "Dienstkonten" das Projekt aus, in dem Ihr Secret gespeichert ist.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie in das Dialogfeld Dienstkonto erstellen einen aussagekräftigen Namen für das Dienstkonto ein.
- Ändern Sie die Dienstkonto-ID in einen eindeutigen, erkennbaren Wert und klicken Sie dann auf Erstellen.
- Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese. Klicken Sie auf Weiter und dann auf Fertig.
- Wenn Sie Ihrer Bereitstellungskonfiguration Ihr Kubernetes-Dienstkonto hinzufügen möchten, gehen Sie zu Ausführen > Konfigurationen bearbeiten und geben Sie Ihr Dienstkonto im Feld Dienstname an.
Cloud Run
Je nach Umfang Ihres Projekts können Sie wählen, authentifizieren Sie Google Cloud-Dienste in GKE:
- (Nur Entwicklung)
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
Da das Compute Engine-Dienstkonto von allen auf Ihrem Knoten bereitgestellten Arbeitslasten gemeinsam genutzt wird, überdimensioniert diese Methode die Berechtigungen und sollte nur für die Entwicklung verwendet werden. - Achten Sie darauf, dass Workload Identity in Ihrem Cluster nicht aktiviert ist. Dies geschieht unter Cluster > Sicherheit.
- Achten Sie darauf, dass Sie das Dienstkonto verwenden, das GKE standardmäßig verwendet, das Compute Engine-Standarddienstkonto, und dass für Zugriffsbereiche die Einstellung Uneingeschränkten Zugriff auf alle Cloud APIs erlauben (beide Einstellungen im Abschnitt Knotenpools > Sicherheit verfügbar) eingestellt ist.
- Weisen Sie dem Compute Engine-Standarddienstkonto die erforderlichen Rollen zu:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
- Wenn das Compute Engine-Standarddienstkonto verwendet wird, werden möglicherweise bereits die richtigen IAM-Rollen angewendet.
Eine Liste der IAM-Rollentypen und vordefinierten Rollen, die Sie Identitäten zuweisen können, finden Sie in der Anleitung zu Rollen.
Die Schritte zum Zuweisen der Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
- (für die Produktion empfohlen)
- Konfigurieren Sie Ihren GKE-Cluster und Ihre Anwendung mit Workload Identity, um Google Cloud-Dienste in GKE zu authentifizieren. Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
- So fügen Sie der Bereitstellung Ihr Kubernetes-Dienstkonto hinzu:
wählen Sie Ausführen > Bearbeiten .
Konfigurationen und geben Sie dann Ihren Kubernetes-Dienst an.
Konto im Feld Dienstname ein.
- Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:
- Wenn Sie auf ein Secret zugreifen möchten, folgen Sie den Schritten für Secret Manager, um die erforderlichen Rollen für Ihr Dienstkonto einzurichten.
Eine Liste der IAM-Rollentypen und vordefinierten Rollen, die Sie Identitäten zuweisen können, finden Sie in der Anleitung zu Rollen.
Die Schritte zum Zuweisen der Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Remote-Entwicklung mit aktivierten Secret Manager-Berechtigungen
Wenn Sie aus der Ferne entwickeln, ein Dienstkonto zur Authentifizierung verwenden und Ihre Anwendung Secrets verwendet, müssen Sie zusätzlich zur Anleitung für die Remote-Entwicklung noch ein paar weitere Schritte ausführen. Durch diese Schritte wird Ihrem Google-Dienstkonto die Rolle zugewiesen, die für den Zugriff auf ein bestimmtes Secret Manager-Secret erforderlich ist:
Gehen Sie zu Tools, um das Secret Manager-Tool zu öffnen. > Google Cloud Code > Secret Manager.
Wählen Sie das Secret aus, auf das Sie im Code zugreifen möchten.
Klicken Sie auf den Tab Berechtigungen und konfigurieren Sie dann die Berechtigungen Ihres Secrets, indem Sie auf Bearbeiten Berechtigung bearbeiten klicken.
Die Google Cloud Console wird in einem neuen Fenster im Webbrowser geöffnet. die Secret Manager-Konfigurationsseite Ihres Secrets.
Klicken Sie in der Google Cloud Console auf den Tab Berechtigungen und dann auf Zugriff gewähren.
Geben Sie im Feld Neue Hauptkonten Ihr Dienstkonto ein.
Wählen Sie im Drop-down-Feld Rolle auswählen das Secret Manager-Secret aus Accessor-Rolle.
Klicken Sie abschließend auf Speichern.
Ihr Dienstkonto hat die Berechtigung, auf dieses Secret zuzugreifen.