管理 Cloud API 和库

借助 Cloud API,您可以通过自己的代码访问 Google Cloud 产品和服务。这些 Cloud API 提供了一个简单的 JSON REST 接口,您可以通过客户端库调用该接口。

本文介绍如何启用 Cloud API 并将 Cloud 客户端库添加到您的项目中。

浏览 Cloud API

如需浏览您的 IDE 中可用的所有 Google Cloud API,请按照以下步骤操作:

  1. 选择 Tools > Cloud Code > Add Cloud Libraries and Manage Cloud APIs
  2. 展开 Google Cloud API 资源管理器树,查看所有可用的 API。 该资源管理器按类别对 Cloud API 分组。 您还可以使用 Search API 搜索栏查找特定 API。
  3. 显示资源管理器树中所示 Cloud API 列表的屏幕截图。
  4. 点击某个 API 以查看更多详细信息,例如其状态、相应客户端库的特定语言的安装说明以及相关文档。

启用 Cloud API

此外,您还可以使用 API 详细信息页面为项目快速启用 Cloud API。为此,请执行以下操作:

  1. 在 Cloud API 详细信息视图中,选择要为其启用 Cloud API 的 Google Cloud 项目。
  2. 点击 Enable API 按钮。

    启用 API 后,您会看到一条有关这项更改的确认消息。

添加 Cloud 客户端库

如需在 IntelliJ 中向项目添加库,请执行以下操作:

对于 Java Maven 项目

  1. 选择 Tools > Cloud Code > Add Cloud libraries and Manage Cloud APIs
  2. Add Google Cloud Libraries 对话框会显示支持的库。

    显示“Add Cloud Libraries”对话框的屏幕截图。此对话框提供一个用于选择要添加库的模块的下拉菜单,显示可供添加的 API 列表,并提供显示 API 相关信息的工作区。
  3. 选择偏好的库类型:Google Cloud 客户端库(推荐)或 Java Spring GCP 库。
  4. Module 下拉菜单中,选择要向其中添加库的模块。
  5. 点击 Add Maven Dependency,向您的项目添加物料清单和客户端库。

对于其他所有项目

  1. 选择 Tools > Cloud Code > Add Cloud Libraries and Manage Cloud APIs
  2. Add Google Cloud Libraries 对话框会显示支持的库。

    显示“Add Cloud Libraries”对话框的屏幕截图。此对话框显示可供添加的 API 列表,并提供显示 API 相关信息的工作区。
  3. 按照 API 详细信息页面上针对您的首选语言列出的安装说明安装 API。

设置身份验证

启用所需的 API 并添加必要的客户端库后,您需要对应用进行配置,以便成功通过身份验证。您的配置取决于您的开发类型和运行所在的平台。

完成相关身份验证步骤后,您的应用即可进行身份验证并准备好部署。

本地开发

本地机器

  1. 如果您通过 IDE 登录到 Google Cloud,则 Cloud Code 可确保您已设置应用默认凭据 (ADC)。
    如果您是在 IDE 之外登录到 Google Cloud(例如,通过 gcloud 命令行工具登录),则需要运行 gcloud auth login --update-adc 来设置您的 ADC。这样,Google Cloud 客户端库也能找到您的 ADC 以进行身份验证。

minikube

  1. 如果您通过 IDE 登录到 Google Cloud,则 Cloud Code 可确保您已设置应用默认凭据 (ADC)。
    如果您是在 IDE 之外登录到 Google Cloud(例如,通过 gcloud 命令行工具登录),则需要运行 gcloud auth login --update-adc 来设置您的 ADC。这样,minikube 就能找到您的 ADC 以进行身份验证。
  2. 使用 minikube start --addons gcp-auth 启动 minikube。此操作会将您的 ADC 装载到 pod 中。如需详细了解 Google Cloud 的 minikube 身份验证指南,请参阅 minikube gcp-auth 文档

其他本地 K8s 集群

  1. 如果您通过 IDE 登录到 Google Cloud,则 Cloud Code 可确保您已设置应用默认凭据 (ADC)。
    如果您是在 IDE 之外登录到 Google Cloud(例如,通过 gcloud 命令行工具登录),则需要运行 gcloud auth login --update-adc 来设置您的 ADC。
  2. 通过在 Pod 或部署清单中修改 Pod 规范,在 Kubernetes Pod 中装载本地 gcloud 目录,以便 Google Cloud 客户端库能够找到您的凭据。Kubernetes pod 配置示例:
    apiVersion: v1
    kind: Pod
    metadata:
      name: my-app
      labels:
        name: my-app
    spec:
      containers:
      - name: my-app
        image: gcr.io/google-containers/busybox
        ports:
          - containerPort: 8080
        volumeMounts:
          - mountPath: /root/.config/gcloud
            name: gcloud-volume
      volumes:
        - name: gcloud-volume
          hostPath:
            path: /path/to/home/.config/gcloud

Cloud Run

  1. 如果您通过 IDE 登录到 Google Cloud,则 Cloud Code 可确保您已设置应用默认凭据 (ADC)。
    如果您是在 IDE 之外登录到 Google Cloud(例如,通过 gcloud 命令行工具登录),则需要运行 gcloud auth login --update-adc 来设置您的 ADC。这样,Cloud Run 本地模拟环境也能找到您的 ADC 以进行身份验证。

远程开发

Google Kubernetes Engine

根据您的项目范围,您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式:

  • (仅限开发)
    1. 使用以下设置创建 GKE 集群
      • 确保您使用的是 GKE 默认使用的服务帐号、Compute Engine 默认服务帐号,并且访问权限范围设成允许全面访问所有 Cloud API(这两种设置均可在节点池 > 安全部分中访问)。
        由于 Compute Engine 服务帐号由部署在节点上的所有工作负载共享,因此此方法会过度预配权限,而应该仅用于开发。
      • 确保集群上未启用 Workload Identity(在集群 > 安全部分中)。
    2. 为 Compute Engine 默认服务帐号分配必要的角色:
      • 如果您尝试访问密文,请按照以下 Secret Manager 专用步骤为您的服务帐号设置所需角色。
      • 如果使用的是 Compute Engine 默认服务帐号,则可能应用了正确的 IAM 角色。
      • 了解角色指南介绍了 IAM 角色类型并列出您可以授予身份的可用预定义角色。
  • (建议用于生产用途)
    1. 使用 Workload Identity 配置 GKE 集群和应用,以对 GKE 上的 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务帐号与您的 Google 服务帐号相关联。
    2. 通过在 Kubernetes 部署 YAML 文件中设置 .spec.serviceAccountName 字段,配置 Kubernetes 部署以引用 Kubernetes 服务帐号。
      如果您使用的是基于 Cloud Code 模板创建的应用,则此文件位于 kubernetes-manifests 文件夹下。
    3. 如果您尝试访问的 Google Cloud 服务需要其他角色,请为您用于开发应用的 Google 服务帐号授予角色。

Cloud Run

  1. 通过“服务帐号”页面创建新的唯一服务帐号,以便部署 Cloud Run 应用。请务必选择您的密文储存所在的项目。
    转到“服务帐号”页面
  2. 如果您尝试访问的 Google Cloud 服务需要其他角色,请为您用于开发应用的 Google 服务帐号授予角色。
    了解角色指南介绍了 IAM 角色类型并列出您可以授予身份的可用预定义角色。
  3. 将您的服务帐号添加到部署配置中。为此,请导航到 Cloud Run:部署运行配置,展开“高级修订版本设置”部分,然后在服务帐号字段中填写您的“服务帐号”。
    “Cloud Run:部署”中展开了“高级修订版本设置”部分,并且“服务帐号”字段中已填写服务帐号名称(格式为 service-account-name@project-name.iam.gserviceaccount.com)

Cloud Run

根据您的项目范围,您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式:

  • (仅限开发)
    1. 使用以下设置创建 GKE 集群
      • 确保您使用的是 GKE 默认使用的服务帐号、Compute Engine 默认服务帐号,并且访问权限范围设成允许全面访问所有 Cloud API(这两种设置均可在节点池 > 安全部分中访问)。
        由于 Compute Engine 服务帐号由部署在节点上的所有工作负载共享,因此此方法会过度预配权限,而应该仅用于开发。
      • 确保集群上未启用 Workload Identity(在集群 > 安全部分中)。
    2. 为 Compute Engine 默认服务帐号分配必要的角色:
      • 如果您尝试访问密文,请按照以下 Secret Manager 专用步骤为您的服务帐号设置所需角色。
      • 如果使用的是 Compute Engine 默认服务帐号,则可能应用了正确的 IAM 角色。
      • 了解角色指南介绍了 IAM 角色类型并列出您可以授予身份的可用预定义角色。
  • (建议用于生产用途)
    1. 使用 Workload Identity 配置 GKE 集群和应用,以对 GKE 上的 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务帐号与您的 Google 服务帐号相关联。
    2. 将您的 Kubernetes 服务帐号添加到部署配置中。为此,请导航到 Cloud Run:部署运行配置,展开“高级修订版本设置”部分,然后在服务帐号字段中填写您的“Kubernetes 服务帐号”。
      “Cloud Run:部署”中展开了“高级修订版本设置”部分,并且“服务帐号”字段中已填写 Kubernetes 服务帐号名称
    3. 如果您尝试访问的 Google Cloud 服务需要其他角色,请为您用于开发应用的 Google 服务帐号授予角色。

已启用 Secret Manager 权限的远程开发

如果您正在进行远程开发并通过使用服务帐号进行身份验证,且您的应用使用密文,则除了 远程开发说明以外,您还需要完成一些其他步骤。以下步骤为您的 Google 服务帐号授予访问特定 Secret Manager 密文所需的角色

  1. 打开 Secret Manager 面板,并选择您要在代码中访问的密文。

    切换到“权限”标签页,然后使用修改权限铅笔图标配置密文的权限。点击铅笔图标会在网络浏览器中启动该密文对应的 Secret Manager 配置页面。

    在 Secret Manager 中选择了“权限”标签页且突出显示了“修改权限”图标

  2. 在 Cloud Console 的“信息面板”中,选择添加成员

    浏览器中的 Console Secret 页面中列出了密文详情;在展开的“信息面板”中突出显示了“添加成员”按钮

  3. 为您的服务帐号分配 Secret Manager Secret Accessor 角色。

    在“向测试面板添加成员”中,“新成员”字段中列出了格式为 service-account-name@project-name.iam.gservicesaccount.com 的服务帐号,并且填写了“选择角色”下拉列表以便在 Secret Manager 类别下选择类型为“Secret Manager Accessor”的角色

    您的服务帐号现在有权访问此特定密文。

获取支持

如需发送反馈,请在 GitHub 上报告问题,或者在 Stack Overflow 上提问。