在 Cloud Code for IntelliJ 中管理 Cloud API 和库

借助 Cloud API，您可以通过自己的代码访问 Google Cloud 产品和服务。这些 Cloud API 提供了一个简单的 JSON REST 接口，您可以通过客户端库调用该接口。

本文介绍如何启用 Cloud API 并将 Cloud 客户端库添加到您的项目中。

浏览 Cloud API

如需浏览您的 IDE 中所有可用的 Google Cloud API，请按照以下步骤操作：

在工具菜单中，选择 Cloud Code > Cloud API。
展开 Google Cloud API 资源管理器树，查看所有可用的 API。该资源管理器按类别对 Cloud API 分组。您还可以使用 Search API 搜索栏查找特定的 API。

点击某个 API 以查看更多详细信息，例如其状态、相应客户端库的特定语言的安装说明以及相关文档。

启用 Cloud API

如需使用 API 详细信息为项目快速启用 Cloud API，请按照以下步骤操作：

在 Cloud API 详细信息视图中，选择要为其启用 Cloud API 的 Google Cloud 项目。
点击启用 API。
启用 API 后，您会看到一条有关这项更改的确认消息。

添加 Cloud 客户端库

如需在 IntelliJ 中向项目添加库，请按照以下步骤操作：

对于 Java Maven 项目

在工具菜单中，选择 Cloud Code > Cloud API。

Add Google Cloud Libraries 对话框会显示支持的库。

显示“管理 Google Cloud API”对话框的屏幕截图。此对话框可让您选择要添加库的模块，显示可供添加的 API 列表，并提供显示每个 API 相关信息的工作区。

从 Google Cloud 客户端库（推荐为大多数项目推荐）或 Java Spring Google Cloud（如果您的项目使用 Java Spring，则推荐使用）中选择您偏好的库类型。
在 Module 下拉菜单中，选择要向其中添加库的模块。

注意：Google Cloud Java 通过将 Google Cloud Java 物料清单 (BOM) 添加到您项目的 pom.xml 文件来解决库之间的版本冲突。

点击 Add Maven Dependency，向您的项目添加物料清单和客户端库。

对于其他所有项目

在工具菜单中，选择 Cloud Code > Cloud API。

Add Google Cloud Libraries 对话框会显示支持的库。

显示“管理 Google Cloud API”对话框的屏幕截图。
此对话框显示可供添加的 API 列表，并提供显示 API 相关信息的工作区。

按照 API 详细信息页面上针对您的首选语言列出的安装说明安装 API。
如果您要开发 Java 应用，还需要指定库偏好设置、Google Cloud 客户端库（推荐）或 Java Spring Google Cloud。

使用 API 示例

如需在 API Explorer 中搜索和使用每个 API 的代码示例，请按以下步骤操作：

在工具菜单中，选择 Cloud Code > Cloud API。
如需打开详细信息视图，请点击 API 的名称。
如需查看该 API 的代码示例，请点击代码示例标签页。
如需过滤示例列表，请输入要搜索的文本，或从 Language 下拉菜单中选择一种编程语言。

设置身份验证

启用所需的 API 并添加必要的客户端库后，您需要对应用进行配置，以便成功通过身份验证。您的配置取决于您的开发类型和运行所在的平台。

完成相关身份验证步骤后，您的应用即可进行身份验证并准备好部署。

本地开发

本地机器

如果您通过 IDE 登录 Google Cloud，Cloud Code 则可确保已设置应用默认凭据 (ADC)。如果您未使用 Cloud Code 登录，请手动运行 gcloud auth application-default login。

minikube

如果您通过 IDE 登录 Google Cloud，Cloud Code 则可确保已设置应用默认凭据 (ADC)。如果您未使用 Cloud Code 登录，请手动运行 gcloud auth application-default login。
使用 minikube start --addons gcp-auth 启动 minikube。此操作会将您的 ADC 装载到 pod 中。如需详细了解 Google Cloud 的 minikube 身份验证指南，请参阅 minikube gcp-auth 文档。

其他本地 K8s 集群

如果您通过 IDE 登录 Google Cloud，Cloud Code 则可确保已设置应用默认凭据 (ADC)。如果您未使用 Cloud Code 登录，请手动运行 gcloud auth application-default login。

通过在 Pod 或部署清单中修改 Pod 规范，在 Kubernetes Pod 中装载本地 gcloud 目录，以便 Google Cloud 客户端库能够找到您的凭据。Kubernetes Pod 配置示例：

apiVersion: v1
kind: Pod
metadata:
  name: my-app
  labels:
    name: my-app
spec:
  containers:
  - name: my-app
    image: gcr.io/google-containers/busybox
    ports:
      - containerPort: 8080
    volumeMounts:
      - mountPath: /root/.config/gcloud
        name: gcloud-volume
  volumes:
    - name: gcloud-volume
      hostPath:
        path: /path/to/home/.config/gcloud

Cloud Run

如果您通过 IDE 登录 Google Cloud，Cloud Code 则可确保已设置应用默认凭据 (ADC)。如果您未使用 Cloud Code 登录，请手动运行 gcloud auth application-default login。

远程开发

Google Kubernetes Engine

根据您的项目范围，您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式：

（仅限开发）
1. 使用以下设置创建 GKE 集群：
  - 确保您使用的是 GKE 默认使用的服务账号、Compute Engine 默认服务账号，并且访问权限范围设置为授予对所有 Cloud API 的完整访问权限（这两种设置均可在节点池 > 安全部分中访问）。
    由于 Compute Engine 服务账号由部署在节点上的所有工作负载共享，因此此方法会过度预配权限，并且应该仅用于开发。
  - 确保集群上未启用 Workload Identity（在集群 > 安全部分中）。
2. 为 Compute Engine 默认服务账号分配必要的角色：
  - 如果您尝试访问密文，请按照以下 Secret Manager 专用步骤为您的服务账号设置所需角色。
  - 如果使用的是 Compute Engine 默认服务账号，则可能应用了正确的 IAM 角色。
  - 如需查看您可以向身份授予的 IAM 角色类型和预定义角色列表，请参阅了解角色指南。
    如需了解授予角色的步骤，请参阅授予、更改和撤消对资源的访问权限。
（建议用于生产用途）
1. 使用 Workload Identity 配置 GKE 集群和应用，以对 GKE 上的 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务账号与您的 Google 服务账号相关联。
2. 通过在 Kubernetes 部署 YAML 文件中设置 .spec.serviceAccountName 字段，配置 Kubernetes 部署以引用 Kubernetes 服务账号。
  如果您使用的是基于 Cloud Code 模板创建的应用，则此文件位于 kubernetes-manifests 文件夹下。
3. 如果您尝试访问的 Google Cloud 服务需要其他角色，请为您用于开发应用的 Google 服务账号授予角色。
  - 如果您尝试访问密文，请按照以下 Secret Manager 专用步骤为您的服务账号设置所需角色。
  - 如需查看您可以向身份授予的 IAM 角色类型和预定义角色列表，请参阅了解角色指南。
    如需了解授予角色的步骤，请参阅授予、更改和撤消对资源的访问权限。

Cloud Run

如需创建用于部署 Cloud Run 应用的新唯一服务账号，请在“服务账号”页面上选择存储密文的项目。
转到“服务账号”页面
点击创建服务帐号。
在创建服务帐号对话框中，为服务帐号输入一个描述性名称。
将服务账号 ID 更改为一个可识别的唯一值，然后点击创建。
如果您尝试访问的 Google Cloud 服务需要其他角色，请授予角色，点击继续，然后点击完成。
如需将 Kubernetes 服务账号添加到部署配置，请导航到 Cloud Run：部署 (Cloud Run: Deploy) 运行配置，展开高级修订版本设置 (Advanced revision settings) 部分，然后在服务账号字段中指定您的服务账号。

Cloud Run

根据您的项目范围，您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式：

（仅限开发）
1. 使用以下设置创建 GKE 集群：
  - 确保您使用的是 GKE 默认使用的服务账号、Compute Engine 默认服务账号，并且访问权限范围设置为授予对所有 Cloud API 的完整访问权限（这两种设置均可在节点池 > 安全部分中访问）。
    由于 Compute Engine 服务账号由部署在节点上的所有工作负载共享，因此此方法会过度预配权限，并且应该仅用于开发。
  - 确保集群上未启用 Workload Identity（在集群 > 安全部分中）。
2. 为 Compute Engine 默认服务账号分配必要的角色：
  - 如果您尝试访问密文，请按照以下 Secret Manager 专用步骤为您的服务账号设置所需角色。
  - 如果使用的是 Compute Engine 默认服务账号，则可能应用了正确的 IAM 角色。
  - 如需查看您可以向身份授予的 IAM 角色类型和预定义角色列表，请参阅了解角色指南。
    如需了解授予角色的步骤，请参阅授予、更改和撤消对资源的访问权限。
（建议用于生产用途）
1. 使用 Workload Identity 配置 GKE 集群和应用，以对 GKE 上的 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务账号与您的 Google 服务账号相关联。
2. 如需将 Kubernetes 服务账号添加到部署配置，请导航至 Cloud Run：部署 (Cloud Run:Deploy) 运行配置，展开高级修订版本设置 (Advanced revision settings) 部分，然后在服务账号字段中指定您的 Kubernetes 服务账号。
3. 如果您尝试访问的 Google Cloud 服务需要其他角色，请为您用于开发应用的 Google 服务账号授予角色。
  - 如果您尝试访问密文，请按照以下 Secret Manager 专用步骤为您的服务账号设置所需角色。
  - 如需查看您可以向身份授予的 IAM 角色类型和预定义角色列表，请参阅了解角色指南。
    如需了解授予角色的步骤，请参阅授予、更改和撤消对资源的访问权限。

已启用 Secret Manager 权限的远程开发

如果您正在进行远程开发并通过使用服务账号进行身份验证，且您的应用使用secrets，则除了远程开发说明以外，您还需要完成一些其他步骤。以下步骤为您的 Google 服务账号授予访问特定 Secret Manager 密文所需的角色：

点击 Cloud Code 右侧边栏中的 Secret Manager 标签页，打开 Secret Manager 面板。
选择您希望在代码中访问的密文。
切换到“权限”标签页，然后点击修改和修改权限来配置密钥的权限。Secret 的 Secret Manager 配置页面将在网络浏览器中打开。
在 Google Cloud 控制台中，点击显示信息面板，然后点击添加主账号。
为您的服务账号分配 Secret Manager Secret Accessor 角色。

您的服务账号有权访问此 Secret。

获取支持

如需在 IntelliJ IDE 中提交反馈或报告问题，请依次前往 Tools > Cloud Code > Help / About > Submit feedback or Report an issue，以便在 GitHub 上报告问题，或者在 Stack Overflow 上提问。