Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Cloud APIs und Cloudbibliotheken verwalten

Für den programmatischen Zugriff auf Google Cloud-Produkte und -Dienste sind Cloud APIs erforderlich. Diese APIs bieten eine einfache JSON-REST-Schnittstelle, die Sie über Clientbibliotheken aufrufen können.

Mit Cloud Code können Sie über Ihre IDE auf diese konsolidierte Liste von Google Cloud-Diensten in Verbindung mit den entsprechenden Clientbibliotheken und Dokumentationen zugreifen, Cloud APIs durchsuchen und aktivieren und Cloud-Clientbibliotheken zu Ihrem Projekt hinzufügen.

Cloud APIs finden

So können Sie sich alle verfügbaren Google Cloud APIs in Ihrer IDE ansehen:

  1. Klicken Sie in der Aktivitätsleiste auf das Symbol "Cloud Code – Cloud APIs" Cloud Code – Cloud APIs-Symbol.
  2. Maximieren Sie den Explorer-Baum der Google Cloud APIs, um alle verfügbaren APIs ansehen zu können. Der Explorer gruppiert Cloud APIs nach Kategorie.
  3. Screenshot von der Liste der Cloud APIs, die im Explorer der Baumansicht angezeigt wird

  4. Klicken Sie auf eine API, um weitere Details wie Dienstname, Status, Installationsanweisungen für die entsprechenden Clientbibliotheken und die entsprechende Dokumentation aufzurufen.

Cloud APIs aktivieren

Gehen Sie so vor, um Cloud APIs für ein Projekt schnell auf der Seite "API-Details" zu aktivieren:

  1. Wählen Sie auf der Detailseite der Cloud API das Projekt aus, für das Sie die Cloud API aktivieren möchten.
  2. Screenshot mit weiteren Details zur ausgewählten Cloud API

  3. Klicken Sie auf API aktivieren.

    Sobald die API aktiviert ist, wird eine Meldung zur Bestätigung dieser Änderung angezeigt.

Clientbibliotheken zu Ihrem Projekt hinzufügen

Sie können mit Cloud Code nicht nur Cloud APIs kennenlernen und aktivieren, sondern auch eine sprachenspezifische Clientbibliothek zu Ihrem Projekt hinzufügen. Diese muss von Ihnen installiert werden; die API-Detailseite enthält Installationsanweisungen für jede der Sprachen.

Screenshot mit Installationsanweisungen für eine Clientbibliothek, die einer Cloud API entspricht

Authentifizierung einrichten

Nachdem Sie die erforderlichen APIs aktiviert und die erforderlichen Clientbibliotheken hinzugefügt haben, müssen Sie Ihre Anwendung für die Authentifizierung konfigurieren. Ihre Konfiguration hängt von Ihrer Art der Entwicklung und der Plattform ab, auf der Sie arbeiten.

Nachdem Sie die erforderlichen Authentifizierungsschritte abgeschlossen haben, kann sich Ihre Anwendung authentifizieren und bereitgestellt werden.

Lokale Entwicklung

Lokaler Rechner

  1. Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
    Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Sie gcloud auth login --update-adc ausführen, um Ihre ADC festzulegen. Außerdem können die Google Cloud-Clientbibliotheken Ihre ADC dann für die Authentifizierung identifizieren.

minikube

  1. Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
    Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Sie gcloud auth login --update-adc ausführen, um Ihre ADC festzulegen. Damit kann minikube Ihre ADC finden, um sich zu authentifizieren.
  2. Starten Sie minikube mit minikube start --addons gcp-auth. Dadurch werden Ihre ADC in Ihren Pods bereitgestellt. Eine detaillierte minikube-Authentifizierungsanleitung für Google Cloud finden Sie in der minikube gcp-auth-Dokumentation.

Andere lokale K8s-Cluster

  1. Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
    Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Sie gcloud auth login --update-adc ausführen, um Ihre ADC festzulegen.
  2. Stellen Sie Ihr lokales ~/.config/gcloud-Verzeichnis in Ihren Kubernetes-Pods bereit, indem Sie die Bereitstellungsmanifeste bearbeiten, damit die Google Cloud-Clientbibliotheken Ihre Anmeldedaten finden können. Sie müssen außerdem Ihre Google Cloud-Projekt-ID als Umgebungsvariable mit dem Namen GOOGLE_CLOUD_PROJECT festlegen. Beispiel für die Konfiguration eines Kubernetes-Pods:
    apiVersion: v1
    kind: Pod
    metadata:
      name: my-app
      labels:
        name: my-app
    spec:
      containers:
      - name: my-app
        image: gcr.io/google-containers/busybox
        ports:
          - containerPort: 8080
        env:
        - name: GOOGLE_CLOUD_PROJECT
          value: my-project-id
        volumeMounts:
          - mountPath: /root/.config/gcloud
            name: gcloud-volume
      volumes:
        - name: gcloud-volume
          hostPath:
            path: /path/to/home/.config/gcloud

Cloud Run

  1. Cloud Code gewährleistet, dass Ihre Standardanmeldedaten für Anwendungen (ADC) festgelegt sind, wenn Sie sich über Ihre IDE bei Google Cloud angemeldet haben.
    Wenn Sie sich außerhalb Ihrer IDE in Google Cloud angemeldet haben (z. B. über das gcloud-Befehlszeilentool), müssen Sie gcloud auth login --update-adc ausführen, um Ihre ADC festzulegen. Dadurch kann auch die lokal ausgeführte Cloud Run-Umgebung Ihre ADC für die Authentifizierung identifizieren.

Remote-Entwicklung

Google Kubernetes Engine

Je nach Umfang Ihres Projekts können Sie auswählen, wie Google Cloud-Dienste auf GKE authentifiziert werden:

  • (Nur Entwicklung)
    1. Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
      • Achten Sie darauf, dass Sie das standardmäßig von GKE verwendete Dienstkonto verwenden, das Compute Engine-Standarddienstkonto und die Zugriffsbereiche auf Uneingeschränkten Zugriff auf Folgendes zulassen: Alle Cloud APIs (beide Einstellungen, die im Abschnitt Knotenpools > Sicherheit zugänglich sind)
        Da das Compute Engine-Dienstkonto von Alle Arbeitslasten, die auf Ihrem Knoten bereitgestellt sind, übersatzt die Berechtigungen und sollte nur für die Entwicklung verwendet werden.
      • Achten Sie darauf, dass Workload Identity auf Ihrem Cluster nicht aktiviert ist. Verwenden Sie hierfür im Cluster Cluster > Sicherheit.
    2. Weisen Sie dem Dienstkonto die erforderlichen Rollen zu:
  • (für die Produktion empfohlen)
    1. GKE-Cluster und -Anwendung mit Workload Identity konfigurieren, um Google Cloud-Dienste in GKE zu authentifizieren Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
    2. Konfigurieren Sie Ihre Kubernetes-Bereitstellung so, dass sie auf das Kubernetes-Dienstkonto verweist. Legen Sie dazu das Feld .spec.serviceAccountName in der YAML-Datei Ihrer Kubernetes-Bereitstellung fest.
      Wenn Sie an einer Anwendung arbeiten, die mit einer Cloud Code-Vorlage erstellt wurde, befindet sich diese Datei im Ordner „kubernetes-manifests“.
    3. Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:

Cloud Run

  1. Um ein neues eindeutiges Dienstkonto für die Bereitstellung Ihrer Cloud Run-Anwendung zu erstellen, rufen Sie die Seite "Dienstkonten" auf und wählen Sie das Projekt aus, in dem Ihr Secret gespeichert ist.

    Zur Seite "Dienstkonten"

  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie in das Dialogfeld Dienstkonto erstellen einen aussagekräftigen Namen für das Dienstkonto ein.
  4. Ändern Sie die Dienstkonto-ID in einen eindeutigen, erkennbaren Wert und klicken Sie dann auf Erstellen.
  5. Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, weisen Sie ihm die Rollen zu, klicken Sie auf Weiter und dann auf Fertig.
  6. So fügen Sie Ihrer Bereitstellungskonfiguration ein Dienstkonto hinzu:
    1. Wählen Sie in der Statusleiste des Cloud Codes den Befehl Cloud Run: Deploy (Cloud Run: Bereitstellen) aus.
    2. Geben Sie in der Benutzeroberfläche der Cloud Run-Bereitstellung unter Revision Settings (Überarbeitungseinstellungen) im Feld Service Account (Dienstkonto) Ihr Dienstkonto an.
    Der Abschnitt Erweiterte Revisionseinstellungen wurde in Cloud Run erweitert: Bereitstellungs- und Dienstkontofeld mit Dienstkontoname ausgefüllt im Format service-account-name@project-name.iam.gserviceaccount.com

Cloud Run

Je nach Umfang Ihres Projekts können Sie auswählen, wie Google Cloud-Dienste auf GKE authentifiziert werden:

  • (Nur Entwicklung)
    1. Erstellen Sie einen GKE-Cluster mit den folgenden Einstellungen:
      • Achten Sie darauf, dass Sie das standardmäßig von GKE verwendete Dienstkonto verwenden, das Compute Engine-Standarddienstkonto und die Zugriffsbereiche auf Uneingeschränkten Zugriff auf Folgendes zulassen: Alle Cloud APIs (beide Einstellungen, die im Abschnitt Knotenpools > Sicherheit zugänglich sind)
        Da das Compute Engine-Dienstkonto von Alle Arbeitslasten, die auf Ihrem Knoten bereitgestellt sind, übersatzt die Berechtigungen und sollte nur für die Entwicklung verwendet werden.
      • Achten Sie darauf, dass Workload Identity auf Ihrem Cluster nicht aktiviert ist. Verwenden Sie hierfür im Cluster Cluster > Sicherheit.
    2. Weisen Sie dem Dienstkonto die erforderlichen Rollen zu:
  • (für die Produktion empfohlen)
    1. GKE-Cluster und -Anwendung mit Workload Identity konfigurieren, um Google Cloud-Dienste in GKE zu authentifizieren Dadurch wird Ihr Kubernetes-Dienstkonto mit Ihrem Google-Dienstkonto verknüpft.
    2. So fügen Sie Ihrer Bereitstellungskonfiguration ein Dienstkonto hinzu:
      1. Wählen Sie in der Statusleiste des Cloud Codes den Befehl Cloud Run: Deploy (Cloud Run: Bereitstellen) aus.
      2. Geben Sie in der Benutzeroberfläche der Cloud Run-Bereitstellung unter Revision Settings (Überarbeitungseinstellungen) im Feld Service Account (Dienstkonto) Ihr Dienstkonto an.
      Der Abschnitt Erweiterte Revisionseinstellungen wurde in Cloud Run erweitert: Bereitstellungs- und Dienstkontofeld mit Kubernetes-Dienstkontoname ausgefüllt im Format service-account-name@project-name.iam.gserviceaccount.com
    3. Wenn der Google Cloud-Dienst, auf den Sie zugreifen möchten, zusätzliche Rollen benötigt, gewähren Sie diese für das Google-Dienstkonto, das Sie zur Entwicklung Ihrer Anwendung verwenden:

Remote-Entwicklung mit aktivierten Secret Manager-Berechtigungen

Wenn Sie aus der Ferne entwickeln, ein Dienstkonto zur Authentifizierung verwenden und Ihre Anwendung Secrets verwendet, müssen Sie zusätzlich zur Anleitung für die Remote-Entwicklung noch ein paar weitere Schritte ausführen. Durch diese Schritte wird Ihrem Google-Dienstkonto die Rolle zugewiesen, die für den Zugriff auf ein bestimmtes Secret Manager-Secret erforderlich ist:

  1. Öffnen Sie die Anzeige „Secret Manager“ Symbol „Secret Manager“ und wählen Sie das Secret aus, auf das Sie im Code zugreifen möchten.

    Secret Manager in Cloud Code mit zwei Secrets

  2. Klicken Sie mit der rechten Maustaste auf das Secret und wählen Sie Berechtigungen in Cloud Console bearbeiten aus. Dadurch wird die Secret Manager-Konfigurationsseite für dieses Secret in Ihrem Webbrowser gestartet.

    Mit der rechten Maustaste im Secret Manager-Steuerfeld angezeigtes Secret

  3. Klicken Sie in der Cloud Console auf Infofeld ansehen und anschließend auf Mitglied hinzufügen.

    Secret-Details, die auf der Seite „Secret“ der Console im Browser aufgeführt sind; Schaltfläche „Mitglied hinzufügen“ im maximierten Infofenster hervorgehoben

  4. Weisen Sie Ihrem Dienstkonto die Rolle Secret Manager Secret Accessor zu.

    Im Feld „Mitglieder zum Test hinzufügen“ wurde ein Dienstkonto im Format „service-account-name@project-name.iam.gservicesaccount.com“ im Feld „Neue Mitglieder“ aufgeführt. Das Drop-down-Menü „Rolle auswählen“ wird so ausgefüllt, dass unter der Kategorie Secret Manager eine Rolle vom Typ „Secret Manager Accessor“ ausgewählt wird.

    Ihr Dienstkonto ist jetzt berechtigt, auf dieses spezielle Secret zuzugreifen.

Support

Wenn Sie uns Feedback geben möchten, können Sie Probleme auf GitHub melden oder eine Frage in Stack Overflow stellen.