管理 Cloud API 和 Cloud 客户端库

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

如需以编程方式访问 Google Cloud 产品和服务,请使用 Cloud API。这些 API 公开了一个简单的 JSON REST 接口。要访问 Cloud API,建议使用 Cloud 客户端库。

通过 Cloud Code,您可以轻松地将您使用的 Cloud API 和语言对应的 Cloud 客户端库添加到项目中。在同一视图中,您可以搜索每个 API 的样本,并轻松将样本添加到您的应用中。

浏览 Cloud API

如需探索所有可用的 Google Cloud API,请按以下步骤操作:

  1. 在“活动”栏中,点击 Cloud Code - Cloud API 图标Cloud Code - Cloud API
  2. 如需查看所有可用 API,请展开 Google Cloud API Explorer 树。资源管理器按类别对 Cloud API 进行分组。
  3. 显示树状视图资源管理器中显示的 Cloud API 列表的屏幕截图。

  4. 如需查看某个 API 的详细信息,请点击该 API 的名称。系统会显示服务名称、状态、客户端库、文档和安装说明等详细信息。

启用 Cloud API

如需使用 API 详细信息页面为项目启用 Cloud API,请按照以下步骤操作:

  1. 在 Cloud API 详细信息页面上,选择要启用 Cloud API 的项目。
  2. 点击启用 API。启用该 API 后,系统会显示一条消息来确认更改。

将客户端库添加到您的项目中

除了使用 Cloud Code 探索和启用 Cloud API 之外,您还可以向项目添加特定语言的客户端库。

如需安装客户端库,请按照适用于您的语言的 API 详细信息页面上的说明进行操作。

使用 API 示例

您可以在 API 浏览器中搜索并使用每个 API 的代码示例。

  1. 点击 Cloud API 图标 Cloud Code - Cloud API
  2. 如需打开详情视图,请点击 API 的名称。
  3. 如需查看 API 的代码示例,请点击代码示例
  4. 如需过滤示例列表,请输入要搜索的文字,或从语言列表中选择一种编程语言。
  5. 如需查看样本,请点击样本名称。您还可以选择将示例复制到剪贴板或查看 GitHub 中的示例。

设置身份验证

启用所需的 API 并添加必要的客户端库后,您需要对应用进行配置,以便成功进行身份验证。您的配置取决于您的开发类型以及您运行的平台。

完成身份验证步骤后,应用就可以进行身份验证并准备就绪,可以进行部署。

本地开发

本地机器

如果您在 IDE 中登录了 Google Cloud,则 Cloud Code 会设置您的应用默认凭据 (ADC),您可以跳过此步骤。如果您在 IDE 之外登录了 Google Cloud(例如,使用 gcloud CLI),请运行 gcloud auth login --update-adc 来设置您的 ADC。这样,Google Cloud 客户端库也可以找到您的 ADC 以进行身份验证。

Minikube

  1. 如果您在 IDE 中登录了 Google Cloud,则 Cloud Code 会设置您的应用默认凭据 (ADC),您可以跳过此步骤。如果您在 IDE 之外登录了 Google Cloud(例如,使用 gcloud CLI),请运行 gcloud auth login --update-adc 来设置您的 ADC。而且,minikube 还可以查找您的 ADC 以进行身份验证。
  2. 通过运行 minikube start --addons gcp-auth 启动 minikube。此命令可在 pod 中装载 ADC。如需详细了解 Google Cloud 中的 minikube 身份验证,请参阅 minikube gcp-auth 文档

其他本地 K8s 集群

  1. 如果您在 IDE 中登录了 Google Cloud,则 Cloud Code 会设置您的应用默认凭据 (ADC),您可以跳过此步骤。如果您在 IDE 之外登录了 Google Cloud(例如,使用 gcloud CLI),请运行 gcloud auth login --update-adc 来设置您的 ADC。
  2. 为了确保 Google Cloud 客户端库可找到您的凭据,请通过修改部署清单在 Kubernetes pod 中装载本地 ~/.config/gcloud 目录。
  3. 将 Google Cloud 项目 ID 设置为名为 GOOGLE_CLOUD_PROJECT 的环境变量。

Kubernetes pod 配置示例:

apiVersion: v1
kind: Pod
metadata:
  name: my-app
  labels:
    name: my-app
spec:
  containers:
  - name: my-app
    image: gcr.io/google-containers/busybox
    ports:
      - containerPort: 8080
    env:
    - name: GOOGLE_CLOUD_PROJECT
      value: my-project-id
    volumeMounts:
      - mountPath: /root/.config/gcloud
        name: gcloud-volume
  volumes:
    - name: gcloud-volume
      hostPath:
        path: /path/to/home/.config/gcloud

Cloud Run

如果您在 IDE 中登录了 Google Cloud,则 Cloud Code 会设置您的应用默认凭据 (ADC),您可以跳过此步骤。如果您在 IDE 之外登录了 Google Cloud(例如,使用 gcloud CLI),请运行 gcloud auth login --update-adc 来设置您的 ADC。这也使得 Cloud Run 本地模拟环境可以查找您的 ADC 以进行身份验证。

远程开发

GKE

根据项目范围,您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式:

  • (仅限开发)
    1. 使用以下设置创建 GKE 集群
      • 确保您使用的是 GKE 默认使用的服务帐号、Compute Engine 默认服务帐号,并且访问权限范围设置为允许所有 Cloud API 的全面访问权限(这两项设置都可以从节点池安全性部分访问)。由于 Compute Engine 服务帐号由节点上部署的所有工作负载共享,因此该方法过度预配权限,因此只能用于开发。
      • 确保未在集群(集群 &gt 安全部分)启用 Workload Identity。
    2. 为服务帐号分配必要的角色:
  • (建议用于生产环境)
    1. 使用 Workload Identity 配置 GKE 集群和应用,以在 GKE 上对 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务帐号与您的 Google 服务帐号关联。
    2. 通过在 Kubernetes Deployment YAML 文件中设置 .spec.serviceAccountName 字段,将 Kubernetes 部署配置为引用 Kubernetes 服务帐号。如果您正在使用从 Cloud Code 示例应用创建的应用,则此文件位于 kubernetes-manifests 文件夹下。
    3. 如果您尝试访问的 Google Cloud 服务需要其他角色,请为您用于开发应用的 Google 服务帐号授予这些角色:

Cloud Run

  1. 如需创建新的唯一服务帐号以用于部署 Cloud Run 应用,请转到“服务帐号”页面,然后选择存储密钥的项目。

    转到“服务帐号”页面

  2. 点击创建服务帐号
  3. 创建服务帐号对话框中,为服务帐号输入描述性名称。
  4. 服务帐号 ID 更改为一个不重复且易于识别的值,然后点击创建
  5. 如果您尝试访问的 Google Cloud 服务需要其他角色,请授予这些角色,点击继续,然后点击完成
  6. 要将服务帐号添加到部署配置,请执行以下操作:
    1. 使用 Cloud Code 状态栏选择 Cloud Run: Deploy 命令。
    2. 在 Cloud Run Deployment 界面的修订版本设置下的服务帐号字段中,指定您的服务帐号。
    Cloud Run 中的“高级修订版本设置”部分已展开:部署和服务帐号字段填充了服务帐号名称格式:service-account-name@project-name.iam.gserviceaccount.com

Cloud Run

根据项目范围,您可以选择在 GKE 上对 Google Cloud 服务进行身份验证的方式:

  • (仅限开发)
    1. 使用以下设置创建 GKE 集群
      • 确保您使用的是 GKE 默认使用的服务帐号、Compute Engine 默认服务帐号,并且访问权限范围设置为允许所有 Cloud API 的全面访问权限(这两项设置均在节点池安全性部分中可供访问)。由于 Compute Engine 服务帐号由节点上部署的所有工作负载共享,因此该方法过度预配权限,因此只能用于开发。
      • 确保未在集群(集群 &gt 安全部分)启用 Workload Identity。
    2. 为服务帐号分配必要的角色:
  • (建议用于生产环境)
    1. 使用 Workload Identity 配置 GKE 集群和应用,以在 GKE 上对 Google Cloud 服务进行身份验证。此操作会将您的 Kubernetes 服务帐号与您的 Google 服务帐号关联。
    2. 要将服务帐号添加到部署配置,请执行以下操作:
      1. 使用 Cloud Code 状态栏选择 Cloud Run: Deploy 命令。
      2. 在 Cloud Run Deployment 界面的修订版本设置下的服务帐号字段中,指定您的服务帐号。
      在 Cloud Run 中部署了“高级修订版本设置”部分:部署了“服务帐号”字段,其中填充了 Kubernetes 服务帐号名称格式“service-account-name@project-name.iam.gserviceaccount.com”
    3. 如果您尝试访问的 Google Cloud 服务需要其他角色,请为您用于开发应用的 Google 服务帐号授予这些角色:

启用了 Secret Manager 权限的远程开发

如果您要使用服务帐号进行身份验证来进行远程开发,并且您的应用使用 Secret,那么除了远程开发说明之外,您还需要完成一些其他步骤。以下步骤为您的 Google 服务帐号授予访问特定 Secret Manager Secret 所需的角色

  1. 打开 Secret Manager 视图 Secret Manager 图标,选择要在代码中访问的 Secret。

    Cloud Code 中的 Secret Manager 已打开,并列出了两个密钥

  2. 右键点击 Secret,选择 Cloud Console 中的修改权限。 此时会在网络浏览器中启动该 Secret 的 Secret Manager 配置页面。

    在 Secret Manager 面板中右键点击 Secret

  3. 在 Cloud Console 中,点击权限,然后点击添加

  4. 新主帐号字段中,输入您的服务帐号的名称。

  5. 选择角色字段中,选择 Secret Manager Secret Accessor 角色。

  6. 点击保存

    您的服务帐号现在有权访问此特定密钥。

获取支持

如需发送反馈,请在 GitHub 上报告问题,或者在 Stack Overflow 上提问。