使用入门:App Engine 标准环境中使用 ESPv2 的 Endpoints

本页面介绍了如何为 App Engine 设置 Cloud Endpoints。Endpoints 使用 Extensible Service Proxy V2 Beta 版(ESPv2 Beta 版)作为 API 网关。如需为 App Engine 提供 API 管理功能,请将预构建的 ESPv2 Beta 版容器部署到 Cloud Run。然后,您可以使用 Identity Aware Proxy (IAP) 保护应用,以便 ESPv2 Beta 版可以调用它们。

通过此设置,ESPv2 Beta 版会拦截发送给您的应用的所有请求,并在调用应用之前执行所有必要检查(例如身份验证)。在应用作出响应时,ESPv2 Beta 版会收集并报告遥测数据。您可以在 Google Cloud Console 中的 Endpoints > 服务页面上查看应用的指标。

如需大致了解 Cloud Endpoints,请参阅关于 EndpointsEndpoints 架构

迁移到 ESPv2 Beta 版

以前版本的 Cloud Endpoints 支持在 Cloud Run 中使用 Extensible Service Proxy(ESP)。 如果您有要迁移到 ESPv2 Beta 版的现有 API,请参阅迁移至 Extensible Service Proxy V2 Beta 版了解更多信息。

任务列表

学习本教程时,请使用以下任务列表。要让 Endpoints 管理您的应用,您必须完成所有这些任务。

  1. 创建一个 Google Cloud 项目,如果您尚未部署自己的 App Engine,请部署一个示例后端应用。请参阅准备工作
  2. 配置 IAP 来保护应用。请参阅配置 IAP
  3. 为 ESPv2 Beta 版服务预留 Cloud Run 主机名。请参阅预留 Cloud Run 主机名
  4. 创建描述 API 的 OpenAPI 文档,并配置到您的 App Engine 的路由。请参阅配置 Endpoints
  5. 部署 OpenAPI 文档以创建托管式服务。请参阅部署 Endpoints 配置
  6. 使用您的 Endpoints 服务配置构建新的 ESPv2 Beta 版 Docker 映像。请参阅构建新的 ESPv2 Beta 版映像
  7. 将 ESPv2 Beta 版容器部署到 Cloud Run。然后为 ESPv2 Beta 版授予 Identity and Access Management (IAM) 权限以调用您的服务。请参阅部署 ESPv2 Beta 版容器
  8. 调用应用。请参阅向 API 发送请求
  9. 跟踪您的应用的活动。请参阅跟踪 API 活动
  10. 避免向您的 Google Cloud 帐号收取费用。请参阅清理

准备工作

如需进行设置,请执行以下操作:

  1. 在 Cloud Console 中,转到管理资源页面并创建一个项目。

    转到“管理资源”页面

  2. 确保您的项目已启用结算功能。

    了解如何启用结算功能

  3. 请记下项目 ID,您稍后需要用到它。在本页面的其余部分,此项目 ID 称为 ESP_PROJECT_ID

  4. 请记下项目编号,您稍后会用到它。在本页面的其余部分,此项目编号称为 ESP_PROJECT_NUMBER

  5. 下载并安装 Cloud SDK。

    下载 Cloud SDK

  6. 如果您尚未部署自己的后端 App Engine,请按照 App Engine 快速入门中的步骤操作。记下部署应用的区域和项目 ID。在本页面的其余部分,此项目 ID 称为 APP_PROJECT_ID

配置 IAP 以确保应用安全

为了保护 App Engine 应用,您必须使用 Identity Aware Proxy (IAP) 来确保对请求进行身份验证。

按照启用 IAP 中的步骤操作,确保您能够登录到您的应用。

此外,在配置 OAuth 客户端时,请记下 OAuth client_id(本教程中称为 IAP_CLIENT_ID)。

预留 Cloud Run 主机名

您必须为 ESPv2 Beta 版服务预留 Cloud Run 主机名,才能配置 OpenAPI 文档或 gRPC 服务配置。为了预留主机名,您需要将示例容器部署到 Cloud Run。稍后,您会将 ESPv2 Beta 版容器部署到相同的 Cloud Run 服务中。

  1. 确保 Cloud SDK 有权访问您的数据和服务:
  2. 登录。
    gcloud auth login
  3. 在打开的新浏览器标签页上,选择一个帐号,该帐号在您为将 ESPv2 Beta 版部署到 Cloud Run 而创建的 Google Cloud 项目中具有 EditorOwner 角色。
  • 设置区域。
    gcloud config set run/region us-central1
  • 将示例映像 gcr.io/cloudrun/hello 部署到 Cloud Run。将 CLOUD_RUN_SERVICE_NAME 替换为您要使用的服务名称。
    gcloud run deploy CLOUD_RUN_SERVICE_NAME \
        --image="gcr.io/cloudrun/hello" \
        --allow-unauthenticated \
        --platform managed \
        --project=ESP_PROJECT_ID
    

    成功完成上述操作后,该命令将显示如下所示的消息:

    Service [CLOUD_RUN_SERVICE_NAME] revision [CLOUD_RUN_SERVICE_NAME-REVISION_NUM] has been deployed and is serving traffic at CLOUD_RUN_SERVICE_URL

    例如,如果将 CLOUD_RUN_SERVICE_NAME 设置为 gateway

    Service [gateway] revision [gateway-00001] has been deployed and is serving traffic at https://gateway-12345-uc.a.run.app

    在此示例中,https://gateway-12345-uc.a.run.appCLOUD_RUN_SERVICE_URLgateway-12345-uc.a.run.appCLOUD_RUN_HOSTNAME

  • 记下 CLOUD_RUN_SERVICE_NAMECLOUD_RUN_HOSTNAME。您稍后会将 ESPv2 Beta 版部署到 CLOUD_RUN_SERVICE_NAME Cloud Run 服务。您可以在 OpenAPI 文档的 host 字段中指定CLOUD_RUN_HOSTNAME
  • 配置 Endpoints

    您必须拥有基于 OpenAPI 规范 2.0 的 OpenAPI 文档,该文档描述了您的应用的表面和各项身份验证要求。您还需要添加包含各应用的网址的 Google 专属字段,以便 ESPv2 Beta 版获得调用应用所需的信息。如果您刚接触 OpenAPI,请参阅 OpenAPI 概览了解详情。

    1. 创建名为 openapi-appengine.yaml 的文本文件。(为方便起见,本页面用此文件名指代 OpenAPI 文档,但您也可以改用其他名称。)
    2. 您的 App Engine 后端应用是在 openapi-appengine.yaml 文件顶部的 x-google-backend 定义中定义的。例如:
        swagger: '2.0'
        info:
          title: Cloud Endpoints + App Engine
          description: Sample API on Cloud Endpoints with an App Engine backend
          version: 1.0.0
        host: HOST
        schemes:
          - https
        produces:
          - application/json
        x-google-backend:
          address: https://APP_PROJECT_ID.REGION.r.appspot.com
          jwt_audience: IAP_CLIENT_ID
          protocol: h2
        paths:
          /:
            get:
              summary: Greet a user
              operationId: hello
              responses:
                '200':
                  description: A successful response
                  schema:
                    type: string
      
      缩进对 yaml 格式而言非常重要。例如,host 字段必须与 info 处于同一级别。
    3. x-google-backend 部分的 address 字段中,将 APP_PROJECT_ID 替换为您的 Google Cloud 项目 ID,将 REGION 替换为您部署 App Engine 的 GCP 区域,将 IAP_CLIENT_ID 替换为您在设置 IAP 时创建的 OAuth 客户端 ID。
    4. host 字段中,指定 CLOUD_RUN_HOSTNAME,即上面的预留 Cloud Run 主机名中预留的网址的主机名部分。请勿包含协议标识符 https://。例如:

      swagger: '2.0'
        info:
          title: Cloud Endpoints + App Engine
          description: Sample API on Cloud Endpoints with an App Engine backend
          version: 1.0.0
        host: gateway-12345-uc.a.run.app
      
    5. 请记下 openapi-appengine.yaml 文件中 title 属性的值:

      title: Cloud Endpoints + App Engine

      在您部署配置后,title 属性的值会成为 Endpoints 服务的名称。

    6. 保存您的 OpenAPI 文档。

    如需了解 OpenAPI 文档中 Endpoints 所需的字段,请参阅配置 Endpoints

    部署 Endpoints 配置

    如需部署 Endpoints 配置,请使用 gcloud endpoints services deploy 命令。此命令使用 Service Management 创建一项托管式服务。

    如需部署 Endpoints 配置,请执行以下操作:

    1. 确保您位于 OpenAPI 文档所在的目录中。
    2. 上传配置并创建托管式服务。

      gcloud endpoints services deploy openapi-appengine.yaml \
        --project ESP_PROJECT_ID

      这将创建一个新的 Endpoints 服务,其名称是您在 openapi-appengine.yaml 文件的 host 字段中指定的名称。该服务会根据您的 OpenAPI 文档进行配置。

      在创建和配置服务时,Service Management 会向终端输出信息。部署完成后,系统将显示如下所示的消息:

      Service Configuration [CONFIG_ID] uploaded for service [CLOUD_RUN_HOSTNAME]

      CONFIG_ID 是部署创建的唯一 Endpoints 服务配置 ID。例如:

      Service Configuration [2019-02-01r0] uploaded for service [gateway-12345-uc.a.run.app]

      服务配置 ID 由日期戳后跟一个修订版本号组成。如果您在同一天再次部署 openapi-appengine.yaml,则服务配置 ID 中的修订版本号将递增。您可以在 Cloud Console 中的 Endpoints > 服务页面上查看服务配置和部署历史记录

      如果您收到错误消息,请参阅排查 Endpoints 配置部署问题

    检查所需服务

    Endpoints 和 ESP 至少需要启用以下 Google 服务:
    姓名 说明
    servicemanagement.googleapis.com Service Management API
    servicecontrol.googleapis.com Service Control API
    endpoints.googleapis.com Google Cloud Endpoints

    在大多数情况下,gcloud endpoints services deploy 命令会启用这些必需的服务。但在以下情况下,gcloud 命令会成功完成,但不启用必需的服务:

    • 您使用了 Terraform 之类的第三方应用,但未添加这些服务。

    • 您将 Endpoints 配置部署到已明确停用这些服务的现有 Google Cloud 项目。

    使用以下命令确认必需服务是否已启用:

    gcloud services list

    如果您没有看到列出的必需服务,请启用它们:

    gcloud services enable servicemanagement.googleapis.com
    gcloud services enable servicecontrol.googleapis.com
    gcloud services enable endpoints.googleapis.com

    同时启用 Endpoints 服务:

    gcloud services enable ENDPOINTS_SERVICE_NAME

    要确定 ENDPOINTS_SERVICE_NAME,您可以执行以下任一操作:

    • 部署 Endpoints 配置后,转到 Cloud Console 中的 Endpoints 页面。服务名称列下显示了可能的 ENDPOINTS_SERVICE_NAME 列表。

    • 对于 OpenAPI,ENDPOINTS_SERVICE_NAME 是您在 OpenAPI 规范的 host 字段中指定的值。对于 gRPC,ENDPOINTS_SERVICE_NAME 是您在 gRPC Endpoints 配置的 name 字段中指定的值。

    如需详细了解 gcloud 命令,请参阅 gcloud 服务

    构建新的 ESPv2 Beta 版映像

    将 Endpoints 服务配置构建到新的 ESPv2 Beta 版 Docker 映像中。您稍后会将此映像部署到预留的 Cloud Run 服务。

    如需将服务配置构建到新的 ESPv2 Beta 版 Docker 映像中,请执行以下操作:

    1. 将此脚本下载到安装了 gcloud SDK 的本地机器上。

    2. 使用以下命令运行脚本:

      chmod +x gcloud_build_image
      
      ./gcloud_build_image -s CLOUD_RUN_HOSTNAME \
          -c CONFIG_ID -p ESP_PROJECT_ID

      对于 CLOUD_RUN_HOSTNAME,请指定在上文的预留 Cloud Run 主机名中预留的网址的主机名。请勿包含协议标识符 https://

      例如:

      chmod +x gcloud_build_image
      ./gcloud_build_image -s gateway-12345-uc.a.run.app \
          -c 2019-02-01r0 -p your-project-id
    3. 该脚本使用 gcloud 命令下载服务配置,将服务配置构建到新的 ESPv2 Beta 版映像中,然后将新映像上传到项目 Container Registry 中:脚本会自动使用最新版本的 ESPv2 Beta 版,由输出映像名称中的 ESP_VERSION 表示。输出映像将上传到:

      gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID

      例如:

      gcr.io/your-project-id/endpoints-runtime-serverless:2.14.0-gateway-12345-uc.a.run.app-2019-02-01r0"

    部署 ESPv2 Beta 版容器

    1. 使用您在上面构建的新映像部署 ESPv2 Beta 版 Cloud Run 服务。将 CLOUD_RUN_SERVICE_NAME 替换为您在上文的预留 Cloud Run 主机名中最初预留主机名时所用的 Cloud Run 服务名称:

      gcloud run deploy CLOUD_RUN_SERVICE_NAME \
        --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID" \
        --allow-unauthenticated \
        --platform managed \
        --project=ESP_PROJECT_ID
    2. 如果要将 Endpoints 配置为使用其他 ESPv2 Beta 版启动选项(例如启用 CORS),您可以在 ESPv2_ARGS 环境变量中传递参数:

      gcloud run deploy CLOUD_RUN_SERVICE_NAME \
        --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID" \
        --set-env-vars=ESPv2_ARGS=--cors_preset=basic \
        --allow-unauthenticated \
        --platform managed \
        --project ESP_PROJECT_ID

      如需详细了解如何设置 ESPv2_ARGS 环境变量并获取更多相关示例(包括可用选项的列表以及如何指定多个选项的信息),请参阅 Extensible Service Proxy V2 Beta 版标志

    3. 向 ESPv2 Beta 版授权,使其能够调用您受到 IAP 保护的应用。请对每个服务运行以下命令。在以下命令中:
      • APP_PROJECT_ID 替换为您的 App Engine 项目 ID 的名称。
      • ESP_PROJECT_NUMBER 替换为您针对 ESPv2 Beta 版创建的项目的编号。如需找到此编号,一种方法是转到 IAM 控制台并查找默认计算机服务帐号,即“member”标志中使用的服务帐号。
        gcloud projects add-iam-policy-binding APP_PROJECT_ID \
            --member "serviceAccount:ESP_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
            --role "roles/iap.httpsResourceAccessor"
          

    如需了解详情,请参阅使用 IAM 管理访问权限

    向 API 发送请求

    本部分介绍如何向 API 发送请求。

    1. 为 Endpoints 服务名称创建环境变量。这是您在 OpenAPI 文档的 host 字段中指定的名称。例如:
      • Linux 或 macOS

        export ENDPOINTS_HOST=gateway-12345-uc.a.run.app

      • Windows PowerShell

        $Env: ENDPOINTS_HOST="gateway-12345-uc.a.run.app"

    Linux 或 macOS

    通过您在上一步中设置的 ENDPOINTS_HOST 环境变量,使用 curl 发送一个 HTTP 请求。

    curl --request GET \
       --header "content-type:application/json" \
       "https://${ENDPOINTS_HOST}/"

    PowerShell

    通过您在上一步中设置的 ENDPOINTS_HOST 环境变量,使用 Invoke-WebRequest 发送一个 HTTP 请求。

    (Invoke-WebRequest -Method GET `
        -Headers @{"content-type"="application/json"} `
        -URI "https://$Env:ENDPOINTS_HOST/").Content
    

    在上面的示例中,前两行以反引号结束。将示例粘贴到 PowerShell 中时,请确保反引号后面没有空格。 如需了解示例请求中使用的选项,请参阅 Microsoft 文档中的 Invoke-WebRequest

    第三方应用

    您可以使用第三方应用(例如 Chrome 浏览器扩展程序 Postman)发送请求。

    • 选择 GET 作为 HTTP 谓词。
    • 对于标头,请选择键 content-type 和值 application/json
    • 使用实际的网址而不是环境变量,例如:

      https://gateway-12345-uc.a.run.app/
      

    如果未收到成功响应,请参阅排查响应错误

    您刚刚在 Endpoints 中部署并测试了一个 API!

    跟踪 API 活动

    1. 在 Cloud Console 中的 Endpoints > 服务页面上查看 API 的活动图表。

      查看 Endpoints 活动图表

      请求可能需要一些时间才能体现在图表中。

    2. 在“日志查看器”页面上查看 API 的请求日志。

      查看 Endpoints 请求日志

    为 API 创建开发者门户

    可使用 Cloud Endpoints 门户创建开发者门户,该门户是一个可用于与示例 API 进行交互的网站。如需了解详情,请参阅 Cloud Endpoints 门户概览

    清理

    为避免系统因本快速入门中使用的资源向您的 Google Cloud 帐号收取费用,请按照以下步骤操作。

    如需了解如何停止本教程使用的服务,请参阅删除 API 和 API 实例

    后续步骤