Erste Schritte mit Endpoints für Cloud Run mit ESPv2

Auf dieser Seite wird beschrieben, wie Sie Cloud Endpoints für Cloud Run einrichten können. Endpoints verwendet Extensible Service Proxy V2 (ESPv2) als API-Gateway. Zur Bereitstellung der API-Verwaltung für Cloud Run stellen Sie den vordefinierten ESPv2-Container für Cloud Run bereit. Anschließend sichern Sie Ihre Dienste mit dem IAM für Cloud Run, damit ESPv2 sie aufrufen kann.

So eingerichtet überwacht ESPv2 alle Anfragen an Ihre Dienste und führt vor dem Aufrufen des Dienstes die erforderlichen Prüfungen (z. B. Authentifizierung) durch. Wenn der Dienst antwortet, sammelt und meldet ESPv2 Telemetriedaten, wie in der folgenden Abbildung dargestellt. Sie können Messwerte für Ihren Dienst in der Google Cloud Console auf der Seite Endpoints > Dienste ansehen.

Endpoints-Architektur

Eine Übersicht über Cloud Endpoints finden Sie in den Abschnitten Über Cloud Endpoints und Architekturübersicht zu Cloud Endpoints.

Zu ESPv2 migrieren

In früheren Versionen von Cloud Endpoints wurde die Verwendung von Extensible Service Proxy (ESP) mit Cloud Run unterstützt. Wenn bereits APIs vorhanden sind, die Sie zu ESPv2 migrieren möchten, finden Sie weitere Informationen unter Zu Extensible Service Proxy V2 migrieren.

Aufgabenliste

Verwenden Sie beim Durcharbeiten der Anleitung die folgende Aufgabenliste. Alle Aufgaben müssen ausgeführt werden, damit diese Anleitung abgeschlossen werden kann.

  1. Erstellen Sie ein Google Cloud-Projekt. Stellen Sie außerdem, wenn Sie Cloud Run nicht selbst bereitgestellt haben, einen Beispiel-Back-End-Dienst bereit. Siehe Vorbereitung.
  2. Reservieren Sie einen Cloud Run-Hostnamen für den ESPv2-Dienst. Weitere Informationen erhalten Sie unter Cloud Run-Hostname reservieren.
  3. Erstellen Sie ein OpenAPI-Dokument, das Ihre API beschreibt, und konfigurieren Sie die Routen zu Cloud Run. Siehe Endpoints konfigurieren.
  4. Stellen Sie das OpenAPI-Dokument bereit, um einen verwalteten Dienst zu erstellen. Siehe Endpoints-Konfiguration bereitstellen.
  5. Erstellen Sie ein neues ESPv2-Docker-Image mit Ihrer Endpoints-Dienstkonfiguration. Siehe Neues ESPv2-Image erstellen.
  6. Stellen Sie den ESPv2-Container für Cloud Run bereit. Erteilen Sie dann ESPv2 die Berechtigung von Identity and Access Management (IAM) zum Aufrufen Ihres Dienstes. Siehe ESPv2-Container bereitstellen.
  7. Rufen Sie einen Dienst auf. Siehe Anfrage an die API senden.
  8. Überwachen Sie die Aktivitäten der Dienste. Siehe API-Aktivitäten verfolgen.
  9. Vermeiden Sie Gebühren, die Ihrem Google Cloud-Konto in Rechnung gestellt werden. Siehe Bereinigen.

Vorbereitung

Einrichtung vorbereiten:

  1. Rufen Sie in der Cloud Console die Seite Ressourcen verwalten auf und erstellen Sie ein Projekt.

    Zur Seite "Ressourcen verwalten"

  2. Die Abrechnung für Ihr Projekt muss aktiviert sein.

    Weitere Informationen zum Aktivieren der Abrechnung

  3. Notieren Sie die Projekt-ID für die nächsten Schritte. Nachstehend wird hier die Projekt-ID als ESP_PROJECT_ID bezeichnet.

  4. Notieren Sie die Projektnummer für die nächsten Schritte. Nachstehend wird hier die Projektnummer als ESP_PROJECT_NUMBER bezeichnet.

  5. Laden Sie das Cloud SDK herunter und installieren Sie es.

    Cloud SDK herunterladen

  6. Wenn Sie noch keinen eigenen Cloud Run-Back-End-Dienst bereitgestellt haben, gehen Sie vor wie unter Kurzanleitung: Vorgefertigten Beispielcontainer bereitstellen beschrieben, um ein Google Cloud-Projekt auszuwählen oder zu erstellen und um ein Beispiel-Back-End bereitzustellen. Notieren Sie die Region, in der Ihr Dienst bereitgestellt wird, und die Projekt-ID. Nachstehend wird die Projekt-ID als BACKEND_PROJECT_ID bezeichnet. Als Name des bereitgestellten Dienstes wird nachstehend BACKEND_SERVICE_NAME verwendet.

Cloud Run-Hostname reservieren

Sie müssen einen Cloud Run-Hostnamen für den ESPv2-Dienst reservieren, um das OpenAPI-Dokument oder die gRPC-Dienstkonfiguration zu konfigurieren. Zur Reservierung eines Hostnamens stellen Sie einen Beispielcontainer für Cloud Run bereit. Später führen Sie eine Bereitstellung des ESPv2-Containers für den gleichen Cloud Run-Dienst aus.

  1. Überprüfen Sie, ob das Cloud SDK die Berechtigung für den Zugriff auf Ihre Daten und Dienste hat:
    1. Melden Sie sich an.
      gcloud auth login
    2. Es wird ein neuer Browsertab geöffnet. Dort wählen Sie ein Konto aus, das für das Google Cloud-Projekt, das Sie zum Bereitstellen von ESPv2 für Cloud Run erstellt haben, die Rolle Bearbeiter oder Inhaber hat.
  2. Legen Sie die Region fest.
    gcloud config set run/region us-central1
  3. Stellen Sie das Beispiel-Image gcr.io/cloudrun/hello für Cloud Run bereit. Ersetzen Sie CLOUD_RUN_SERVICE_NAME durch den Namen, den Sie für den Dienst verwenden möchten.
    gcloud run deploy CLOUD_RUN_SERVICE_NAME \
        --image="gcr.io/cloudrun/hello" \
        --allow-unauthenticated \
        --platform managed \
        --project=ESP_PROJECT_ID
    

    Bei erfolgreicher Befehlsausführung wird eine Meldung angezeigt, die in etwa so aussieht:

    Service [CLOUD_RUN_SERVICE_NAME] revision [CLOUD_RUN_SERVICE_NAME-REVISION_NUM] has been deployed and is serving traffic at CLOUD_RUN_SERVICE_URL

    Hier ein Beispiel, in dem CLOUD_RUN_SERVICE_NAME auf gateway festgelegt ist:

    Service [gateway] revision [gateway-00001] has been deployed and is serving traffic at https://gateway-12345-uc.a.run.app

    In diesem Beispiel ist https://gateway-12345-uc.a.run.app die CLOUD_RUN_SERVICE_URL und gateway-12345-uc.a.run.app der CLOUD_RUN_HOSTNAME.

  4. Notieren Sie sich CLOUD_RUN_SERVICE_NAME und CLOUD_RUN_HOSTNAME. Später stellen Sie ESPv2 für den Cloud Run-Dienst CLOUD_RUN_SERVICE_NAME bereit. Sie geben CLOUD_RUN_HOSTNAME im Feld host Ihres OpenAPI-Dokuments an.

Endpoints konfigurieren

Sie benötigen ein OpenAPI-Dokument, das auf der OpenAPI-Spezifikation Version 2.0 basiert und die Oberfläche Ihres Back-End-Dienstes sowie etwaige Authentifizierungsanforderungen beschreibt. Außerdem müssen Sie ein Google-spezifisches Feld hinzufügen, das die URL für jeden Dienst enthält, damit ESPv2 die zum Aufrufen eines Dienstes erforderlichen Informationen zur Verfügung stehen. Falls Sie mit OpenAPI noch nicht vertraut sind, stehen unter OpenAPI weitere Informationen bereit.

  1. Erstellen Sie eine Textdatei mit dem Namen openapi-run.yaml. (Der Einfachheit halber wird das OpenAPI-Dokument hier so genannt, Sie können es jedoch auch beliebig anders benennen.)
  2. Ihr Back-End-Dienst von Cloud Run wird oben in der Datei openapi-run.yaml in einer Definition vom Typ x-google-backend beschrieben. Beispiel:
      swagger: '2.0'
      info:
        title: Cloud Endpoints + Cloud Run
        description: Sample API on Cloud Endpoints with a Cloud Run backend
        version: 1.0.0
      host: HOST
      schemes:
        - https
      produces:
        - application/json
      x-google-backend:
        address: https://hello-HASH-uc.a.run.app
        protocol: h2
      paths:
        /hello:
          get:
            summary: Greet a user
            operationId: hello
            responses:
              '200':
                description: A successful response
                schema:
                  type: string
    
    Die Einrückung ist für das YAML-Format wichtig. Das Feld host muss beispielsweise auf derselben Ebene wie info sein.
  3. Ersetzen Sie https://hello-HASH-uc.a.run.app im Feld address des Abschnitts x-google-backend durch die tatsächliche URL Ihres Cloud Run-Back-End-Dienstes, wobei HASH der eindeutige Hash-Code ist, der bei der Erstellung des Dienstes generiert wurde.

    In diesem Beispiel wird davon ausgegangen, dass Sie den hello Back-End-Dienst, erstellt in Kurzanleitung: Vordefinierten Beispielcontainer bereitstellen, verwenden. Ersetzen Sie diesen Wert gegebenenfalls durch die URL Ihres Cloud Run-Dienstes.

  4. Legen Sie im Feld host den Wert CLOUD_RUN_HOSTNAME fest. Dies ist der Hostname in der URL, der oben unter Cloud Run-Hostname reservieren reserviert wurde. Lassen Sie dabei die Protokollkennung https:// weg. Beispiel:

    swagger: '2.0'
      info:
        title: Cloud Endpoints + Cloud Run
        description: Sample API on Cloud Endpoints with a Cloud Run backend
        version: 1.0.0
      host: gateway-12345-uc.a.run.app
    
  5. Beachten Sie den Wert des Attributs title in der Datei openapi-run.yaml:

    title: Cloud Endpoints + Cloud Run

    Der Wert des Attributs title wird nach Bereitstellung der Konfiguration zum Namen des Endpoints-Dienstes.

  6. Speichern Sie das OpenAPI-Dokument.

Weitere Informationen zu den Feldern im für Endpoints erforderlichen OpenAPI-Dokument finden Sie unter Cloud Endpoints konfigurieren.

Endpoints-Konfiguration bereitstellen

Die Endpoints-Konfiguration wird mit dem Befehl gcloud endpoints services deploy bereitgestellt. Dieser Befehl erstellt mithilfe von Service Management einen verwalteten Dienst.

So stellen Sie die Endpoints-Konfiguration bereit:

  1. Achten Sie darauf, dass Sie sich in dem Verzeichnis befinden, das Ihr OpenAPI-Dokument enthält.
  2. Laden Sie die Konfiguration hoch und erstellen Sie einen verwalteten Dienst.

    gcloud endpoints services deploy openapi-run.yaml \
      --project ESP_PROJECT_ID

    Dadurch wird ein neuer Endpoints-Dienst mit dem Namen erstellt, den Sie in der Datei openapi-run.yaml im Feld host angegeben haben. Der Dienst wird dem OpenAPI-Dokument entsprechend konfiguriert.

    Beim Erstellen und Konfigurieren des Dienstes gibt Service Management Informationen an das Terminal aus. Nach Abschluss der Bereitstellung erhalten Sie eine Meldung, die in etwa so aussieht:

    Service Configuration [CONFIG_ID] uploaded for service [CLOUD_RUN_HOSTNAME]

    CONFIG_ID ist die eindeutige Endpoints-Dienstkonfigurations-ID, die von der Bereitstellung erstellt wird. Beispiel:

    Service Configuration [2019-02-01r0] uploaded for service [gateway-12345-uc.a.run.app]

    Die Dienstkonfigurations-ID besteht aus einem Datumsstempel, gefolgt von einer Überarbeitungsnummer. Wenn Sie openapi-run.yaml am selben Tag noch einmal bereitstellen, wird die Überarbeitungsnummer in der Dienstkonfigurations-ID erhöht. In der Cloud Console auf der Seite Endpoints > Dienste können Sie die Dienstkonfiguration und den Bereitstellungsverlauf einsehen.

    Wenn Sie eine Fehlermeldung erhalten, lesen Sie Fehlerbehebung bei der Bereitstellung von Cloud Endpoints-Konfigurationen.

Erforderliche Dienste prüfen

Für Endpoints und ESP müssen mindestens die folgenden Google-Dienste aktiviert sein:
Name Titel
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API
endpoints.googleapis.com Google Cloud Endpoints

In der Regel werden die erforderlichen Dienste mit dem Befehl gcloud endpoints services deploy aktiviert. Unter folgenden Umständen kann es vorkommen, dass der Befehl gcloud erfolgreich ausgeführt wird, die erforderlichen Dienste jedoch nicht aktiviert werden:

  • Wenn Sie eine Drittanbieteranwendung wie Terraform verwendet haben und Sie diese Dienste nicht hinzufügen.

  • Wenn Sie die Endpoints-Konfiguration für ein vorhandenes Google Cloud-Projekt bereitgestellt haben, in dem diese Dienste explizit deaktiviert wurden.

Prüfen Sie mit dem folgenden Befehl, ob die erforderlichen Dienste aktiviert sind:

gcloud services list

Wenn die erforderlichen Dienste nicht aufgeführt sind, müssen Sie sie aktivieren:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Aktivieren Sie auch Ihren Endpoints-Dienst:

gcloud services enable ENDPOINTS_SERVICE_NAME

Zum Ermitteln des ENDPOINTS_SERVICE_NAME haben Sie folgende Möglichkeiten:

  • Rufen Sie nach der Bereitstellung der Endpoints-Konfiguration die Seite Endpoints in der Cloud Console auf. Die Liste der möglichen ENDPOINTS_SERVICE_NAME wird in der Spalte Dienstname angezeigt.

  • Bei OpenAPI ist ENDPOINTS_SERVICE_NAME der Wert, den Sie im Feld host Ihrer OpenAPI-Spezifikation angegeben haben. Bei gRPC ist der ENDPOINTS_SERVICE_NAME das, was Sie im Feld name Ihrer gRPC-Endpoints-Konfiguration angegeben haben.

Weitere Informationen zu den gcloud-Befehlen finden Sie unter gcloud-Dienste.

Neues ESPv2-Image erstellen

Erstellen Sie die Endpoints-Dienstkonfiguration in einem neuen Docker-Image für ESPv2. Später werden Sie dieses Image für den reservierten Cloud Run-Dienst bereitstellen.

So integrieren Sie die Dienstkonfiguration in ein neues ESPv2-Docker-Image:

  1. Laden Sie dieses Skript auf Ihren lokalen Computer herunter, auf dem das gcloud SDK installiert ist.

  2. Führen Sie das Skript mit dem folgenden Befehl aus:

    chmod +x gcloud_build_image
    
    ./gcloud_build_image -s CLOUD_RUN_HOSTNAME \
        -c CONFIG_ID -p ESP_PROJECT_ID

    Geben Sie unter CLOUD_RUN_HOSTNAME den Hostnamen der URL ein, den Sie oben unter Cloud Run-Hostname reservieren reserviert haben. Lassen Sie dabei die Protokollkennung https:// weg.

    Beispiel:

    chmod +x gcloud_build_image
    ./gcloud_build_image -s gateway-12345-uc.a.run.app \
        -c 2019-02-01r0 -p your-project-id
  3. Das Skript verwendet den gcloud-Befehl, um die Dienstkonfiguration herunterzuladen, die Dienstkonfiguration in ein neues ESPv2-Image einzubinden und das neue Image in Ihre Projekt-Container Registry hochzuladen. Das Skript verwendet automatisch den neuesten Release von ESPv2, der durch ESP_VERSION im Ausgabe-Image-Namen angegeben ist. Das Ausgabebild wird hochgeladen in:

    gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID

    Beispiel:

    gcr.io/your-project-id/endpoints-runtime-serverless:2.14.0-gateway-12345-uc.a.run.app-2019-02-01r0"

ESPv2-Container bereitstellen

  1. Stellen Sie den Cloud Run-Dienst von ESPv2 mit dem neuen Image bereit, das Sie oben erstellt haben. Ersetzen Sie dabei CLOUD_RUN_SERVICE_NAME durch den Cloud Run-Dienstnamen, den Sie bei der ursprünglichen Reservierung des Hostnamens im Abschnitt Cloud Run-Hostname reservieren verwendet haben:

    gcloud run deploy CLOUD_RUN_SERVICE_NAME \
      --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID" \
      --allow-unauthenticated \
      --platform managed \
      --project=ESP_PROJECT_ID
  2. Wenn Sie Endpoints so konfigurieren möchten, dass zusätzliche ESPv2-Startoptionen wie das Aktivieren von CORS verwendet werden, können Sie die Argumente in der Umgebungsvariablen ESPv2_ARGS übergeben:

    gcloud run deploy CLOUD_RUN_SERVICE_NAME \
      --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-CLOUD_RUN_HOSTNAME-CONFIG_ID" \
      --set-env-vars=ESPv2_ARGS=--cors_preset=basic \
      --allow-unauthenticated \
      --platform managed \
      --project ESP_PROJECT_ID

    Weitere Informationen und Beispiele zum Festlegen der Umgebungsvariablen ESPv2_ARGS, einschließlich der Liste der verfügbaren Optionen und Informationen zur Angabe mehrerer Optionen, finden Sie unter Startoptionen von Extensible Service Proxy V2.

  3. Erteilen Sie ESPv2 die Berechtigung zum Aufrufen von Service Management und Service Control.

    • Rufen Sie in der Cloud Console die Seite "Cloud Run" auf.
    • Zur Seite "Cloud Run"

    • Sie sehen die bereitgestellte Cloud Run-Instanz und das damit verknüpfte Dienstkonto.
    • Gewähren Sie Berechtigungen für das Dienstkonto.
    • gcloud projects add-iam-policy-binding PROJECT_NAME \
             --member "serviceAccount:SERVICE_ACCOUNT" \
             --role roles/servicemanagement.serviceController
    Weitere Informationen finden Sie unter Was sind Rollen und Berechtigungen?
  4. Erteilen Sie ESPv2 die Berechtigung zum Aufrufen Ihrer Cloud Run-Dienste. Führen Sie für jeden Dienst den folgenden Befehl aus. Geben Sie folgenden Befehl ein:
    • Ersetzen Sie BACKEND_SERVICE_NAME durch den Namen des aufzurufenden Cloud Run-Dienstes. Wenn Sie den in der Kurzanleitung: Vordefinierten Beispielcontainer bereitstellen erstellten Back-End-Dienst verwenden, verwenden Sie hello als diesen Wert.
    • Ersetzen Sie ESP_PROJECT_NUMBER durch die Projektnummer des Projekts, das Sie für ESPv2 erstellt haben. Sie finden sie zum Beispiel auf der IAM-Seite in der Cloud Console und unter Standardmäßiges Compute-Dienstkonto. Dies ist das Dienstkonto, das im Member-Flag verwendet wird.
    gcloud run services add-iam-policy-binding BACKEND_SERVICE_NAME \
      --member "serviceAccount:ESP_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
      --role "roles/run.invoker" \
      --platform managed \
      --project BACKEND_PROJECT_ID

Weitere Informationen finden Sie unter Zugriff mit IAM verwalten.

Anfrage an die API senden

In diesem Abschnitt wird beschrieben, wie Sie Anfragen an die API senden.

  1. Erstellen Sie eine Umgebungsvariable für den Endpoints-Dienstnamen. Das ist der Name, den Sie im Feld host Ihres OpenAPI-Dokuments angegeben haben. Beispiel:
    • Linux oder MacOS:

      export ENDPOINTS_HOST=gateway-12345-uc.a.run.app

    • Windows PowerShell:

      $Env: ENDPOINTS_HOST="gateway-12345-uc.a.run.app"

Linux oder macOS

Senden Sie mit curl eine HTTP-Anfrage mithilfe der im vorherigen Schritt festgelegten Umgebungsvariable ENDPOINTS_HOST.

curl --request GET \
   --header "content-type:application/json" \
   "https://${ENDPOINTS_HOST}/hello"

PowerShell

Senden Sie mit Invoke-WebRequest eine HTTP-Anfrage mithilfe der im vorherigen Schritt festgelegten Umgebungsvariable ENDPOINTS_HOST.

(Invoke-WebRequest -Method GET `
    -Headers @{"content-type"="application/json"} `
    -URI "https://$Env:ENDPOINTS_HOST/hello").Content

In diesem Beispiel enden die ersten beiden Zeilen mit einem Graviszeichen. Achten Sie beim Einfügen des Beispiels in PowerShell darauf, dass nach dem Graviszeichen kein Leerzeichen folgt. Informationen zu den in der Beispielanfrage verwendeten Optionen finden Sie in der Microsoft-Dokumentation unter Invoke-WebRequest.

Drittanbieteranwendung

Sie können auch eine Drittanbieteranwendung wie die Chrome-Browsererweiterung "Postman" verwenden.

  • Wählen Sie als HTTP-Verb GET aus.
  • Wählen Sie für den Header den Schlüssel content-type und den Wert application/json aus.
  • Verwenden Sie anstelle der Umgebungsvariablen die tatsächliche URL. Beispiel:

    https://gateway-12345-uc.a.run.app/hello
    

Wenn als Antwort ein Fehler zurückgegeben wird, lesen Sie die Informationen unter Fehlerbehebung bei Antwortfehlern.

Sie haben gerade eine API in Cloud Endpoints bereitgestellt und getestet!

API-Aktivitäten verfolgen

  1. Sehen Sie sich in der Cloud Console auf der Seite Endpoints > Dienste die Aktivitätsgrafiken Ihrer API an.

    Endpoints-Aktivitätsgrafiken ansehen

    Es kann einen Moment dauern, bis die Anfrage in den Grafiken angezeigt wird.

  2. Sehen Sie sich auf der Seite "Loganzeige" die Anfragelogs an.

    Endpoints-Anfragelogs ansehen

Entwicklerportal für die API erstellen

Sie können mit dem Cloud Endpoints-Portal ein Entwicklerportal erstellen. Das ist eine Website zur Interaktion mit der Beispiel-API. Weitere Informationen finden Sie unter Übersicht über das Cloud Endpoints-Portal.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden:

Weitere Informationen zum Beenden der in dieser Anleitung verwendeten Dienste finden Sie unter API und API-Instanzen löschen.

Weitere Informationen