HTTP
HTTP 连接器提供与 HTTP 服务的连接,并使用基于 HTTP 的 API。该连接器还支持通过自定义配置实现 SSL/TLS 连接,并支持各种身份验证机制,例如 OAuth 2.0 客户端凭据授予、基本和摘要。
准备工作
在使用 HTTP 连接器之前,请先完成以下任务:
- 在您的 Google Cloud 项目中:
- 确保已设置网络连接。如需了解网络模式,请参阅网络连接。
- 向配置连接器的用户授予 roles/connectors.admin IAM 角色。
- 将以下 IAM 角色授予您要用其来使用连接器的服务账号:
roles/secretmanager.viewer
roles/secretmanager.secretAccessor
服务账号是一种特殊类型的 Google 账号,用于表示需要验证身份并获得授权以访问 Google API 数据的非人类用户。如果您没有服务账号,则必须创建一个服务账号。如需了解详情,请参阅创建服务账号。
- 启用以下服务:
secretmanager.googleapis.com
(Secret Manager API)connectors.googleapis.com
(Connectors API)
如需了解如何启用服务,请参阅启用服务。
如果之前没有为您的项目启用这些服务或权限,则在您配置连接器时,系统会提示您启用。
配置连接器
配置连接器时,您需要创建与数据源(即后端系统)的连接。一个连接需专用于一个数据源。这意味着,如果您有许多数据源,则必须为每个数据源创建单独的连接。如需创建连接,请执行以下步骤:
- 在 Cloud 控制台 中,进入 Integration Connectors > 连接页面,然后选择或创建一个 Google Cloud 项目。
- 点击 + 新建以打开创建连接页面。
- 在位置部分中,选择连接的位置。
- 区域:从下拉列表中选择一个位置。
如需查看所有受支持区域的列表,请参阅位置。
- 点击下一步。
- 区域:从下拉列表中选择一个位置。
- 在连接详情部分中,完成以下操作:
- 连接器:从可用连接器的下拉列表中选择 HTTP。
- 连接器版本:从可用版本的下拉列表中选择一个连接器版本。
- 在连接名称字段中,输入连接实例的名称。
连接名称必须符合以下条件:
- 连接名称可以使用字母、数字或连字符。
- 字母必须小写。
- 连接名称必须以字母开头,以字母或数字结尾。
- 连接名称不能超过 49 个字符。
- (可选)输入连接实例的说明。
- 您可以选择启用 Cloud Logging,然后选择日志级别。默认情况下,日志级别设置为
Error
。 - 服务账号:选择具有所需角色的服务账号。
- (可选)如需检查连接状态,请在状态检查字段中指定端点网址。网址还可以包含端点附加 IP 地址。此状态默认处于有效状态。
- (可选)配置连接节点设置:
- 节点数下限:输入连接节点数下限。
- 节点数上限:输入连接节点数上限。
节点是处理事务的连接单元(或副本)。 连接处理越多事务就需要越多节点,相反,处理越少事务需要越少节点。 如需了解节点如何影响连接器价格,请参阅连接节点的价格。如果未输入任何值,则默认情况下,节点数下限设置为 2(以便提高可用性),节点数上限设置为 50。
- 使用代理:选中此复选框可为连接配置代理服务器。
- (可选)点击 + 添加标签,以键值对的形式向连接添加标签。
- (可选)如果要使用 SSL,请选择启用 SSL。此时会显示 SSL 配置详细信息。
- 选择信任库类型。可以为公共、专用或不安全连接。
- 根据您选择的信任库选择证书。
- 如果您使用的是 mTLS,请在密钥库部分中选择密钥库证书。
- (可选)选择 TLS 版本。
- 输入支持的加密套件。以逗号分隔值的形式输入多个密码套件。如需了解详情,请参阅支持的密码套件。
- 点击下一步。
- 在目标部分中,输入要连接到的远程主机(后端系统)的详细信息。
- 目标类型:选择目标类型。
- 从列表中选择主机地址,以指定目标的主机名或 IP 地址。
- 如果要与后端系统建立专用连接,请从列表中选择端点连接,然后从端点连接列表中选择所需的端点连接。
如果要与后端系统建立公共连接以提高安全性,您可以考虑为连接配置静态出站 IP 地址,然后将防火墙规则配置为仅将特定静态 IP 地址列入许可名单。
如需输入其他目标,请点击 + 添加目标。
- 点击下一步。
- 目标类型:选择目标类型。
-
在身份验证部分中,输入身份验证详细信息。
- 选择身份验证类型,然后输入相关详细信息。
HTTP 连接支持以下身份验证类型:
- 自定义身份验证
- OAuth 2.0 - 客户端凭据授予
- 基本身份验证
- 摘要身份验证
- OAuth 2.0 - 授权代码
- 服务账号
- 服务账号 ID 令牌身份验证
- API 密钥身份验证
- 点击下一步。
如需了解如何配置这些身份验证类型,请参阅配置身份验证。
- 选择身份验证类型,然后输入相关详细信息。
- 查看:查看您的连接和身份验证详细信息。
- 点击创建。
配置身份验证
根据您要使用的身份验证输入详细信息。
- 自定义身份验证
在执行 Connectors 任务的操作期间,可以将自定义授权详细信息添加为请求标头。
- OAuth 2.0 - 客户端凭据授予
- 客户端 ID:用于对 HTTP 请求进行身份验证的客户端 ID。
- 客户端密钥:包含用于对 HTTP 请求进行身份验证的客户端密钥的 Secret Manager Secret。
- 访问令牌的请求格式:在从身份验证服务器提取访问令牌的请求中使用的请求格式。
选择
body
以将客户端 ID 和 Secret 作为请求正文传递,或选择header
以将其作为编码标头传递。 - 令牌请求路径:要附加到身份验证服务器网址以提取访问令牌网址的请求路径。
- 默认过期时间:访问令牌的默认过期时间(以秒为单位)。如果访问令牌响应没有过期时间,系统将使用此时间。如果未提供该值,令牌将在 6 小时后刷新。
- 基本身份验证
- 用户名:用于发出 HTTP 请求的用户名。
- 密码:包含与提供的用户名关联的密码的 Secret Manager Secret。
- 摘要身份验证
- 用户名:用于发出 HTTP 请求的用户名。
- 密码:包含与提供的用户名关联的密码的 Secret Manager Secret。
- OAuth 2.0 - 授权代码
- 客户端 ID:由外部应用提供的客户端 ID。
- 范围 :外部应用支持的权限范围。
- 客户端密钥 :选择 Secret Manager 密钥。 您应该先创建 Secret Manager 密钥,然后再配置此授权。
- 密钥版本:客户端密钥的 Secret Manager 密钥版本。
- (可选)如果您的后端服务器支持 PKCE(用于代码交换的证明密钥),请启用该功能。
- 授权网址 :输入外部应用的授权网址。
- 访问令牌网址 :输入用于获取外部应用的访问令牌的网址。
- 服务账号
选择此选项可使用您在配置此连接的上述步骤中提供的服务账号进行身份验证。确保您提供的服务账号具有进行身份验证所需的相关 IAM 角色和权限。
- 范围:从下拉菜单中选择所需的 OAuth 2.0 范围。如需了解详情,请参阅访问权限范围。
- 服务账号 ID 令牌身份验证
选择此选项可使用您在前面的步骤中提供的服务账号生成的 ID 令牌进行身份验证。此身份验证使用 JSON Web 令牌 (JWT) 进行身份验证。ID 令牌提供程序会对 JWT 进行签名和颁发,以使用服务账号进行身份验证。
- 受众群体:输入 JWT 的目标接收者。
- 标头名称:输入要生成的 ID 令牌的标头名称,以便在 HTTP 标头中使用。如果您未为此字段指定任何值,则默认情况下,键值会设置为
Authorization
。
- API 密钥身份验证
选择此选项可使用 API 密钥进行身份验证。
- API 密钥:选择 API 密钥的 Secret Manager Secret。
- Secret 版本:选择 Secret 版本。
- API 密钥参数名称:输入 API 密钥的参数名称。API 密钥会作为键值对发送到您的后端服务器。您在此处输入的值将用作您之前选择的 API 密钥的密钥名称。
- API 密钥位置:选择要在请求中添加 API 密钥的位置。
对于 Authorization code
身份验证类型,在创建连接后,您应执行一些额外的步骤来配置身份验证。如需了解详情,请参阅创建连接后的其他步骤。
支持的加密套件
TLS 版本 | 支持的加密套件 |
---|---|
1.2 |
|
1.3 |
|
创建连接后的其他步骤
如果您选择了 OAuth 2.0 - Authorization code
作为身份验证方式,则必须在创建连接后执行以下额外步骤:
- 在“连接”页面中,找到新创建的连接。
请注意,新连接器的状态将为需要授权。
- 点击需要授权。
系统随即会显示修改授权窗格。
- 将重定向 URI 值复制到您的外部应用。
- 验证授权详情。
- 点击 Authorize(授权)。
如果授权成功,“连接”页面中的连接状态将设为活跃。
重新授权授权代码
如果您使用的是 Authorization code
身份验证类型,并且在后端 HTTP 应用中进行了任何配置更改,则必须重新授权 HTTP 连接。如需重新授权关联,请执行以下步骤:
- 在“连接”页面中,点击所需的连接。
系统随即会打开连接详情页面。
- 点击修改以修改关联详情。
- 在身份验证部分中,验证 OAuth 2.0 - 授权代码详细信息。
根据需要进行必要的更改。
- 点击保存。您随即会进入连接详情页面。
- 点击身份验证部分中的修改授权。系统随即会显示 Authorize(授权)窗格。
- 点击 Authorize(授权)。
如果授权成功,“连接”页面中的连接状态将设为活跃。
实体、操作和动作
所有集成连接器都会为所连接应用的对象提供抽象层。您只能通过此抽象访问应用的对象。抽象作为实体、操作和动作向您展示。
- 实体:实体可以被视为连接的应用或服务中的对象或属性集合。不同连接器的实体定义也会有所不同。例如,在数据库连接器中,表是实体;在文件服务器连接器中,文件夹是实体;在消息传递系统连接器中,队列是实体。
但可能的情况是,连接器不支持或不具有任何实体,在这种情况下,
Entities
列表将为空。 - 操作:操作是指您可以对实体执行的操作。您可以对实体执行以下任一操作:
从可用列表中选择一个实体,系统会生成该实体可用的操作列表。如需了解操作的详细说明,请参阅连接器任务的实体操作。不过,如果连接器不支持任何实体操作,则
Operations
列表中不会列出此类不受支持的操作。 - 动作:动作是可通过连接器接口提供给集成的头等函数。动作可让您对一个或多个实体进行更改,并且动作因连接器而异。通常,操作会有一些输入参数和一个输出参数。但可能的情况是,连接器不支持任何动作,在这种情况下,
Actions
列表将为空。
系统限制
HTTP 连接器每个节点每秒可处理 100 笔交易,并会对超出此限制的所有交易进行节流。默认情况下,Integration Connectors 会为连接分配 2 个节点(以提高可用性)。
如需了解适用于 Integration Connectors 的限制,请参阅限制。
支持的操作
HTTP 连接器支持以下操作:
HttpRequest 操作
下表介绍了 HttpRequest 操作的输入和输出参数。
HttpRequest 操作的输入参数
参数名称 | 数据类型 | 必需 | 说明 |
---|---|---|---|
网址 | 结构体 | 否 | 要为其发送请求的网址。网址的格式为 <scheme>://<netloc>/<path>;<params>?<query>#<fragment> 。如果您提供 netloc ,它将替换在创建连接期间提供的主机名。 |
方法 | 字符串 | 否 | HTTP 请求方法,例如 GET、POST、DELETE 或 PUT。默认值为 GET。 |
标头 | 结构体 | 否 | HTTP 请求标头。 |
正文 | 字符串 | 否 | HTTP 请求正文。 |
RequestHasBytes | 布尔值 | 否 | 是否以字节的形式发送请求。如果此属性设置为 true ,则您必须在 Body 参数中以 Base64 编码的字符串形式发送请求。默认值为 false 。 |
ResponseHasBytes | 布尔值 | 否 | 是否以字节的形式接收响应。如果设置为 true ,则您将在 ResponseBody 输出参数中收到以 Base64 编码的字符串形式的响应。默认值为 false 。 |
HttpVersion | 字符串 | 否 | 发出请求时使用的 HTTP 版本。支持的值为 1.1 和 2。如果您指定版本 2,则系统会进行 ALPN(应用层协议协商)协商,如果服务器不支持版本 2,则将使用版本 1.1。默认值为 2。 |
ResponseFormat | 字符串 | 否 | 指定来自连接器的响应格式。支持的值为 v1 和 v2 。默认值为 v1 。
v1 响应示例: [{ "ResponseBody": "{\n \"status\": 200\n}" }, { "StatusCode": 200.0 }, { "HttpVersion": "2" }, { "ResponseHeaders": { ":status": "200", "content-length": "19" } }] v2 响应示例: [{ "ResponseBody": "{\n \"status\": 200\n}", "StatusCode": 200.0, "HttpVersion": "2", "ResponseHeaders": { ":status": "200", "content-length": "19" } }] |
FailOnError | 布尔值 | 否 | 指定后端应用出现错误时连接的行为。
默认值为 |
超时 | 整数 | 否 | HTTP 请求的超时值(以秒为单位)。允许的最大值为 150 秒。 |
HttpRequest 操作的输出参数
参数名称 | 数据类型 | 说明 |
---|---|---|
ResponseBody | 字符串 | 从 HTTP 服务器收到的响应。 |
StatusCode | 整数 | 从 HTTP 服务器收到的状态代码。 |
HttpVersion | 字符串 | 为 HTTP 请求协商的版本。 |
ResponseHeaders | 结构体 | key,value 对的 HTTP 响应标头。 |
示例
本部分中的示例介绍了以下操作:
- 配置请求载荷
- 发送字节内容
- 获取字节内容
下表列出了连接器任务中的示例场景和相应的配置:
任务 | 配置 |
---|---|
配置请求载荷 |
此示例向 |
发送字节内容 |
如需发送字节(例如文件)内容,您必须将
此示例向 |
获取字节内容 |
如需从服务器获取字节(以 Base64 字符串的形式),您必须将
此示例向 |
错误代码
本部分介绍您在使用 HTTP 连接时可能会收到的错误消息。
错误消息 | 原因 |
---|---|
连接到 HTTP 服务器时出错 | 由于 SSL 握手失败或 HTTP 服务器端点不正确,HTTP 连接无法与服务器建立连接。 |
从 HTTP 服务器收到的错误响应 | 您尝试连接的 HTTP 服务器返回状态代码为 4xx 或 5xx 的错误响应。示例响应:
{ "error": { "code": 400, "details": [ { "@type": "type.googleapis.com/google.rpc.ErrorInfo", "metadata": { "Body": "{\"thisIsResponseJSON\":\"someValue\"}" "Error": "Error response received from the HTTP server", "Headers": "{\":status\":[\"400\"], \"access-control-allow-credentials\":[\"true\"]}", "StatusCode": "400", "connection_type": "Http" } } ], "message": "Unable to execute HTTP Request", "status": "FAILED_PRECONDITION" } } |
提取访问令牌时出错 | 检索 OAuth Client Credentials Grant 身份验证类型的访问令牌时出错。 |
摘要身份验证错误 | 连接器运行时未收到摘要质询,或者质询的类型不受支持。 |
使用 Terraform 创建连接
您可以使用 Terraform 资源创建新的连接。如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
如需查看用于创建连接的 Terraform 模板示例,请参阅模板示例。
使用 Terraform 创建此连接时,您必须在 Terraform 配置文件中设置以下变量:
参数名称 | 数据类型 | 必需 | 说明 |
---|---|---|---|
proxy_enabled | BOOLEAN | 错误 | 选中此复选框可为连接配置代理服务器。 |
在集成中使用 HTTP 连接
创建连接后,该连接将在 Apigee Integration 和 Application Integration 中可用。您可以通过连接器任务在集成中使用该连接。