HTTP

HTTP 连接器提供与 HTTP 服务的连接并使用基于 HTTP 的 API。连接器 还支持通过自定义配置进行的 SSL/TLS 连接,并支持各种身份验证 OAuth 2.0 客户端凭据授予、基本和摘要等机制。

准备工作

在使用 HTTP 连接器之前,请先完成以下任务:

  • 在您的 Google Cloud 项目中:
    • 将 IAM 角色 roles/connectors.admin 授予该用户 配置连接器。
    • 将以下 IAM 角色授予您要用其来使用连接器的服务账号:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      服务账号是一种特殊类型的 Google 账号,用于表示需要验证身份并获得授权以访问 Google API 数据的非人类用户。如果您没有服务账号,则必须创建一个服务账号。如需了解详情,请参阅创建服务账号

    • 启用以下服务:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      如需了解如何启用服务,请参阅启用服务

    如果之前没有为您的项目启用这些服务或权限,则在您配置连接器时,系统会提示您启用。

配置连接器

配置连接器时,您需要创建与数据源(即后端系统)的连接。一个连接需专用于一个数据源。这意味着,如果您有许多数据源,则必须为每个数据源创建单独的连接。如需创建连接,请执行以下步骤:

  1. Cloud 控制台 中,进入 Integration Connectors > 连接页面,然后选择或创建一个 Google Cloud 项目。

    转到“连接”页面

  2. 点击 + 新建,打开创建连接页面。
  3. 位置部分中,选择连接的位置。
    1. 区域:从下拉列表中选择一个位置。

      如需查看所有受支持区域的列表,请参阅位置

    2. 点击下一步
  4. 连接详情部分中,完成以下操作:
    1. 连接器:从可用连接器的下拉列表中选择 HTTP
    2. 连接器版本:从可用版本的下拉列表中选择一个连接器版本。
    3. 连接名称字段中,输入连接实例的名称。

      连接名称必须符合以下条件:

      • 连接名称可以使用字母、数字或连字符。
      • 字母必须小写。
      • 连接名称必须以字母开头,以字母或数字结尾。
      • 连接名称不能超过 49 个字符。
    4. (可选)输入连接实例的说明
    5. (可选)启用 Cloud Logging。 然后选择一个日志级别默认情况下,日志级别设置为 Error
    6. 服务账号:选择具有所需角色的服务账号。
    7. (可选)要检查连接状态,请在状态检查字段中,指定端点网址。该网址还可以包含端点连接 IP 地址。此状态默认处于有效状态。
    8. (可选)配置连接节点设置

      • 节点数下限:输入连接节点数下限。
      • 节点数上限:输入连接节点数上限。

      节点是处理事务的连接单元(或副本)。 连接处理越多事务就需要越多节点,相反,处理越少事务需要越少节点。 如需了解节点如何影响连接器价格,请参阅连接节点的价格。如果未输入任何值,则默认情况下,节点数下限设置为 2(以便提高可用性),节点数上限设置为 50。

    9. 使用代理:选中该复选框,为连接配置代理服务器。
      1. 点击+ 添加目标
      2. 选择目标类型
        • 主机地址:指定目标的主机名或 IP 地址。

          如果您想与后端建立专用连接,请执行以下操作:

    10. (可选)点击 + 添加标签,以键值对的形式向连接添加标签。
    11. (可选)如果要使用 SSL,请选择启用 SSL。此时会显示 SSL 配置详细信息。
      1. 选择信任库类型。可以为公共专用不安全连接
      2. 根据您选择的信任库选择证书。
      3. 如果您使用的是 mTLS,请在密钥库部分中选择密钥库证书。
      4. (可选)选择 TLS 版本。
      5. 输入支持的加密套件。输入多个加密套件,例如 (以英文逗号分隔的值)。如需了解详情,请参阅支持的加密套件
    12. 点击下一步
  5. 目标部分中,输入要连接到的远程主机(后端系统)的详细信息。
    1. 目的地类型:选择目的地类型
      • 从列表中选择主机地址,以指定目的地的主机名或 IP 地址。
      • 如果要与后端系统建立专用连接,请从列表中选择端点连接,然后从端点连接列表中选择所需的端点连接。

      如果要与后端系统建立公共连接以提高安全性,您可以考虑为连接配置静态出站 IP 地址,然后将防火墙规则配置为仅将特定静态 IP 地址列入许可名单。

      要输入其他目的地,请点击 + 添加目的地

    2. 点击下一步
  6. 身份验证部分中,输入身份验证详细信息。
    1. 选择身份验证类型,然后输入相关详细信息。

      HTTP 连接支持以下身份验证类型:

      2. 如需了解如何配置这些身份验证类型,请参阅配置身份验证

    2. 点击下一步
  7. 查看:查看您的连接和身份验证详细信息。
  8. 点击创建

配置身份验证

根据您要使用的身份验证输入详细信息。

  • 自定义身份验证

    在执行 Connectors 任务的操作期间,可以将自定义授权详细信息添加为请求标头。

  • OAuth 2.0 - 客户端凭据授权
    • 客户端 ID:用于对 HTTP 请求进行身份验证的客户端 ID。
    • 客户端密钥:包含用于对 HTTP 请求进行身份验证的客户端密钥的 Secret Manager Secret。
    • 访问令牌的请求格式:用于从身份验证服务器提取访问令牌的请求中使用的请求格式。 选择 body 以将客户端 ID 和 Secret 作为请求正文传递,或选择 header 以将其作为编码标头传递。
    • Token Request Path(令牌请求路径):要附加到身份验证服务器网址以提取访问令牌网址的请求路径。
    • 默认过期时间:访问令牌的默认过期时间(以秒为单位)。如果访问令牌响应没有过期时间,系统将使用此时间。如果未提供该值,令牌将在 6 小时后刷新。
  • 基本身份验证
    • 用户名:用于发出 HTTP 请求的用户名。
    • 密码:包含与提供的用户名关联的密码的 Secret Manager Secret。
  • 摘要身份验证
    • 用户名:用于发出 HTTP 请求的用户名。
    • 密码:包含与提供的用户名关联的密码的 Secret Manager Secret。
  • OAuth 2.0 - 授权代码
    • 客户端 ID:由外部应用提供的客户端 ID。
    • 范围: 外部应用支持的权限范围。
    • 客户端密钥 :选择 Secret Manager 密钥。 您应该先创建 Secret Manager 密钥,然后再配置此授权。
    • 密钥版本:客户端密钥的 Secret Manager 密钥版本。
    • (可选)启用 PKCE(用于代码交换的证明密钥),前提是您的后端服务器支持此功能。
    • 授权网址:输入外部应用的授权网址。
    • 访问令牌网址:输入用于获取外部应用的访问令牌的网址。

    对于 Authorization code 身份验证类型,在创建连接后,您需要 应该执行一些额外的步骤来配置身份验证。如需更多信息 请参阅创建连接后的其他步骤

  • 服务账号

    选择此选项可使用您在配置此连接的上述步骤中提供的服务账号进行身份验证。确保您已经 为服务账号提供了身份验证所需的相关 IAM 角色和权限。

    • 范围:从下拉菜单中选择所需的 OAuth 2.0 范围。如需了解详情,请参阅 访问权限范围
  • 服务账号 ID 令牌身份验证

    选择此选项可使用从 您在前面步骤中提供的 ID。此身份验证使用 JSON Web 令牌 (JWT) 进行身份验证。ID 令牌提供者,签署并签发 使用服务账号进行身份验证的 JWT。

    • 受众群体:输入 JWT 的目标接收者。
    • 标头名称:输入要在 HTTP 标头中使用的生成的 ID 令牌的标头名称。如果您 为此字段指定任意值,默认情况下,键值设置为 Authorization
  • API 密钥身份验证

    选择此选项可使用 API 密钥进行身份验证。

    • API 密钥:选择 API 密钥的 Secret Manager Secret。
    • Secret 版本:选择 Secret 版本。
    • API 密钥参数名称:输入 API 密钥的参数名称。API 密钥会作为键值对发送到您的后端服务器。您在此处输入的值将用作 您之前选择的 API 密钥。
    • API 密钥位置:选择您要在请求中添加 API 密钥的位置。

支持的加密套件

TLS 版本 支持的加密套件
1.2
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
1.3
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

创建连接后的其他步骤

如果您选择了 OAuth 2.0 - Authorization code 作为身份验证方式,则必须在创建连接后执行以下额外步骤:

  1. “连接”页面中, 找到新创建的连接。

    请注意,新连接器的状态将为需要授权

  2. 点击需要授权

    系统随即会显示修改授权窗格。

  3. 重定向 URI 值复制到您的外部应用。
  4. 验证授权详情。
  5. 点击 Authorize(授权)。

    如果授权成功,“连接”页面中的连接状态将设为活跃

重新授权授权代码

如果您使用的是 Authorization code 身份验证类型,并且在后端 HTTP 应用中进行了任何配置更改,则必须重新授权 HTTP 连接。如需重新授权连接,请执行以下步骤:

  1. “连接”页面中点击所需的连接。

    系统随即会打开连接详情页面。

  2. 点击修改以修改关联详情。
  3. 验证 Authentication(身份验证)部分中的 OAuth 2.0 - Authorization code(OAuth 2.0 - 授权代码)详细信息。

    根据需要进行必要的更改。

  4. 点击保存。系统随即会转到连接详情页面。
  5. 点击身份验证部分中的修改授权。此时将显示授权窗格。
  6. 点击 Authorize(授权)。

    如果授权成功,“连接”页面中的连接状态将设置为有效

实体、操作和动作

所有集成连接器都会为所连接应用的对象提供抽象层。您只能通过此抽象访问应用的对象。抽象作为实体、操作和动作向您展示。

  • 实体:实体可以被视为连接的应用或服务中的对象或属性集合。不同连接器的实体定义也会有所不同。例如,在数据库连接器中,表是实体;在文件服务器连接器中,文件夹是实体;在消息传递系统连接器中,队列是实体。

    但可能的情况是,连接器不支持或不具有任何实体,在这种情况下,Entities 列表将为空。

  • 操作:操作是指您可以对实体执行的操作。您可以对实体执行以下任一操作:

    从可用列表中选择一个实体,系统会生成该实体可用的操作列表。如需了解操作的详细说明,请参阅连接器任务的实体操作。不过,如果连接器不支持任何实体操作,则 Operations 列表中不会列出此类不受支持的操作。

  • 动作:动作是可通过连接器接口提供给集成的头等函数。动作可让您对一个或多个实体进行更改,并且动作因连接器而异。通常,操作将具有一些输入参数和一个输出参数。但可能的情况是,连接器不支持任何动作,在这种情况下,Actions 列表将为空。

系统限制

HTTP 连接器每个节点每秒可处理 100 笔交易,并会对超出此限制的所有交易进行节流。默认情况下,集成连接器会为连接分配 2 个节点(以提高可用性)。

如需了解适用于集成连接器的限制,请参阅限制

支持的操作

HTTP 连接器支持以下操作:

HttpRequest 操作

下表介绍了 HttpRequest 操作的输入和输出参数。

HttpRequest 操作的输入参数

参数名称 数据类型 必需 说明
网址 结构体 要为其发送请求的网址。网址的格式为 <scheme>://<netloc>/<path>;<params>?<query>#<fragment>。如果您提供 netloc,它将替换在创建连接期间提供的主机名。
方法 字符串 HTTP 请求方法,例如 GET、POST、DELETE 或 PUT。默认值为 GET。
标头 结构体 HTTP 请求标头。
正文 字符串 HTTP 请求正文。
RequestHasBytes 布尔值 是否以字节的形式发送请求。如果此属性设置为 true,则您必须在 Body 参数中以 Base64 编码的字符串形式发送请求。默认值为 false
ResponseHasBytes 布尔值 是否以字节的形式接收响应。如果设置为 true,则您将在 ResponseBody 输出参数中收到以 Base64 编码的字符串形式的响应。默认值为 false
HttpVersion 字符串 发出请求时使用的 HTTP 版本。支持的值为 1.1 和 2。如果您指定版本 2,则系统会进行 ALPN(应用层协议协商)协商,如果服务器不支持版本 2,则将使用版本 1.1。默认值为 2。
ResponseFormat 字符串 指定连接器的响应格式。支持的值为 v1v2。 默认值为 v1

v1 响应示例

[{
"ResponseBody": "{\n \"status\": 200\n}"
}, {
"StatusCode": 200.0
}, {
"HttpVersion": "2"
}, {
"ResponseHeaders": {
":status": "200",
"content-length": "19"
}
}]

v2 响应示例

[{
"ResponseBody": "{\n \"status\": 200\n}",
"StatusCode": 200.0,
"HttpVersion": "2",
"ResponseHeaders": {
":status": "200",
"content-length": "19"
}
}]
FailOnError 布尔值 指定后端应用出现错误时连接的行为。
  • true - 抛出异常。后端抛出的异常会在连接的响应中传播。
  • false - 不抛出异常。但会在响应中返回错误代码和错误消息。

默认值为 true
超时 整数 HTTP 请求的超时值(以秒为单位)。允许的最大值为 150 秒。

HttpRequest 操作的输出参数

参数名称 数据类型 说明
ResponseBody 字符串 从 HTTP 服务器收到的响应。
StatusCode 整数 从 HTTP 服务器收到的状态代码。
HttpVersion 字符串 为 HTTP 请求协商的版本。
ResponseHeaders 结构体 key,value 对的 HTTP 响应标头。

示例

本部分中的示例介绍了以下操作:

  • 配置请求载荷
  • 发送字节内容
  • 获取字节内容

下表列出了连接器任务中的示例场景和相应的配置:

任务 配置
配置请求载荷
  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    {
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
    "path": "post",
    "query": "example=A&sort=value",
    "fragment": "exampleFragment"
  },
  "Method": "POST",
  "Headers": {
    "Accept": ["application/json", "application/xml"],
    "a": "b"
  },
  "Body": "{\"thisIsRequestJSON\":\"someValue\"}"
}
  4. 点击保存

此示例向 https://httpbin.org/post?example=A&=value#exampleFragment 网址发出 POST 请求。由于载荷中提供了 netloc,因此它会替换在创建连接期间提供的主机名。
发送字节内容

如需发送字节(例如文件)内容,您必须将 RequestHasBytes 请求属性设置为 true,并将 body 属性设置为要发送的 Base64 编码字符串,如以下示例所示。

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    {
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
  },
  "Method": "POST",
  "Headers": {
    "Accept": ["application/json", "application/xml"],
    "a": "b"
  },
  "Body": "SGVsbG8gV29ybGQ=",
  "RequestHasBytes":true
}
  4. 点击保存

此示例在请求正文中向 httpbin.org 服务器发出 POST 请求 以 Base64 编码字符串的形式发送文件内容。服务器可以决定如何 处理文件内容。
获取字节内容

如需从服务器获取字节(作为 Base64 字符串),您必须设置 ResponseHasBytes 请求属性传递给 true,如以下示例所示。

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    {
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
  },
  "Method": "GET",
  "ResponseHasBytes":true
}
  4. 点击保存

此示例向 httpbin.org 服务器发出 GET 请求,并在请求正文中将 ResponseHasBytes 设置为 true

错误代码

本部分介绍您在使用 HTTP 连接时可能会收到的错误消息。

错误消息 原因
连接到 HTTP 服务器时出错 由于 SSL 握手失败或 HTTP 服务器端点不正确,HTTP 连接无法与服务器建立连接。
从 HTTP 服务器收到的错误响应 您尝试连接的 HTTP 服务器返回状态代码为 4xx 或 5xx 的错误响应。示例响应: 
{
  "error": {
    "code": 400,
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.ErrorInfo",
        "metadata": {
          "Body": "{\"thisIsResponseJSON\":\"someValue\"}"
          "Error": "Error response received from the HTTP server",
          "Headers": "{\":status\":[\"400\"], \"access-control-allow-credentials\":[\"true\"]}",
          "StatusCode": "400",
          "connection_type": "Http"
        }
      }
    ],
    "message": "Unable to execute HTTP Request",
    "status": "FAILED_PRECONDITION"
  }
}
提取访问令牌时出错 检索 OAuth Client Credentials Grant 身份验证类型的访问令牌时出错。
摘要身份验证错误 连接器运行时未收到摘要质询,或者质询的类型不受支持。

使用 Terraform 创建连接

您可以使用 Terraform 资源创建新的连接。

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

如需查看用于创建连接的 Terraform 模板示例,请参阅模板示例

使用 Terraform 创建此连接时,您必须在 Terraform 配置文件中设置以下变量:

参数名称 数据类型 必需 说明
proxy_enabled BOOLEAN 错误 选中此复选框可为连接配置代理服务器。

在集成中使用 HTTP 连接

创建连接后,该连接便可在 Apigee Integration 和 Application Integration。您可以使用连接 通过连接器任务在集成中进行集成。

  • 如需了解如何在 Apigee Integration 中创建和使用连接器任务,请参阅连接器任务
  • 如需了解如何在 Application Integration 中创建和使用连接器任务,请参阅连接器任务

向 Google Cloud 社区寻求帮助

您可以在 Google Cloud 中发布问题和讨论此连接器 Cloud 论坛

后续步骤