HTTP

HTTP 连接器提供与 HTTP 服务的连接,并使用基于 HTTP 的 API。该连接器还支持通过自定义配置进行 SSL/TLS 连接,并且支持各种身份验证机制,例如 OAuth 2.0 客户端凭据授权、基本和摘要等。

准备工作

在使用 HTTP 连接器之前,请先完成以下任务:

  • 在您的 Google Cloud 项目中:
    • roles/connectors.admin IAM 角色授予配置连接器的用户。
    • 将以下 IAM 角色授予您要用其来使用连接器的服务账号:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      服务账号是一种特殊类型的 Google 账号,用于表示需要验证身份并获得授权以访问 Google API 数据的非人类用户。如果您没有服务账号,则必须创建一个服务账号。如需了解详情,请参阅创建服务账号

    • 启用以下服务:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      如需了解如何启用服务,请参阅启用服务

    如果之前没有为您的项目启用这些服务或权限,则在您配置连接器时,系统会提示您启用。

配置连接器

配置连接器时,您需要创建与数据源(即后端系统)的连接。一个连接需专用于一个数据源。这意味着,如果您有许多数据源,则必须为每个数据源创建单独的连接。如需创建连接,请执行以下步骤:

  1. Cloud 控制台 中,进入 Integration Connectors > 连接页面,然后选择或创建一个 Google Cloud 项目。

    转到“连接”页面

  2. 点击 + 新建以打开创建连接页面。
  3. 位置部分中,选择连接的位置。
    1. 区域:从下拉列表中选择一个位置。

      如需查看所有受支持区域的列表,请参阅位置

    2. 点击下一步
  4. 连接详情部分中,完成以下操作:
    1. 连接器:从可用连接器的下拉列表中选择 HTTP
    2. 连接器版本:从可用版本的下拉列表中选择一个连接器版本。
    3. 连接名称字段中,输入连接实例的名称。

      连接名称必须符合以下条件:

      • 连接名称可以使用字母、数字或连字符。
      • 字母必须小写。
      • 连接名称必须以字母开头,以字母或数字结尾。
      • 连接名称不能超过 63 个字符。
    4. (可选)输入连接实例的说明
    5. 服务账号:选择具有所需角色的服务账号。
    6. (可选)配置连接节点设置

      • 节点数下限:输入连接节点数下限。
      • 节点数上限:输入连接节点数上限。

      节点是处理事务的连接单元(或副本)。 连接处理越多事务就需要越多节点,相反,处理越少事务需要越少节点。 如需了解节点如何影响连接器价格,请参阅连接节点的价格。如果未输入任何值,则默认情况下,节点数下限设置为 2(以便提高可用性),节点数上限设置为 50。

    7. 使用代理:选中该复选框可配置用于连接的代理服务器。
      1. 点击+ 添加目标
      2. 选择目标类型
        • 主机地址:指定目标的主机名或 IP 地址。

          如果要与后端建立专用连接,请执行以下操作:

    8. (可选)点击 + 添加标签,以键值对的形式向连接添加标签。
    9. (可选)如果要使用 SSL,请选择启用 SSL。此时会显示 SSL 配置详细信息。
      1. 选择信任库类型。可以为公共专用不安全连接
      2. 根据您选择的信任库选择证书。
      3. 如果您使用的是 mTLS,请在密钥库部分中选择密钥库证书。
      4. (可选)选择 TLS 版本。
      5. 输入支持的加密套件。请以逗号分隔值的形式输入多个加密套件。如需了解详情,请参阅支持的加密套件
    10. 点击下一步
  5. 目标部分中,输入要连接到的远程主机(后端系统)的详细信息。
    1. Destination Type:选择 Destination Type
      1. 主机地址字段中,指定目标的主机名或 IP 地址。
        1. 如果要与后端系统建立专用连接,请按以下步骤操作:
          1. 创建 PSC 服务连接
          2. 创建端点连接然后在主机地址字段中输入端点连接的详细信息。
        2. 如果要与后端系统建立公共连接以提高安全性,您可以考虑为连接配置静态出站 IP 地址,然后将防火墙规则配置为仅将特定静态 IP 地址列入许可名单。

      要输入其他目的地,请点击 + 添加目的地

    2. 点击下一步
  6. 身份验证部分中,输入身份验证详细信息。
    1. 选择身份验证类型,然后输入相关详细信息。

      HTTP 连接支持以下身份验证类型:

      2. 如需了解如何配置这些身份验证类型,请参阅配置身份验证

    2. 点击下一步
  7. 查看:查看您的连接和身份验证详细信息。
  8. 点击创建

配置身份验证

根据您要使用的身份验证输入详细信息。

  • 自定义身份验证

    您可以在执行连接器任务的操作期间,将自定义授权详细信息添加为请求标头。

  • OAuth 2.0 - 客户端凭据授权
    • 客户端 ID:用于对 HTTP 请求进行身份验证的客户端 ID。
    • 客户端密钥:包含用于对 HTTP 请求进行身份验证的客户端密钥的 Secret Manager Secret。
    • 访问令牌的请求格式:在从身份验证服务器提取访问令牌的请求中使用的请求格式。 选择 body 可将客户端 ID 和 Secret 作为请求正文传递,选择 header 可将其作为编码标头传递。
    • Token Request Path:要附加到身份验证服务器网址的请求路径,用于提取访问令牌网址。
    • 默认到期时间:访问令牌的默认到期时间(以秒为单位)。如果访问令牌响应没有到期时间,将使用此时间。如果未提供值,系统将在 6 小时后刷新令牌。
  • 基本身份验证
    • 用户名:用于发出 HTTP 请求的用户名。
    • Password:包含与所提供的用户名关联的密码的 Secret Manager Secret。
  • 摘要身份验证
    • 用户名:用于发出 HTTP 请求的用户名。
    • Password:包含与所提供的用户名关联的密码的 Secret Manager Secret。
  • OAuth 2.0 - 授权代码
    • 客户端 ID:由外部应用提供的客户端 ID。
    • 范围 :外部应用支持的权限范围。
    • 客户端密钥 :选择 Secret Manager 密钥。您应该先创建 Secret Manager 密钥,然后再配置此授权。
    • 密钥版本:客户端密钥的 Secret Manager 密钥版本。
    • (可选)启用 PKCE(用于代码交换的证明密钥),前提是您的后端服务器支持。
    • 授权网址 :输入外部应用的授权网址。
    • 访问令牌网址 :输入用于获取外部应用的访问令牌的网址。

    对于 Authorization code 身份验证类型,在创建连接后,您应额外执行一些步骤来配置身份验证。如需了解详情,请参阅创建连接后的其他步骤

  • 服务帐号

    选择此选项,以使用您在配置此连接时在上述步骤中提供的服务帐号进行身份验证。确保您已为服务帐号提供身份验证所需的相关 IAM 角色和权限。

    • 范围:输入所需的访问权限范围(以英文逗号分隔)。如需了解详情,请参阅访问权限范围
  • 服务帐号 ID 令牌身份验证

    选择此选项,使用您在上述步骤中提供的服务帐号生成的 ID 令牌进行身份验证。此身份验证使用 JSON Web 令牌 (JWT) 进行身份验证。ID 令牌提供方,使用服务帐号对 JWT 进行签名并发出,以进行身份验证。

    • 目标对象:输入 JWT 的目标收件人。
    • 标头名称:输入要在 HTTP 标头中使用的生成的 ID 令牌的标头名称。如果您没有为此字段指定任何值,则默认情况下,键值会设置为 Authorization
  • API 密钥身份验证

    选择此选项可使用 API 密钥进行身份验证。

    • API key:选择 API 密钥的 Secret Manager Secret。
    • 密钥版本:选择密钥版本。
    • API 密钥参数名称:输入 API 密钥的参数名称。API 密钥以键值对的形式发送到后端服务器。您在此处输入的值将用作您之前选择的 API 密钥的密钥名称。
    • API key location:选择您要在请求中添加 API 密钥的位置。

支持的加密套件

TLS 版本 支持的加密套件
1.2
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
1.3
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

创建连接后的其他步骤

如果您选择 OAuth 2.0 - Authorization code 进行身份验证,则必须在创建连接后执行以下额外的步骤:

  1. “连接”页面中,找到新创建的连接。

    请注意,新连接器的状态将显示为需要授权

  2. 点击需要授权

    系统随即会显示修改授权窗格。

  3. 重定向 URI 值复制到您的外部应用。
  4. 验证授权详细信息。
  5. 点击 Authorize(授权)。

    如果授权成功,“连接”页面中的连接状态将设置为活跃

重新授权授权代码

如果您使用的是 Authorization code 身份验证类型,并且在后端 HTTP 应用中进行了任何配置更改,则必须重新授权 HTTP 连接。如需重新授权连接,请执行以下步骤:

  1. “连接”页面中点击所需的连接。

    系统随即会打开连接详情页面。

  2. 点击 Edit 以修改连接详情。
  3. Authentication(身份验证)部分中验证 OAuth 2.0 - Authorization code 详细信息。

    根据需要进行必要的更改。

  4. 点击保存。系统随即会将您转到连接详情页面。
  5. 点击 Authentication 部分中的修改授权。系统将显示授权窗格。
  6. 点击 Authorize(授权)。

    如果授权成功,“连接”页面中的连接状态将设置为有效

实体、操作和动作

所有集成连接器都会为所连接应用的对象提供抽象层。您只能通过此抽象访问应用的对象。抽象作为实体、操作和动作向您展示。

  • 实体:实体可以被视为连接的应用或服务中的对象或属性集合。不同连接器的实体定义也会有所不同。例如,在数据库连接器中,表是实体;在文件服务器连接器中,文件夹是实体;在消息传递系统连接器中,队列是实体。

    不过,可能连接器不支持或不支持任何实体,在这种情况下,Entities 列表将为空。

  • 操作:操作是指您可以对实体执行的操作。您可以对实体执行以下任一操作:

    从可用列表中选择一个实体,系统会生成该实体可用的操作列表。如需了解操作的详细说明,请参阅连接器任务的实体操作。但是,如果连接器不支持任何实体操作,则此类不受支持的操作不会列在 Operations 列表中。

  • 动作:动作是可通过连接器接口提供给集成的头等函数。动作可让您对一个或多个实体进行更改,并且动作因连接器而异。但可能的情况是,连接器不支持任何动作,在这种情况下,Actions 列表将为空。

系统限制

HTTP 连接器每秒可以为每个节点处理 100 个事务,并且会限制任何超出此限制的事务。默认情况下,Integration Connectors 会为连接分配 2 个节点(以提高可用性)。

如需了解适用于 Integration Connectors 的限制,请参阅限制

支持的操作

HTTP 连接器支持以下操作:

HttpRequest 操作

下表介绍了 HttpRequest 操作的输入和输出参数。

HttpRequest 操作的输入参数

参数名称 数据类型 需要 说明
网址 结构体 要为其发送请求的网址。网址的格式为 <scheme>://<netloc>/<path>;<params>?<query>#<fragment>。如果您提供 netloc,它将替换在创建连接期间提供的主机名。
方法 字符串 HTTP 请求方法,例如 GET、POST、DELETE 或 PUT。默认值为 GET。
标头 结构体 HTTP 请求标头。
正文 字符串 HTTP 请求正文。
RequestHasBytes 布尔值 是否以字节的形式发送请求。如果此属性设置为 true,则您必须在 Body 参数中以 Base64 编码的字符串形式发送请求。默认值为 false
ResponseHasBytes 布尔值 是否以字节的形式接收响应。如果设置为 true,则您将在 ResponseBody 输出参数中收到以 Base64 编码的字符串形式的响应。默认值为 false
HttpVersion 字符串 发出请求时使用的 HTTP 版本。支持的值为 1.1 和 2。如果您指定版本 2,则系统会进行 ALPN(应用层协议协商)协商,如果服务器不支持版本 2,则将使用版本 1.1。默认值为 2。
ResponseFormat 字符串 指定连接器响应的格式。支持的值包括 v1v2。默认值为 v1

v1 响应示例


[{
"ResponseBody": "{\n \"status\": 200\n}"
}, {
"StatusCode": 200.0
}, {
"HttpVersion": "2"
}, {
"ResponseHeaders": {
":status": "200",
"content-length": "19"
}
}]

v2 响应示例


[{
"ResponseBody": "{\n \"status\": 200\n}",
"StatusCode": 200.0,
"HttpVersion": "2",
"ResponseHeaders": {
":status": "200",
"content-length": "19"
}
}]
FailOnError 布尔值 指定后端应用出错时的连接行为。
  • true - 抛出异常。后端抛出的异常会在连接的响应中传播。
  • false - 不抛出异常。但在响应中会返回错误代码和错误消息。

默认值为 true

HttpRequest 操作的输出参数

参数名称 数据类型 说明
ResponseBody 字符串 从 HTTP 服务器收到的响应。
StatusCode 整数 从 HTTP 服务器收到的状态代码。
HttpVersion 字符串 为 HTTP 请求协商的版本。
ResponseHeaders 结构体 key,value 对的 HTTP 响应标头。

示例

本部分中的此示例介绍了以下操作:

  • 配置请求载荷
  • 发送字节内容
  • 获取字节内容

下表列出了连接器任务中的示例场景和相应的配置:

任务 配置
配置请求载荷
  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    
{
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
    "path": "post",
    "query": "example=A&sort=value",
    "fragment": "exampleFragment"
  },
  "Method": "POST",
  "Headers": {
    "Accept": ["application/json", "application/xml"],
    "a": "b"
  },
  "Body": "{\"thisIsRequestJSON\":\"someValue\"}"
}
  4. 点击保存

此示例向 https://httpbin.org/post?example=A&=value#exampleFragment 网址发出 POST 请求。由于载荷中提供了 netloc,因此它会替换在创建连接期间提供的主机名。
发送字节内容

如需发送字节(如文件)内容,您必须将 RequestHasBytes 请求属性设置为 true,并将 body 属性设置为要发送的 Base64 编码字符串,如以下示例所示。

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    
{
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
  },
  "Method": "POST",
  "Headers": {
    "Accept": ["application/json", "application/xml"],
    "a": "b"
  },
  "Body": "SGVsbG8gV29ybGQ=",
  "RequestHasBytes":true
}
  4. 点击保存

此示例向 httpbin.org 服务器发出 POST 请求,并在请求正文中以 Base64 编码字符串的形式发送文件内容。服务器可以决定如何处理文件内容。
获取字节内容

如需从服务器获取字节(以 Base64 字符串的形式),您必须将 ResponseHasBytes 请求属性设为 true,如以下示例所示。

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 HttpRequest 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 中输入类似于以下内容的值字段:
    
{
  "Url": {
    "scheme": "https",
    "netloc": "httpbin.org",
  },
  "Method": "GET",
  "ResponseHasBytes":true
}
  4. 点击保存

此示例向 httpbin.org 服务器发出 GET 请求,并在请求正文中将 ResponseHasBytes 设置为 true

错误代码

本部分介绍您在使用 HTTP 连接时可能会收到的错误消息。

错误消息 原因
连接到 HTTP 服务器时出错 由于 SSL 握手失败或 HTTP 服务器端点不正确,HTTP 连接无法与服务器建立连接。
从 HTTP 服务器收到的错误响应 您尝试连接的 HTTP 服务器返回错误响应,状态代码为 4xx 或 5xx。示例响应: 

{
  "error": {
    "code": 400,
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.ErrorInfo",
        "metadata": {
          "Body": "{\"thisIsResponseJSON\":\"someValue\"}"
          "Error": "Error response received from the HTTP server",
          "Headers": "{\":status\":[\"400\"], \"access-control-allow-credentials\":[\"true\"]}",
          "StatusCode": "400",
          "connection_type": "Http"
        }
      }
    ],
    "message": "Unable to execute HTTP Request",
    "status": "FAILED_PRECONDITION"
  }
}
提取访问令牌时出错 检索 OAuth Client Credentials Grant 身份验证类型的访问令牌时出错。
摘要身份验证错误 连接器运行时未收到摘要质询,或质询类型不受支持。

使用 Terraform 创建连接

您可以使用 Terraform 资源创建新连接。

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

如需查看用于创建连接的示例 Terraform 模板,请参阅示例模板

使用 Terraform 创建此连接时,您必须在 Terraform 配置文件中设置以下变量:

参数名称 数据类型 需要 说明
proxy_enabled BOOLEAN False 选中此复选框可配置用于连接的代理服务器。

在集成中使用 HTTP 连接

创建连接后,它在 Apigee Integration 和 Application Integration 中均可使用。您可以通过连接器任务在集成中使用该连接。

  • 如需了解如何在 Apigee Integration 中创建和使用连接器任务,请参阅连接器任务
  • 如需了解如何在 Application Integration 中创建和使用连接器任务,请参阅连接器任务

向 Google Cloud 社区寻求帮助

您可以在 Cloud 论坛的 Google Cloud 社区发布您的问题并讨论此连接器。

后续步骤