Invoca con una solicitud HTTPS

Después de crear un servicio o una función, Cloud Run te proporciona un extremo HTTPS para el servicio. Puedes habilitar el servicio para que se ejecute en respuesta a solicitudes HTTPS.

Todos los servicios de Cloud Run tienen una URL HTTPS estable, que representa el extremo HTTPS predeterminado del servicio, aunque también puedes configurar dominios personalizados.

Estos son algunos de los casos de uso:

  • API web de RESTful personalizada
  • Microservicio privado
  • Middleware HTTP o proxy inverso para tus aplicaciones web
  • Aplicación web empaquetada de forma previa

Crea servicios públicos

Para crear un servicio público en Cloud Run, se requiere lo siguiente:

  • Acceso al servicio desde la Internet pública
  • Una URL destinada al uso público

A fin de hacer público un servicio, configúralo para permitir el acceso no autenticado (público) cuando realices la implementación, o en cualquier momento después de la implementación.

URL de servicio

Cloud Run asigna una URL no determinista basada en un hash a todos los servicios. Si la longitud del nombre del servicio lo permite, Cloud Run también le asigna una URL determinista.

Puedes inhabilitar estas URLs run.app predeterminadas.

Para recuperar la URL de tu servicio, haz clic en el nombre del servicio en la console deGoogle Cloud o ejecuta el siguiente comando en gcloud CLI:

gcloud run services describe SERVICE --format 'value(status.url)'

La URL determinista tiene prioridad cuando se muestra.

URL determinista

La URL determinista te permite predecir la URL del servicio antes de que se cree, lo que puede ser útil para la comunicación entre servicios.

La URL determinista solo está disponible para segmentos DNS de 63 caracteres o menos. El segmento DNS contiene el nombre del servicio, el número de proyecto y cualquier etiqueta de tráfico.

La URL determinista de un servicio de Cloud Run tiene el siguiente formato:

https://[TAG---]SERVICE_NAME-PROJECT_NUMBER.REGION.run.app

Donde:

  • TAG es la etiqueta de tráfico opcional para la revisión que solicitas.
  • PROJECT_NUMBER es el número de proyecto de Google Cloud .
  • SERVICE_NAME es el nombre del servicio de Cloud Run.
  • REGION es el nombre de la región, como us-central1.

URL no determinista

Las URLs no deterministas no tienen un formato determinista, lo que significa que, debido a que el segundo campo de la URL es un hash aleatorio, no puedes predecir cuál será la URL completa antes de implementar los servicios. Sin embargo, después de implementar el servicio, la URL permanece estable.

La URL no determinista de un servicio de Cloud Run tiene el formato https://[TAG---]SERVICE_IDENTIFIER.run.app, en el que TAG se refiere a la etiqueta de tráfico opcional para la revisión que solicitas, y SERVICE_IDENTIFIER es un identificador estable y único de un servicio de Cloud Run. No analices SERVICE_IDENTIFIER, ya que no tiene un formato fijo. La La lógica para la generación de SERVICE_IDENTIFIER está sujeta a cambios.

Redireccionamiento de HTTP a HTTPS

Cloud Run redirecciona todas las solicitudes HTTP a HTTPS, pero finaliza TLS antes de que lleguen a tu servicio web. Si tu servicio genera recursos web que hacen referencia a otros recursos web con URLs no seguras (http://), tu página podría estar sujeta a advertencias o errores de contenido mixto. Usa el protocolo https para todos los URI web de referencia o justifica las directivas de proxy en la solicitud HTTP, como el encabezado HTTP X-Forwarded-Proto.

HTTP y HTTP/2

De manera predeterminada, Cloud Run pasa las solicitudes HTTP/2 a HTTP/1 cuando estas se envían al contenedor. Si deseas configurar explícitamente tu servicio para que use HTTP/2 de extremo a extremo, consulta Usa HTTP/2.

Crea servicios privados

A fin de crear un servicio privado en Cloud Run, debes limitar el acceso al servicio. Para ello, aprovecha el permiso de invocador de IAM.

También puedes limitar el acceso a un servicio mediante el mecanismo de autenticación y autorización a nivel de la aplicación, por ejemplo, mediante Identity Platform.

Prueba servicios privados

La forma más fácil de probar los servicios privados es usar el proxy de Cloud Run en Google Cloud CLI. De esta forma, se envía mediante proxy el servicio privado a http://localhost:8080 (o al puerto especificado con --port) y se proporciona el token de la cuenta activa o cualquier otro token que especifiques. Esto te permite usar un navegador web o una herramienta como curl. Esta es la forma recomendada de probar de manera privada un sitio web o una API en el navegador.

Puedes enviar un proxy de un servicio de forma local con la siguiente línea de comandos en un entorno de Linux, macOS, WSL (recomendado) o cygwin:

gcloud run services proxy SERVICE --project PROJECT-ID

También puedes probar servicios privados sin el proxy mediante una herramienta como curl y pasar un token de autenticación en el encabezado Authorization:

curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" SERVICE_URL

Servicio a servicio privado

Un servicio de Cloud Run puede llamar a otro servicio de Cloud Run administrado con la autenticación de servicio a servicio.

Código de muestra que invoca un servicio privado

Para ver muestras de código que muestran cómo obtener un token de ID y realizar una solicitud HTTP a un servicio privado, consulta el tema Autentica servicio a servicio.

Usa un middleware para mejorar tu servicio

Los proxies HTTPS pueden descargar funciones comunes de un servicio HTTP, como el almacenamiento en caché, la validación de solicitudes o la autorización. En el caso de los microservicios, muchos proxies HTTP son parte de una solución de puerta de enlace de la API o una malla de servicios, como Istio.

Entre los productos deGoogle Cloud que puedes usar para mejorar tu servicio de Cloud Run, se incluyen los siguientes:

Cómo invocar una función con una solicitud HTTPS

De forma predeterminada, todas las funciones creadas en Cloud Run tienen una URL HTTPS de run.app, que se puede usar para activar una función. Las funciones creadas con un activador de Eventarc también tendrán una URL HTTPS, a menos que inhabilites esta opción con la función para inhabilitar la URL de run.app.