Questo tutorial mostra come creare un servizio di votazione composto da:
Un client basato su browser che:
- Utilizza Identity Platform per recuperare un token ID.
- Consente agli utenti di votare per il loro animale domestico preferito.
- Aggiunge questo token ID a una richiesta al server Cloud Run che elabora il voto.
Un server Cloud Run che:
- Controlla che l'utente finale si sia autenticato correttamente fornendo un token ID valido.
- Elabora il voto dell'utente finale.
- Utilizzando le proprie credenziali, invia il voto a Cloud SQL per l'archiviazione.
Un database PostgreSQL in cui sono archiviati i voti.
Per semplicità, questo tutorial utilizza Google come fornitore: gli utenti devono eseguire l'autenticazione utilizzando un Account Google per acquisire il token ID. Tuttavia, puoi utilizzare altri provider o metodi di autenticazione per accedere agli utenti.
Questo servizio riduce al minimo i rischi per la sicurezza utilizzando Secret Manager per proteggere i dati sensibili utilizzati per la connessione all'istanza Cloud SQL. Utilizza inoltre un'identità di servizio con privilegi minimi per proteggere l'accesso al database.
Obiettivi
Scrivi, crea ed esegui il deployment su Cloud Run di un servizio che mostra come:
Utilizza Identity Platform per autenticare un utente finale nel backend del servizio Cloud Run.
Creare un'identità con privilegi minimi per consentire al servizio di concedere accesso minimo alle risorse Google Cloud.
Usa Secret Manager per gestire i dati sensibili quando connetti il servizio Cloud Run a un database postgreSQL.
Costi
In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Cloud Run, Secret Manager, Cloud SQL, Artifact Registry, and Cloud Build .
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per completare il tutorial, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Amministratore repository Artifact Registry (
roles/artifactregistry.repoAdmin
) -
Editor Cloud Build (
roles/cloudbuild.builds.editor
) -
Amministratore Cloud Run (
roles/run.admin
) -
Amministratore Cloud SQL (
roles/cloudsql.admin
) -
Crea account di servizio (
roles/iam.serviceAccountCreator
) -
Amministratore Identity Platform (
roles/identityplatform.admin
) -
Editor configurazione OAuth (
roles/oauthconfig.editor
) -
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) -
Amministratore Secret Manager (
roles/secretmanager.admin
) -
Utente account di servizio (
roles/iam.serviceAccountUser
) -
Consumer Service Usage (
roles/serviceusage.serviceUsageConsumer
) -
Storage Admin (
roles/storage.admin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Configurazione dei valori predefiniti di gcloud
in corso...
Per configurare gcloud con i valori predefiniti per il tuo servizio Cloud Run:
Imposta il progetto predefinito:
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con il nome del progetto che hai creato per questo tutorial.
Configura gcloud per la regione scelta:
gcloud config set run/region REGION
Sostituisci REGION con la regione Cloud Run supportata che preferisci.
Località Cloud Run
Cloud Run è regionale, il che significa che l'infrastruttura che esegue i tuoi servizi Cloud Run si trova in una regione specifica ed è gestita da Google per essere disponibile in modo ridondante in tutte le zone all'interno della regione.
Soddisfare i requisiti di latenza, disponibilità o durabilità sono fattori principali per la selezione della regione in cui vengono eseguiti i servizi Cloud Run.
In genere puoi selezionare la regione più vicina ai tuoi utenti, ma devi considerare la località degli altri prodotti Google Cloud utilizzati dal tuo servizio Cloud Run.
L'utilizzo combinato di prodotti Google Cloud in più località può influire
sulla latenza e sui costi del tuo servizio.
Cloud Run è disponibile nelle regioni seguenti:
Soggetto ai prezzi di Livello 1
asia-east1
(Taiwan)asia-northeast1
(Tokyo)asia-northeast2
(Osaka)europe-north1
(Finlandia) A basse emissioni di CO2europe-southwest1
(Madrid) A basse emissioni di CO2europe-west1
(Belgio) A basse emissioni di CO2europe-west4
(Paesi Bassi) A basse emissioni di CO2europe-west8
(Milano)europe-west9
(Parigi) A basse emissioni di CO2me-west1
(Tel Aviv)us-central1
(Iowa) A basse emissioni di CO2us-east1
(Carolina del Sud)us-east4
(Virginia del Nord)us-east5
(Colombo)us-south1
(Dallas) A basse emissioni di CO2us-west1
(Oregon) A basse emissioni di CO2
Soggetto ai prezzi di Livello 2
africa-south1
(Johannesburg)asia-east2
(Hong Kong)asia-northeast3
(Seul, Corea del Sud)asia-southeast1
(Singapore)asia-southeast2
(Giacarta)asia-south1
(Mumbai, India)asia-south2
(Delhi, India)australia-southeast1
(Sydney)australia-southeast2
(Melbourne)europe-central2
(Varsavia, Polonia)europe-west10
(Berlino) A basse emissioni di CO2europe-west12
(Torino)europe-west2
(Londra, Regno Unito) A basse emissioni di CO2europe-west3
(Francoforte, Germania) A basse emissioni di CO2europe-west6
(Zurigo, Svizzera) A basse emissioni di CO2me-central1
(Doha)me-central2
(Dammam)northamerica-northeast1
(Montreal) A basse emissioni di CO2northamerica-northeast2
(Toronto) A basse emissioni di CO2southamerica-east1
(San Paolo, Brasile) A basse emissioni di CO2southamerica-west1
(Santiago, Cile) A basse emissioni di CO2us-west2
(Los Angeles)us-west3
(Salt Lake City)us-west4
(Las Vegas)
Se hai già creato un servizio Cloud Run, puoi visualizzare la regione nella dashboard di Cloud Run all'interno della console Google Cloud.
Recupero dell'esempio di codice in corso
Per recuperare l'esempio di codice da utilizzare:
Clona il repository dell'app di esempio nella tua macchina locale:
Node.js
git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Python
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Java
git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Passa alla directory che contiene il codice di esempio di Cloud Run:
Node.js
cd nodejs-docs-samples/run/idp-sql/
Python
cd python-docs-samples/run/idp-sql/
Java
cd java-docs-samples/run/idp-sql/
Visualizzazione dell'architettura
Un utente finale invia la prima richiesta al server Cloud Run.
Il client viene caricato nel browser.
L'utente fornisce le credenziali di accesso tramite la finestra di dialogo Accedi con Google in Identity Platform. L'utente che ha eseguito l'accesso riceve un avviso.
Il controllo viene reindirizzato al server. L'utente finale vota utilizzando il client, che recupera un token ID da Identity Platform e lo aggiunge all'intestazione della richiesta di voto.
Quando il server riceve la richiesta, verifica il token ID Identity Platform, per confermare che l'utente finale è stato correttamente autenticato. Il server invia il voto a Cloud SQL utilizzando le proprie credenziali.
Comprensione del codice di base
L'esempio viene implementato come client e server, come descritto di seguito.
Integrazione con Identity Platform: codice lato client
Questo esempio utilizza gli SDK Firebase per l'integrazione con Identity Platform al fine di accedere e gestire gli utenti. Per connettersi a Identity Platform, il codice JavaScript lato client contiene il riferimento alle credenziali del progetto come oggetto di configurazione e importa gli SDK Firebase JavaScript necessari:
L'SDK Firebase JavaScript gestisce il flusso di accesso chiedendo all'utente finale di accedere al proprio Account Google tramite una finestra popup. Quindi li reindirizza al servizio.
Quando un utente esegue l'accesso, il client utilizza metodi Firebase per generare un
token ID. Il client aggiunge il token ID all'intestazione Authorization
della richiesta al server.
Integrazione con Identity Platform: codice lato server
Il server utilizza l'SDK Admin Firebase per verificare il token ID utente inviato dal client. Se il token ID fornito ha il formato corretto, non è scaduto ed è firmato correttamente, il metodo restituisce il token ID decodificato. Il server estrae Identity Platform uid
per quell'utente.
Node.js
Python
Java
Connessione del server a Cloud SQL
Il server si connette al socket del dominio Unix dell'istanza Cloud SQL utilizzando il formato: /cloudsql/CLOUD_SQL_CONNECTION_NAME
.
Node.js
Python
Java
Utilizza l'integrazione del comando iniziale PostgreSQL di Google Cloud PostgreSQL per interagire con i tuoi database PostgreSQL in Cloud SQL utilizzando le librerie JDBC di Spring. Imposta la configurazione Cloud SQL per MySQL in modo da configurare automaticamente un beanDataSource
che, insieme a JDBC Spring, fornisce un bean di oggetti JdbcTemplate
che consente operazioni come l'esecuzione di query e la modifica di un database.
Gestione della configurazione sensibile con Secret Manager
Secret Manager offre un'archiviazione centralizzata e sicura di dati sensibili come la configurazione di Cloud SQL. Il server inserisce le credenziali Cloud SQL da Secret Manager in fase di runtime tramite una variabile di ambiente. Scopri di più sull'utilizzo dei secret con Cloud Run.
Node.js
Python
Java
Configura Identity Platform
Identity Platform richiede la configurazione manuale nella console Google Cloud.
Vai alla pagina Identity Platform Marketplace nella console Google Cloud.
Fai clic su Abilita Identity Platform.
Crea la schermata per il consenso OAuth:
In una nuova finestra, vai alla pagina API e servizi > Credenziali
Seleziona la pagina Schermata consenso OAuth.
A scopo di test, seleziona Esterno.
Fai clic su Crea.
Nella finestra di dialogo Informazioni app,
- Fornisci il nome dell'applicazione.
- Seleziona una delle email per l'assistenza utenti visualizzate.
- Inserisci l'indirizzo email che vuoi usare come contatto sviluppatore.
Fai clic su Save and Continue.
Nella finestra di dialogo Ambiti, fai clic su Salva e continua.
Nella finestra di dialogo Utenti di test, fai clic su Salva e continua.
Nella finestra di dialogo Riepilogo, fai clic su Torna alla dashboard.
Nella sezione Stato di pubblicazione, fai clic su Pubblica app.
Fai clic su Conferma.
Crea e ottieni il tuo ID client e il tuo secret OAuth:
Nella parte superiore della pagina, fai clic su Crea credenziali e seleziona
OAuth client ID
.In Tipo di applicazione, seleziona Applicazione web e fornisci il nome.
Fai clic su Crea
Prendi nota di
client_id
eclient_secret
per utilizzarli in un secondo momento in questa procedura.
Configurare Google come fornitore:
Vai alla pagina Provider di identità nella console Cloud.
Fai clic su Add A Provider (Aggiungi un provider).
Seleziona Google dall'elenco.
Nelle impostazioni di configurazione dell'SDK web, inserisci i valori
client_id
eclient_secret
dei passaggi precedenti.In Configura la tua applicazione, fai clic su Dettagli di configurazione.
Copia i valori
apiKey
eauthDomain
nell'elementostatic/config.js
dell'esempio per inizializzare l'SDK client di Identity Platform.Fai clic su Salva.
Deployment del servizio
Segui i passaggi riportati di seguito per completare il provisioning e il deployment dell'infrastruttura o automatizzare il processo in Cloud Shell facendo clic su "Esegui su Google Cloud":
Crea un'istanza Cloud SQL con un database postgreSQL utilizzando la console o l'interfaccia a riga di comando:
gcloud sql instances create CLOUD_SQL_INSTANCE_NAME \ --database-version=POSTGRES_12 \ --region=CLOUD_SQL_REGION \ --cpu=2 \ --memory=7680MB \ --root-password=DB_PASSWORD
Aggiungi i valori delle credenziali Cloud SQL a
postgres-secrets.json
:Node.js
Python
Java
Crea un secret con controllo delle versioni utilizzando la console o l'interfaccia a riga di comando:
gcloud secrets create idp-sql-secrets \ --replication-policy="automatic" \ --data-file=postgres-secrets.json
Crea un account di servizio per il server utilizzando la console o l'interfaccia a riga di comando:
gcloud iam service-accounts create idp-sql-identity
Concedi ruoli per l'accesso a Secret Manager e Cloud SQL utilizzando la console o l'interfaccia a riga di comando:
Consenti all'account di servizio associato al server di accedere al secret creato:
gcloud secrets add-iam-policy-binding idp-sql-secrets \ --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor
Consenti all'account di servizio associato al server di accedere a Cloud SQL:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudsql.client
Crea un Artifact Registry:
gcloud artifacts repositories create REPOSITORY \ --repository-format docker \ --location REGION
REPOSITORY
è il nome del repository. Per ogni posizione del repository in un progetto, i nomi dei repository devono essere univoci.
Crea l'immagine container con Cloud Build:
Node.js
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
Python
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
Java
Questo esempio utilizza Jib per creare immagini Docker utilizzando strumenti Java comuni. Jib ottimizza le build di container senza bisogno di un Dockerfile o senza dover installare Docker. Scopri di più sulla creazione di container Java con Jib.
Utilizza gcloud credential helper per autorizzare Docker a eseguire il push al tuo Artifact Registry.
gcloud auth configure-docker
Utilizza il plug-in Jib Maven per creare il container ed eseguirne il push su Artifact Registry.
mvn compile jib:build -Dimage=REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql
Esegui il deployment dell'immagine container in Cloud Run utilizzando la console o l'interfaccia a riga di comando. Tieni presente che viene eseguito il deployment del server per consentire l'accesso non autenticato. In questo modo l'utente può caricare il client e iniziare il processo. Il server verifica il token ID aggiunto manualmente alla richiesta di voto, autenticando l'utente finale.
gcloud run deploy idp-sql \ --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql \ --allow-unauthenticated \ --service-account idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \ --add-cloudsql-instances PROJECT_ID:REGION:CLOUD_SQL_INSTANCE_NAME \ --update-secrets CLOUD_SQL_CREDENTIALS_SECRET=idp-sql-secrets:latest
Prendi nota anche dei flag
--service-account
,--add-cloudsql-instances
e--update-secrets
, che specificano rispettivamente l'identità del servizio, la connessione all'istanza Cloud SQL e il nome del secret con la versione come variabile di ambiente.
Tocchi finali
Identity Platform richiede di autorizzare l'URL del servizio Cloud Run come reindirizzamento consentito dopo che ha eseguito l'accesso all'utente:
Modifica il provider Google facendo clic sull'icona della penna nella pagina Identity Providers (Provider di identità).
Fai clic su Add Domain (Aggiungi dominio) sotto Authorized Domains (Domini autorizzati) nel riquadro a destra e inserisci l'URL del servizio Cloud Run.
Puoi individuare l'URL del servizio nei log dopo la build o il deployment oppure in qualsiasi momento utilizzando:
gcloud run services describe idp-sql --format 'value(status.url)'
Vai alla pagina API e servizi > Credenziali
Fai clic sull'icona a forma di matita accanto all'ID client OAuth per modificarlo e sotto il pulsante Aggiungi URI
Authorized redirect URIs click the
.Nel campo copia e incolla il seguente URL, poi fai clic sul pulsante Salva in fondo alla pagina.
https://PROJECT_ID.firebaseapp.com/__/auth/handler
Prova
Per provare il servizio completo:
Passa nel browser all'URL fornito nel passaggio di deployment riportato sopra.
Fai clic sul pulsante Accedi con Google e segui il flusso di autenticazione.
Aggiungi il tuo voto.
Dovrebbe avere il seguente aspetto:
Se scegli di continuare a sviluppare questi servizi, ricorda che i servizi hanno accesso limitato a Identity and Access Management (IAM) al resto di Google Cloud e dovranno essere assegnati ruoli IAM aggiuntivi per accedere a molti altri servizi.
Esegui la pulizia
Se hai creato un nuovo progetto per questo tutorial, elimina il progetto. Se hai utilizzato un progetto esistente e vuoi conservarlo senza le modifiche aggiunte in questo tutorial, elimina le risorse create per il tutorial.
Elimina il progetto
Il modo più semplice per eliminare la fatturazione è quello di eliminare il progetto che hai creato per il tutorial.
Per eliminare il progetto:
- Nella console Google Cloud, vai alla pagina Gestisci risorse.
- Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
- Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.
Eliminazione delle risorse del tutorial in corso...
Elimina il servizio Cloud Run di cui hai eseguito il deployment in questo tutorial:
gcloud run services delete SERVICE-NAME
Dove SERVICE-NAME è il nome del servizio che hai scelto.
I servizi Cloud Run possono essere eliminati anche dalla console Google Cloud.
Rimuovi la configurazione predefinita della regione di gcloud che hai aggiunto durante la configurazione del tutorial:
gcloud config unset run/region
Rimuovi la configurazione del progetto:
gcloud config unset project
Elimina altre risorse Google Cloud create in questo tutorial:
Passaggi successivi
- Scopri di più sulla connessione da Cloud Run a Cloud SQL
- Scopri di più sui metodi di accesso e sulla gestione degli utenti con Identity Platform
- Esamina altri modi per autenticare sviluppatori, servizi e utenti dei servizi di cui è stato eseguito il deployment in Cloud Run
- Esplora altre demo, i tutorial e gli esempi di Cloud Run