Autentikasi pengguna akhir untuk Cloud Run


Tutorial ini menunjukkan cara membuat layanan pemungutan suara yang terdiri dari:

  • Klien berbasis browser yang:

    1. Menggunakan Identity Platform untuk mengambil token ID.
    2. Memungkinkan pengguna untuk memilih hewan domestik favorit mereka.
    3. Menambahkan token ID untuk permintaan ke server Cloud Run yang memproses suara.
  • Server Cloud Run yang:

    1. Periksa untuk memastikan pengguna akhir sudah diautentikasi secara benar dengan memberikan token ID yang valid.
    2. Memproses suara pengguna akhir.
    3. Dengan menggunakan kredensialnya sendiri, mengirim suara ke Cloud SQL untuk disimpan.
  • Database PostgreSQL yang menyimpan suara.

Agar mudah, tutorial ini menggunakan Google sebagai penyedia: pengguna harus melakukan autentikasi menggunakan akun Google untuk mendapatkan token ID mereka. Namun, Anda dapat menggunakan penyedia atau metode autentikasi lain untuk memasukkan pengguna.

Layanan ini meminimalkan risiko keamanan dengan menggunakanSecret Manager untuk melindungi data sensitif yang digunakan untuk terhubung ke instance Cloud SQL. Opsi ini juga digunakan pada identity layanan dengan hak istimewa terendah untuk akses yang aman ke database.

Tujuan

Tulis, build, dan deploy ke Cloud Run yang menunjukkan cara:

  • Gunakan Identity Platform untuk mengautentikasi pengguna akhir ke backend layanan Cloud Run.

  • Buat identity hak istimewa terendah pada layanan untuk memberikan akses pada resource Google Cloud.

  • Gunakan Secret Manager untuk menangani data sensitif ketika dihubungkan dengan layanan Cloud Run ke database postgreSQL .

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Run, Secret Manager, Cloud SQL, Artifact Registry, and Cloud Build APIs.

    Enable the APIs

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menyelesaikan tutorial, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menyiapkan default gcloud

Untuk mengonfigurasi gcloud dengan setelan default untuk layanan Cloud Run Anda:

  1. Setel project default Anda:

    gcloud config set project PROJECT_ID

    Ganti PROJECT_ID dengan nama project yang Anda buat untuk tutorial ini.

  2. Konfigurasi gcloud untuk region yang Anda pilih:

    gcloud config set run/region REGION

    Ganti REGION dengan region Cloud Run pilihan Anda yang didukung.

Lokasi Cloud Run

Cloud Run bersifat regional, berarti infrastruktur yang menjalankan layanan Cloud Run Anda terletak di region tertentu dan dikelola oleh Google agar tersedia secara redundan di semua zona dalam region tersebut.

Memenuhi persyaratan latensi, ketersediaan, atau ketahanan adalah faktor utama untuk memilih region tempat layanan Cloud Run dijalankan. Pada umumnya, Anda dapat memilih region yang paling dekat dengan pengguna Anda, tetapi Anda harus mempertimbangkan lokasi dari produk Google Cloud lain yang digunakan oleh layanan Cloud Run Anda. Menggunakan produk Google Cloud secara bersamaan di beberapa lokasi dapat memengaruhi latensi serta biaya layanan Anda.

Cloud Run tersedia di region berikut:

Tergantung harga Tingkat 1

  • asia-east1 (Taiwan)
  • asia-northeast1 (Tokyo)
  • asia-northeast2 (Osaka)
  • asia-south1 (Mumbai, India)
  • europe-north1 (Finlandia) ikon daun CO2 Rendah
  • europe-southwest1 (Madrid) ikon daun CO2 Rendah
  • europe-west1 (Belgia) ikon daun CO2 Rendah
  • europe-west4 (Belanda) ikon daun CO2 Rendah
  • europe-west8 (Milan)
  • europe-west9 (Paris) ikon daun CO2 Rendah
  • me-west1 (Tel Aviv)
  • us-central1 (Iowa) ikon daun CO2 Rendah
  • us-east1 (South Carolina)
  • us-east4 (North Virginia)
  • us-east5 (Columbus)
  • us-south1 (Dallas) ikon daun CO2 Rendah
  • us-west1 (Oregon) ikon daun CO2 Rendah

Tergantung harga Tingkat 2

  • africa-south1 (Johannesburg)
  • asia-east2 (Hong Kong)
  • asia-northeast3 (Seoul, Korea Selatan)
  • asia-southeast1 (Singapura)
  • asia-southeast2 (Jakarta)
  • asia-south2 (Delhi, India)
  • australia-southeast1 (Sydney)
  • australia-southeast2 (Melbourne)
  • europe-central2 (Warsawa, Polandia)
  • europe-west10 (Berlin) ikon daun CO2 Rendah
  • europe-west12 (Turin)
  • europe-west2 (London, Inggris Raya) ikon daun CO2 Rendah
  • europe-west3 (Frankfurt, Jerman) ikon daun CO2 Rendah
  • europe-west6 (Zurich, Swiss) ikon daun CO2 Rendah
  • me-central1 (Doha)
  • me-central2 (Dammam)
  • northamerica-northeast1 (Montreal) ikon daun CO2 Rendah
  • northamerica-northeast2 (Toronto) ikon daun CO2 Rendah
  • southamerica-east1 (São Paulo, Brasil) ikon daun CO2 Rendah
  • southamerica-west1 (Santiago, Cile) ikon daun CO2 Rendah
  • us-west2 (Los Angeles)
  • us-west3 (Salt Lake City)
  • us-west4 (Las Vegas)

Jika sudah membuat layanan Cloud Run, Anda dapat melihat region di dasbor Cloud Run di Konsol Google Cloud.

Mengambil contoh kode

Untuk mengambil contoh kode agar dapat digunakan:

  1. Clone repositori aplikasi contoh ke komputer lokal Anda:

    Node.js

    git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

    Atau, Anda dapat mendownload contoh dalam file ZIP dan mengekstraknya.

    Python

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

    Sebagai alternatif, anda dapat mendownload contoh seperti file zip dan mengekstraknya.

    Java

    git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git

    Atau, Anda dapat mendownload contoh dalam file ZIP dan mengekstraknya.

  2. Ubah ke direktori yang memuat kode contoh Cloud Run:

    Node.js

    cd nodejs-docs-samples/run/idp-sql/

    Python

    cd python-docs-samples/run/idp-sql/

    Java

    cd java-docs-samples/run/idp-sql/

Memvisualisasikan arsitektur

Diagram Arsitektur
Diagram menunjukkan login pengguna akhir melalui dialog login Google yang disediakan oleh Identity Platform, lalu diarahkan kembali ke Cloud Run dengan identitas pengguna.
  1. Pengguna akhir membuat permintaan pertama untuk server Cloud Run.

  2. Beban klien pada browser.

  3. Pengguna memberikan kredensial login melalui dialog login dengan Google dari Identity Platform. Pemberitahuan menyambut pengguna yang login.

  4. Kontrol dialihkan kembali ke server. Pengguna akhir memberi suara menggunakan klien, yang memberikan token ID dari Identity Platform dan menambahkannya pada header permintaan suara.

  5. Saat server menerima permintaan, server akan memverifikasi token ID Identity Platform, mengonfirmasi bahwa pengguna akhir telah diauntentikasi secara benar. Kemudian server mengirimkan suara ke Cloud SQL menggunakan kredensialnya sendiri.

Memahami kode inti

Contoh ini diimplementasikan sebagai klien dan server, seperti yang dijelaskan berikut.

Mengintegrasikan dengan Identity Platform: kode sisi klien

Contoh ini menggunakan Firebase SDKs untuk diintegrasikan dengan Identity Platform guna login dan mengelola pengguna. Untuk terhubung ke Identity Platform, JavaScript sisi klien menyimpan referensi ke kredensial project sebagai objek konfigurasi mengimpor Firebase JavaScript SDKsyang dibutuhkan:

const config = {
  apiKey: 'API_KEY',
  authDomain: 'PROJECT_ID.firebaseapp.com',
};
<!-- Firebase App (the core Firebase SDK) is always required and must be listed first-->
<script src="https://www.gstatic.com/firebasejs/7.18/firebase-app.js"></script>
<!-- Add Firebase Auth service-->
<script src="https://www.gstatic.com/firebasejs/7.18/firebase-auth.js"></script>

Firebase JavaScript SDK menangani alur login dengan meminta pengguna akhir login ke Akun Google mereka melalui jendela pop-up. Kemudian mereka akan diarahkan kembali ke layanan.

function signIn() {
  const provider = new firebase.auth.GoogleAuthProvider();
  provider.addScope('https://www.googleapis.com/auth/userinfo.email');
  firebase
    .auth()
    .signInWithPopup(provider)
    .then(result => {
      // Returns the signed in user along with the provider's credential
      console.log(`${result.user.displayName} logged in.`);
      window.alert(`Welcome ${result.user.displayName}!`);
    })
    .catch(err => {
      console.log(`Error during sign in: ${err.message}`);
      window.alert('Sign in failed. Retry or check your browser logs.');
    });
}

Saat pengguna berhasil login, klien akan menggunakan metode Firebase untuk membuat token ID. Klien menambahkan token ID ke Authorization header permintaannya ke server.

async function vote(team) {
  if (firebase.auth().currentUser) {
    // Retrieve JWT to identify the user to the Identity Platform service.
    // Returns the current token if it has not expired. Otherwise, this will
    // refresh the token and return a new one.
    try {
      const token = await firebase.auth().currentUser.getIdToken();
      const response = await fetch('/', {
        method: 'POST',
        headers: {
          'Content-Type': 'application/x-www-form-urlencoded',
          Authorization: `Bearer ${token}`,
        },
        body: 'team=' + team, // send application data (vote)
      });
      if (response.ok) {
        const text = await response.text();
        window.alert(text);
        window.location.reload();
      }
    } catch (err) {
      console.log(`Error when submitting vote: ${err}`);
      window.alert('Something went wrong... Please try again!');
    }
  } else {
    window.alert('User not signed in.');
  }
}

Mengintegrasikan dengan Identity Platform: kode sisi server

Server menggunakan Firebase Admin SDK untuk memverifikasi token ID pengguna yang dikirim dari klien. Jika token ID yang diberikan memiliki format yang benar, masa berlakunya belum habis, dan ditandatangani dengan benar, metode tersebut akan menampilkan token ID yang didekode. Server mengekstrak Identity Platform uid untuk penggunanya.

Node.js

const firebase = require('firebase-admin');
// Initialize Firebase Admin SDK
firebase.initializeApp();

// Extract and verify Id Token from header
const authenticateJWT = (req, res, next) => {
  const authHeader = req.headers.authorization;
  if (authHeader) {
    const token = authHeader.split(' ')[1];
    // If the provided ID token has the correct format, is not expired, and is
    // properly signed, the method returns the decoded ID token
    firebase
      .auth()
      .verifyIdToken(token)
      .then(decodedToken => {
        const uid = decodedToken.uid;
        req.uid = uid;
        next();
      })
      .catch(err => {
        req.logger.error(`Error with authentication: ${err}`);
        return res.sendStatus(403);
      });
  } else {
    return res.sendStatus(401);
  }
};

Python

def jwt_authenticated(func: Callable[..., int]) -> Callable[..., int]:
    """Use the Firebase Admin SDK to parse Authorization header to verify the
    user ID token.

    The server extracts the Identity Platform uid for that user.
    """

    @wraps(func)
    def decorated_function(*args: a, **kwargs: a) -> a:
        header = request.headers.get("Authorization", None)
        if header:
            token = header.split(" ")[1]
            try:
                decoded_token = firebase_admin.auth.verify_id_token(token)
            except Exception as e:
                logger.exception(e)
                return Response(status=403, response=f"Error with authentication: {e}")
        else:
            return Response(status=401)

        request.uid = decoded_token["uid"]
        return func(*args, **kwargs)

    return decorated_function

Java

/** Extract and verify Id Token from header */
private String authenticateJwt(Map<String, String> headers) {
  String authHeader =
      (headers.get("authorization") != null)
          ? headers.get("authorization")
          : headers.get("Authorization");
  if (authHeader != null) {
    String idToken = authHeader.split(" ")[1];
    // If the provided ID token has the correct format, is not expired, and is
    // properly signed, the method returns the decoded ID token
    try {
      FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
      String uid = decodedToken.getUid();
      return uid;
    } catch (FirebaseAuthException e) {
      logger.error("Error with authentication: " + e.toString());
      throw new ResponseStatusException(HttpStatus.FORBIDDEN, "", e);
    }
  } else {
    logger.error("Error no authorization header");
    throw new ResponseStatusException(HttpStatus.UNAUTHORIZED);
  }
}

Menghubungkan server ke Cloud SQL

Server terhubung dengan soket domain Unix Instance Cloud SQL menggunakan format: /cloudsql/CLOUD_SQL_CONNECTION_NAME.

Node.js

/**
 * Connect to the Cloud SQL instance through UNIX Sockets
 *
 * @param {object} credConfig The Cloud SQL connection configuration from Secret Manager
 * @returns {object} Knex's PostgreSQL client
 */
const connectWithUnixSockets = async credConfig => {
  const dbSocketPath = process.env.DB_SOCKET_PATH || '/cloudsql';
  // Establish a connection to the database
  return Knex({
    client: 'pg',
    connection: {
      user: credConfig.DB_USER, // e.g. 'my-user'
      password: credConfig.DB_PASSWORD, // e.g. 'my-user-password'
      database: credConfig.DB_NAME, // e.g. 'my-database'
      host: `${dbSocketPath}/${credConfig.CLOUD_SQL_CONNECTION_NAME}`,
    },
    ...config,
  });
};

Python

def init_unix_connection_engine(
    db_config: dict[str, int]
) -> sqlalchemy.engine.base.Engine:
    """Initializes a Unix socket connection pool for a Cloud SQL instance of PostgreSQL.

    Args:
        db_config: a dictionary with connection pool config

    Returns:
        A SQLAlchemy Engine instance.
    """
    creds = credentials.get_cred_config()
    db_user = creds["DB_USER"]
    db_pass = creds["DB_PASSWORD"]
    db_name = creds["DB_NAME"]
    db_socket_dir = creds.get("DB_SOCKET_DIR", "/cloudsql")
    cloud_sql_connection_name = creds["CLOUD_SQL_CONNECTION_NAME"]

    pool = sqlalchemy.create_engine(
        # Equivalent URL:
        # postgres+pg8000://<db_user>:<db_pass>@/<db_name>
        #                         ?unix_sock=<socket_path>/<cloud_sql_instance_name>/.s.PGSQL.5432
        sqlalchemy.engine.url.URL.create(
            drivername="postgresql+pg8000",
            username=db_user,  # e.g. "my-database-user"
            password=db_pass,  # e.g. "my-database-password"
            database=db_name,  # e.g. "my-database-name"
            query={
                "unix_sock": f"{db_socket_dir}/{cloud_sql_connection_name}/.s.PGSQL.5432"
                # e.g. "/cloudsql", "<PROJECT-NAME>:<INSTANCE-REGION>:<INSTANCE-NAME>"
            },
        ),
        **db_config,
    )
    pool.dialect.description_encoding = None
    logger.info("Database engine initialized from unix connection")

    return pool

Java

Gunakan integrasi starter Spring Cloud Google Cloud PostgreSQL untuk berinteraksi dengan database PostgreSQL Anda di Cloud SQL menggunakan library Spring JDBC. Setel konfigurasi Cloud SQL untuk MySQL ke konfigurasi bean DataSource secara otomatis, yang digabungkan dengan Spring JDBC, yang menyediakan JdbcTemplate objek bean yang memungkinkan untuk operasi seperti melakukan kueri dan perubahan pada database.

# Uncomment and add env vars for local development
# spring.datasource.username=${DB_USER}
# spring.datasource.password=${DB_PASSWORD}
# spring.cloud.gcp.sql.database-name=${DB_NAME}
# spring.cloud.gcp.sql.instance-connection-name=${CLOUD_SQL_CONNECTION_NAME}  
private final JdbcTemplate jdbcTemplate;

public VoteController(JdbcTemplate jdbcTemplate) {
  this.jdbcTemplate = jdbcTemplate;
}

Menangani konfigurasi sensitif dengan Secret Manager

Secret Manager menyediakan penyimpanan data sensitif yang terpusat dan aman, seperti konfigurasi Cloud SQL. Server memasukkan kredensial Cloud SQL dari Secret Manager saat runtime melalui variabel lingkungan. Pelajari lebih lanjut tentang Using Secret dengan Cloud Run.

Node.js

// CLOUD_SQL_CREDENTIALS_SECRET is the resource ID of the secret, passed in by environment variable.
// Format: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
const {CLOUD_SQL_CREDENTIALS_SECRET} = process.env;
if (CLOUD_SQL_CREDENTIALS_SECRET) {
  try {
    // Parse the secret that has been added as a JSON string
    // to retrieve database credentials
    return JSON.parse(CLOUD_SQL_CREDENTIALS_SECRET.toString('utf8'));
  } catch (err) {
    throw Error(
      `Unable to parse secret from Secret Manager. Make sure that the secret is JSON formatted: ${err}`
    );
  }
}

Python

def get_cred_config() -> dict[str, str]:
    """Retrieve Cloud SQL credentials stored in Secret Manager
    or default to environment variables.

    Returns:
        A dictionary with Cloud SQL credential values
    """
    secret = os.environ.get("CLOUD_SQL_CREDENTIALS_SECRET")
    if secret:
        return json.loads(secret)

Java

/** Retrieve config from Secret Manager */
public static HashMap<String, Object> getConfig() {
  String secret = System.getenv("CLOUD_SQL_CREDENTIALS_SECRET");
  if (secret == null) {
    throw new IllegalStateException("\"CLOUD_SQL_CREDENTIALS_SECRET\" is required.");
  }
  try {
    HashMap<String, Object> config = new Gson().fromJson(secret, HashMap.class);
    return config;
  } catch (JsonSyntaxException e) {
    logger.error(
        "Unable to parse secret from Secret Manager. Make sure that it is JSON formatted: "
            + e);
    throw new RuntimeException(
        "Unable to parse secret from Secret Manager. Make sure that it is JSON formatted.");
  }
}

Menyiapkan Identity Platform

Identity Platform memerlukan penyiapan manual di Konsol Google Cloud.

  1. Buka halaman Identity Platform Marketplace di Konsol Google Cloud.

    Buka halaman Identity Platform Marketplace

  2. Klik Aktifkan Identity Platform.

  3. Buat Layar persetujuan OAuth Anda:

    1. Di jendela baru, buka halaman API & Layanan > Kredensial

      Buka halaman API & Layanan > Kredensial.

    2. Pilih halaman OAuth consent screen.

    3. Untuk tujuan pengujian, pilih Eksternal.

    4. Klik Buat.

    5. Dalam dialog Informasi aplikasi,

      1. Berikan nama aplikasi.
      2. Pilih salah satu email dukungan pengguna yang ditampilkan.
      3. Masukkan email yang ingin Anda gunakan untuk kontak developer.
    6. Klik Save and Continue.

    7. Pada dialog Cakupan, klik Simpan dan Lanjutkan.

    8. Pada dialog Pengguna pengujian, klik Simpan dan Lanjutkan.

    9. Pada dialog Summary, klik Back to Dashboard.

    10. Di bagian Status publikasi, klik Publikasikan Aplikasi.

    11. Klik Konfirmasi.

  4. Buat serta dapatkan Secret dan Client ID Klien OAuth Anda:

    1. Buka halaman API & Layanan > Kredensial.

    2. Di bagian atas halaman, klik Buat Kredensial dan pilih OAuth client ID.

    3. Dari Jenis Aplikasi, pilih Aplikasi Web, dan beri nama.

    4. Klik Buat

    5. Perhatikan client_id dan client_secret untuk digunakan nanti dalam prosedur ini.

  5. Konfigurasi Google sebagai penyedia:

    1. Buka halaman Penyedia Identitas di Cloud Console.

      Buka halaman Penyedia Identitas

    2. Klik Tambahkan Penyedia.

    3. Pilih Google dari daftar.

    4. Di setelan Konfigurasi Web SDK, masukkan nilai client_id dan client_secret dari langkah sebelumnya.

    5. Di bagian bawah Konfigurasi aplikasi Anda, klik Detail Penyiapan.

    6. Salin nilai apiKey dan authDomain ke dalam contoh static/config.js untuk melakukan inisialisasi SDK Klien Identity Platform.

    7. Klik Simpan.

Men-deploy layanan

Ikuti langkah-langkah di bawah ini untuk menyelesaikan penyediaan dan deployment infrastruktur atau mengotomatisasi proses di Cloud Shell dengan mengklik "Jalankan di Google Cloud":

Menjalankan di Google Cloud

  1. Buat instance Cloud SQL dengan database postgreSQL menggunakan Konsol atau CLI:

    gcloud sql instances create CLOUD_SQL_INSTANCE_NAME \
        --database-version=POSTGRES_12 \
        --region=CLOUD_SQL_REGION \
        --cpu=2 \
        --memory=7680MB \
        --root-password=DB_PASSWORD
  2. Tambahkan nilai kredensial Cloud SQL Anda ke postgres-secrets.json:

    Node.js

    {
      "CLOUD_SQL_CONNECTION_NAME": "PROJECT_ID:REGION:INSTANCE",
      "DB_NAME": "postgres",
      "DB_USER": "postgres",
      "DB_PASSWORD": "PASSWORD_SECRET"
    }
    

    Python

    {
      "CLOUD_SQL_CONNECTION_NAME": "PROJECT_ID:REGION:INSTANCE",
      "DB_NAME": "postgres",
      "DB_USER": "postgres",
      "DB_PASSWORD": "PASSWORD_SECRET"
    }
    

    Java

    {
      "spring.cloud.gcp.sql.instance-connection-name": "PROJECT_ID:REGION:INSTANCE",
      "spring.cloud.gcp.sql.database-name": "postgres",
      "spring.datasource.username": "postgres",
      "spring.datasource.password": "PASSWORD_SECRET"
    }

  3. Buat secret yang diberi versi menggunakan Konsol atau CLI:

    gcloud secrets create idp-sql-secrets \
        --replication-policy="automatic" \
        --data-file=postgres-secrets.json
  4. Buat akun layanan untuk server menggunakan Konsol atau CLI:

    gcloud iam service-accounts create idp-sql-identity
  5. Berikan peran untuk akses Secret Manager dan Cloud SQL menggunakan Konsol atau CLI:

    1. Izinkan akun layanan yang terkait dengan server mengakses secret yang dibuat:

      gcloud secrets add-iam-policy-binding idp-sql-secrets \
        --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/secretmanager.secretAccessor
    2. Izinkan akun layanan yang terkait dengan server untuk mengakses Cloud SQL:

      gcloud projects add-iam-policy-binding PROJECT_ID \
        --member serviceAccount:idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --role roles/cloudsql.client
  6. Buat Artifact Registry:

    gcloud artifacts repositories create REPOSITORY \
        --repository-format docker \
        --location REGION
    • REPOSITORY adalah nama repositori. Untuk setiap lokasi repositori dalam project, nama repositori harus unik.
  7. Build image container menggunakan Cloud Build:

    Node.js

    gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql

    Python

    gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql

    Java

    Contoh ini menggunakan Jib untuk mem-build image Docker menggunakan alat Java umum. Jib mengoptimalkan build container tanpa memerlukan Dockerfile atau menginstal Docker. Pelajari lebih lanjut cara mem-build container Java dengan Jib.

    1. Gunakan helper kredensial gcloud untuk memberi otorisasi Docker agar dikirim ke Artifact Registry Anda.

      gcloud auth configure-docker

    2. Gunakan Plugin Maven Jib untuk mem-build dan mengirim container ke Artifact Registry.

      mvn compile jib:build -Dimage=REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql

  8. Deploy image container ke Cloud Run menggunakan konsol atau CLI. Perlu diingat bahwa server di-deploy untuk mengizinkan akses yang tidak diautentikasi. Hal ini dilakukan agar pengguna dapat memuat klien dan memulai prosesnya. Server memverifikasi token ID yang ditambahkan ke permintaan suara secara manual, sehingga mengautentikasi pengguna akhir.

    gcloud run deploy idp-sql \
        --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/idp-sql \
        --allow-unauthenticated \
        --service-account idp-sql-identity@PROJECT_ID.iam.gserviceaccount.com \
        --add-cloudsql-instances PROJECT_ID:REGION:CLOUD_SQL_INSTANCE_NAME \
        --update-secrets CLOUD_SQL_CREDENTIALS_SECRET=idp-sql-secrets:latest

    Perhatikan juga penanda,--service-account, --add-cloudsql-instances, dan --update-secrets , yang menentukan identitas layanan, koneksi instance Cloud SQL, dan nama secret dengan versi sebagai variabel lingkungan, yang tidak responsif.

Sentuhan akhir

Identity Platform mengharuskan Anda melakukan otorisasi URL layanan Cloud Run sebagai pengalihan yang diizinkan setelah pengguna login:

  1. Edit penyedia Google dengan mengklik ikon pena di halaman Penyedia Identitas.

  2. Klik Add Domain di bagian Authorized Domains di panel kanan, dan masukkan URL layanan Cloud Run.

    Anda dapat menemukan URL layanan di log setelah buil atau deployment, atau Anda dapat menemukannya kapan saja menggunakan:

    gcloud run services describe idp-sql --format 'value(status.url)'
  3. Buka halaman API & Layanan > Kredensial.

    1. Klik ikon pensil di samping Client ID OAuth Anda untuk mengeditnya, lalu di bawah tombol Authorized redirect URIs click the Add URI.

    2. Dalam kolom, salin dan tempel URL berikut, lalu klik tombol Simpan di bagian bawah halaman.

    https://PROJECT_ID.firebaseapp.com/__/auth/handler

Melakukan Percobaan

Untuk mencoba layanan lengkap:

  1. Buka browser Anda ke URL yang diberikan pada langkah deployment di atas.

  2. Klik tombol Login dengan Google dan ikuti alur autentikasi.

  3. Tambahkan suara Anda!

    Kodenya akan terlihat seperti berikut:

    Screenshot Antarmuka Pengguna menampilkan jumlah suara untuk setiap tim dan daftar suara.

Jika Anda memilih untuk terus mengembangkan layanan ini, perlu diingat bahwa layanan tersebut telah membatasi akses Identity and Access Management (IAM) ke bagian lain dari Google Cloud dan perlu diberi peran IAM tambahan guna mengakses banyak layanan lainnya.

Pembersihan

Jika Anda membuat project baru untuk tutorial ini, hapus project tersebut. Jika Anda menggunakan project yang ada dan ingin mempertahankannya tanpa ada perubahan yang ditambahkan dalam tutorial ini, hapus resource yang dibuat untuk tutorial.

Menghapus project

Cara termudah untuk menghilangkan penagihan adalah dengan menghapus project yang Anda buat untuk tutorial.

Untuk menghapus project:

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus resource tutorial

  1. Hapus layanan Cloud Run yang Anda deploy dalam tutorial ini:

    gcloud run services delete SERVICE-NAME

    Dengan SERVICE-NAME adalah nama layanan pilihan Anda.

    Anda juga dapat menghapus layanan Cloud Run dari Konsol Google Cloud.

  2. Hapus konfigurasi region default gcloud yang Anda tambahkan selama penyiapan tutorial:

     gcloud config unset run/region
    
  3. Hapus konfigurasi project:

     gcloud config unset project
    
  4. Hapus resource Google Cloud lain yang dibuat dalam tutorial ini:

Langkah berikutnya