Questo tutorial illustra come creare un'applicazione a due servizi sicura in esecuzione su Cloud Run. Questa applicazione è un editor di Markdown che include un servizio di "frontend" pubblico utilizzabile da chiunque per scrivere testo di markdown e un servizio di "backend" privato che esegue il rendering del testo Markdown in HTML.
Il servizio di backend è privato utilizzando la funzionalità integrata di autenticazione da servizio a servizio basata su IAM, che limita gli utenti che possono chiamare il servizio. Entrambi i servizi si basano sul principio del privilegio minimo, che non consente l'accesso al resto di Google Cloud eccetto dove necessario.
Limitazioni o non obiettivi di questo tutorial
Questo tutorial non mostra l'autenticazione degli utenti finali, che utilizza Identity Platform o Firebase Authentication per generare i token ID utente e verificare manualmente le identità degli utenti. Per scoprire di più sull'autenticazione degli utenti finali, fai riferimento al tutorial di Cloud Run per l'autenticazione dell'utente finale.
Questo tutorial non mostra la combinazione di metodi di autenticazione basati su IAM e token ID, perché non sono supportati.
Obiettivi
- Crea un account di servizio dedicato con autorizzazioni minime per l'autenticazione da servizio a servizio e l'accesso ai servizi al resto di Google Cloud.
- Scrivi, crea ed esegui il deployment in Cloud Run di due servizi che interagiscono tra loro.
- Effettuare richieste tra un servizio Cloud Run pubblico e privato.
Costi
In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud Run.
- Installa e inizializza gcloud CLI.
- Installa curl per provare il servizio
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per completare il tutorial, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Editor Cloud Build (
roles/cloudbuild.builds.editor
) -
Amministratore Cloud Run (
roles/run.admin
) -
Crea account di servizio (
roles/iam.serviceAccountCreator
) -
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) -
Utente account di servizio (
roles/iam.serviceAccountUser
) -
Consumer Service Usage (
roles/serviceusage.serviceUsageConsumer
) -
Storage Admin (
roles/storage.admin
) -
Amministratore repository Artifact Registry (
roles/artifactregistry.repoAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Configurazione dei valori predefiniti di gcloud
Per configurare gcloud con i valori predefiniti per il tuo servizio Cloud Run:
Imposta il progetto predefinito:
gcloud config set project PROJECT_ID
Sostituisci PROJECT_ID con il nome del progetto che hai creato per questo tutorial.
Configura gcloud per la regione scelta:
gcloud config set run/region REGION
Sostituisci REGION con la regione Cloud Run supportata che preferisci.
Località Cloud Run
Cloud Run è regionale, il che significa che l'infrastruttura che esegue i tuoi servizi Cloud Run si trova in una regione specifica ed è gestita da Google per essere disponibile in modo ridondante in tutte le zone all'interno della regione.
Soddisfare i requisiti di latenza, disponibilità o durabilità sono fattori principali per la selezione della regione in cui vengono eseguiti i servizi Cloud Run.
In genere puoi selezionare la regione più vicina ai tuoi utenti, ma devi considerare la località degli altri prodotti Google Cloud utilizzati dal tuo servizio Cloud Run.
L'utilizzo combinato di prodotti Google Cloud in più località può influire
sulla latenza e sui costi del tuo servizio.
Cloud Run è disponibile nelle regioni seguenti:
Soggetto ai prezzi di Livello 1
asia-east1
(Taiwan)asia-northeast1
(Tokyo)asia-northeast2
(Osaka)europe-north1
(Finlandia)A basse emissioni di CO2
europe-southwest1
(Madrid)A basse emissioni di CO2
europe-west1
(Belgio)A basse emissioni di CO2
europe-west4
(Paesi Bassi)A basse emissioni di CO2
europe-west8
(Milano)europe-west9
(Parigi)A basse emissioni di CO2
me-west1
(Tel Aviv)us-central1
(Iowa)A basse emissioni di CO2
us-east1
(Carolina del Sud)us-east4
(Virginia del Nord)us-east5
(Colombo)us-south1
(Dallas)A basse emissioni di CO2
us-west1
(Oregon)A basse emissioni di CO2
Soggetto ai prezzi di Livello 2
africa-south1
(Johannesburg)asia-east2
(Hong Kong)asia-northeast3
(Seul, Corea del Sud)asia-southeast1
(Singapore)asia-southeast2
(Giacarta)asia-south1
(Mumbai, India)asia-south2
(Delhi, India)australia-southeast1
(Sydney)australia-southeast2
(Melbourne)europe-central2
(Varsavia, Polonia)europe-west10
(Berlino)A basse emissioni di CO2
europe-west12
(Torino)europe-west2
(Londra, Regno Unito)A basse emissioni di CO2
europe-west3
(Francoforte, Germania)A basse emissioni di CO2
europe-west6
(Zurigo, Svizzera)A basse emissioni di CO2
me-central1
(Doha)me-central2
(Dammam)northamerica-northeast1
(Montreal)A basse emissioni di CO2
northamerica-northeast2
(Toronto)A basse emissioni di CO2
southamerica-east1
(San Paolo, Brasile)A basse emissioni di CO2
southamerica-west1
(Santiago, Cile)A basse emissioni di CO2
us-west2
(Los Angeles)us-west3
(Salt Lake City)us-west4
(Las Vegas)
Se hai già creato un servizio Cloud Run, puoi visualizzare la regione nella dashboard di Cloud Run all'interno della console Google Cloud.
Recupero dell'esempio di codice in corso
Per recuperare l'esempio di codice da utilizzare:
Clona il repository dell'app di esempio in Cloud Shell o nella macchina locale:
Node.js
git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Python
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Go
git clone https://github.com/GoogleCloudPlatform/golang-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Java
git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
C#
git clone https://github.com/GoogleCloudPlatform/dotnet-docs-samples.git
In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.
Passa alla directory che contiene il codice di esempio di Cloud Run:
Node.js
cd nodejs-docs-samples/run/markdown-preview/
Python
cd python-docs-samples/run/markdown-preview/
Go
cd golang-samples/run/markdown-preview/
Java
cd java-docs-samples/run/markdown-preview/
C#
cd dotnet-docs-samples/run/markdown-preview/
Revisione del servizio di rendering Markdown privato
Dal punto di vista del frontend, esiste una semplice specifica API per il servizio Markdown:
- Un endpoint in
/
- Prevede richieste POST
- Il corpo della richiesta POST è testo Markdown
Ti consigliamo di rivedere tutto il codice per individuare eventuali problemi di sicurezza o semplicemente di
scoprire di più al riguardo esplorando la directory ./renderer/
. Tieni presente che il tutorial non spiega il codice di trasformazione Markdown.
Spedizione del servizio di rendering Markdown privato
Per distribuire il codice, crea con Cloud Build, caricalo su Artifact Registry ed esegui il deployment su Cloud Run:
Passa alla directory
renderer
:Node.js
cd renderer/
Python
cd renderer/
Go
cd renderer/
Java
cd renderer/
C#
cd Samples.Run.MarkdownPreview.Renderer/
Crea un Artifact Registry:
gcloud artifacts repositories create REPOSITORY \ --repository-format docker \ --location REGION
Sostituisci:
- REPOSITORY con un nome univoco per il repository. Per ogni località del repository in un progetto, i nomi dei repository devono essere univoci.
- REGION con la regione Google Cloud da utilizzare per il repository Artifact Registry.
Esegui questo comando per creare il container e pubblicarlo su Artifact Registry.
Node.js
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
dove PROJECT_ID è l'ID progetto Google Cloud e
renderer
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Python
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
dove PROJECT_ID è l'ID progetto Google Cloud e
renderer
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Go
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
dove PROJECT_ID è l'ID progetto Google Cloud e
renderer
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Java
Questo esempio utilizza Jib per creare immagini Docker utilizzando strumenti Java comuni. Jib ottimizza le build di container senza bisogno di un Dockerfile o senza dover installare Docker. Scopri di più sulla creazione di container Java con Jib.
Utilizza gcloud credential helper per autorizzare Docker a eseguire il push al tuo Artifact Registry.
gcloud auth configure-docker
Utilizza il plug-in Jib Maven per creare il container ed eseguirne il push su Artifact Registry.
mvn compile jib:build -Dimage=REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
dove PROJECT_ID è l'ID progetto Google Cloud e
renderer
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, verrà visualizzato un messaggio BUILD SUCCESS. L'immagine è archiviata in Artifact Registry e può essere riutilizzata, se lo desideri.
C#
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
dove PROJECT_ID è l'ID progetto Google Cloud e
renderer
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Esegui il deployment come servizio privato con accesso limitato.
Cloud Run fornisce funzionalità pronte all'uso di controllo dell'accesso e identità dei servizi. Il controllo dell'accesso fornisce un livello di autenticazione che impedisce agli utenti e ad altri servizi di richiamare il servizio. L'identità del servizio consente di limitare l'accesso del servizio ad altre risorse Google Cloud creando un account di servizio dedicato con autorizzazioni limitate.
Creare un account di servizio da utilizzare come "identità di computing" per il servizio di rendering. Per impostazione predefinita, non ha privilegi diversi dall'appartenenza al progetto.
Riga di comando
gcloud iam service-accounts create renderer-identity
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.
Il servizio di rendering Markdown non si integra direttamente con nessun altro elemento in Google Cloud. Non sono necessarie ulteriori autorizzazioni.
Esegui il deployment con l'account di servizio
renderer-identity
e nega l'accesso non autenticato.Riga di comando
gcloud run deploy renderer \ --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer \ --service-account renderer-identity \ --no-allow-unauthenticated
Cloud Run può utilizzare il nome dell'account di servizio in formato breve anziché l'indirizzo email completo se l'account di servizio fa parte dello stesso progetto.
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.
Prova del servizio di rendering privato di Markdown
I servizi privati non possono essere caricati direttamente da un browser web. Utilizza invece curl
o uno strumento dell'interfaccia a riga di comando di richiesta HTTP simile che consenta di inserire un'intestazione Authorization
.
Per inviare del testo in grassetto al servizio e vedere che converte gli asterischi markdown in tag <strong>
HTML:
Recupera l'URL dall'output del deployment.
Usa
gcloud
per ricavare uno speciale token di identità solo per lo sviluppo per l'autenticazione:TOKEN=$(gcloud auth print-identity-token)
Crea una richiesta curl che passa il testo Markdown non elaborato come parametro della stringa di query con escape URL:
curl -H "Authorization: Bearer $TOKEN" \ -H 'Content-Type: text/plain' \ -d '**Hello Bold Text**' \ SERVICE_URL
Sostituisci SERVICE_URL con l'URL fornito dopo il deployment del servizio di rendering Markdown.
La risposta deve essere uno snippet HTML:
<strong>Hello Bold Text</strong>
Revisione dell'integrazione tra i servizi di editor e rendering
Il servizio di modifica fornisce una semplice UI per l'inserimento di testo e uno spazio per visualizzare l'anteprima HTML. Prima di continuare, controlla il codice recuperato in precedenza aprendo la directory ./editor/
.
Quindi, esplora le seguenti sezioni di codice che integrano in modo sicuro i due servizi.
Node.js
Il modulo render.js
crea richieste autenticate al servizio di renderer privato. Utilizza il server di metadati Google Cloud nell'ambiente Cloud Run per creare un token di identità e aggiungerlo alla richiesta HTTP come parte di un'intestazione Authorization
.
In altri ambienti, render.js
utilizza le credenziali predefinite dell'applicazione per richiedere un token ai server di Google.
Analizza il markdown da JSON e invialo al servizio Renderer per trasformarlo in HTML.
Python
Il metodo new_request
crea richieste autenticate ai servizi privati.
Utilizza il server di metadati Google Cloud nell'ambiente Cloud Run per creare un token di identità e aggiungerlo alla richiesta HTTP come parte di un'intestazione Authorization
.
In altri ambienti, new_request
richiede un token di identità ai server di Google mediante l'autenticazione con Credenziali predefinite dell'applicazione.
Analizza il markdown da JSON e invialo al servizio Renderer per trasformarlo in HTML.
Go
RenderService
crea richieste autenticate ai servizi privati. Utilizza il server di metadati di Google Cloud nell'ambiente Cloud Run per creare un token di identità e aggiungerlo alla richiesta HTTP come parte di un'intestazione Authorization
.
In altri ambienti, RenderService
richiede un token di identità ai server di Google mediante l'autenticazione con Credenziali predefinite dell'applicazione.
La richiesta viene inviata al servizio di rendering dopo aver aggiunto il testo markdown da trasformare in HTML. Gli errori di risposta vengono gestiti in modo da distinguere i problemi di comunicazione dalla funzionalità di rendering.
Java
makeAuthenticatedRequest
crea richieste autenticate ai servizi privati. Utilizza il server di metadati Google Cloud nell'ambiente Cloud Run per creare un token di identità e aggiungerlo alla richiesta HTTP come parte di un'intestazione Authorization
.
In altri ambienti, makeAuthenticatedRequest
richiede un token di identità ai server di Google mediante l'autenticazione con Credenziali predefinite dell'applicazione.
Analizza il markdown da JSON e invialo al servizio Renderer per trasformarlo in HTML.
C#
GetAuthenticatedPostResponse
crea richieste autenticate ai servizi privati. Utilizza il server di metadati Google Cloud nell'ambiente Cloud Run per creare un token di identità e aggiungerlo alla richiesta HTTP come parte di un'intestazione Authorization
.
In altri ambienti, GetAuthenticatedPostResponse
richiede un token di identità ai server di Google mediante l'autenticazione con Credenziali predefinite dell'applicazione.
Analizza il markdown da JSON e invialo al servizio Renderer per trasformarlo in HTML.
Invio del servizio editor pubblico
Per creare ed eseguire il deployment del codice:
Passa alla directory
editor
:Node.js
cd ../editor
Python
cd ../editor
Go
cd ../editor
Java
cd ../editor
C#
cd ../Samples.Run.MarkdownPreview.Editor/
Esegui questo comando per creare il container e pubblicarlo su Artifact Registry.
Node.js
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
dove PROJECT_ID è l'ID progetto Google Cloud e
editor
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Container Registry e può essere riutilizzata, se necessario.
Python
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
dove PROJECT_ID è l'ID progetto Google Cloud e
editor
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Go
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
dove PROJECT_ID è l'ID progetto Google Cloud e
editor
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Java
Questo esempio utilizza Jib per creare immagini Docker utilizzando strumenti Java comuni. Jib ottimizza le build di container senza bisogno di un Dockerfile o senza dover installare Docker. Scopri di più sulla creazione di container Java con Jib.mvn compile jib:build -Dimage=REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
dove PROJECT_ID è l'ID progetto Google Cloud e
editor
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, verrà visualizzato un messaggio BUILD SUCCESS. L'immagine è archiviata in Artifact Registry e può essere riutilizzata, se lo desideri.
C#
gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
dove PROJECT_ID è l'ID progetto Google Cloud e
editor
è il nome che vuoi assegnare al servizio.Se l'operazione riesce, vedrai un messaggio SUCCESS contenente l'ID, l'ora di creazione e il nome dell'immagine. L'immagine è archiviata in Artifact Registry e, se lo desideri, può essere riutilizzata.
Esegui il deployment come servizio privato con accesso speciale al servizio di rendering.
Creare un account di servizio da utilizzare come "identità di computing" del servizio privato. Per impostazione predefinita, non ha privilegi diversi dall'appartenenza al progetto.
Riga di comando
gcloud iam service-accounts create editor-identity
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.
Il servizio Editor non deve interagire con altri elementi in Google Cloud diversi dal servizio di rendering Markdown.
Concedi l'accesso all'identità Compute
editor-identity
per richiamare il servizio di rendering Markdown. Qualsiasi servizio che la utilizza come identità di computing avrà questo privilegio.Riga di comando
gcloud run services add-iam-policy-binding renderer \ --member serviceAccount:editor-identity@PROJECT_ID.iam.gserviceaccount.com \ --role roles/run.invoker
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.
Poiché a questo viene assegnato il ruolo richiamar nel contesto del servizio di rendering, quest'ultimo è l'unico servizio Cloud Run privato che l'editor può richiamare.
Esegui il deployment con l'account di servizio
editor-identity
e consenti l'accesso pubblico e non autenticato.Riga di comando
gcloud run deploy editor --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor \ --service-account editor-identity \ --set-env-vars EDITOR_UPSTREAM_RENDER_URL=SERVICE_URL \ --allow-unauthenticated
Sostituisci:
- PROJECT_ID con il tuo ID progetto
- SERVICE_URL con l'URL fornito dopo il deployment del servizio di rendering Markdown.
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.
Esegui il deployment del servizio di modifica:
Concedi a
allUsers
l'autorizzazione per richiamare il servizio:
Informazioni sul traffico HTTPS
Sono tre le richieste HTTP coinvolte nel rendering markdown utilizzando questi servizi.
editor-identity
richiama il servizio di rendering. Sia editor-identity
che
renderer-identity
hanno autorizzazioni limitate, perciò qualsiasi exploit
per la sicurezza o iniezione di codice ha accesso limitato ad altre risorse Google Cloud.
Prova
Per provare l'applicazione completa per due servizi:
Passa nel browser all'URL fornito nel passaggio di deployment riportato sopra.
Prova a modificare il testo Markdown a sinistra e fai clic sul pulsante per visualizzarne l'anteprima a destra.
Dovrebbe avere il seguente aspetto:
Se scegli di continuare a sviluppare questi servizi, ricorda che i servizi hanno accesso limitato a Identity and Access Management (IAM) al resto di Google Cloud e dovranno essere assegnati ruoli IAM aggiuntivi per accedere a molti altri servizi.
Esegui la pulizia
Se hai creato un nuovo progetto per questo tutorial, elimina il progetto. Se hai utilizzato un progetto esistente e vuoi conservarlo senza le modifiche aggiunte in questo tutorial, elimina le risorse create per il tutorial.
Elimina il progetto
Il modo più semplice per eliminare la fatturazione è quello di eliminare il progetto che hai creato per il tutorial.
Per eliminare il progetto:
- Nella console Google Cloud, vai alla pagina Gestisci risorse.
- Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
- Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.
Eliminazione delle risorse del tutorial in corso...
Elimina i servizi Cloud Run di cui hai eseguito il deployment in questo tutorial:
gcloud
gcloud run services delete editor gcloud run services delete renderer
I servizi Cloud Run possono essere eliminati anche dalla console Google Cloud.
Rimuovi le configurazioni predefinite di gcloud che hai aggiunto durante la configurazione del tutorial.
gcloud config unset run/region
Rimuovi la configurazione del progetto:
gcloud config unset project
Elimina altre risorse Google Cloud create in questo tutorial:
- Elimina l'immagine container dell'editor denominata
REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/editor
da Artifact Registry - Elimina l'immagine del container di rendering denominata
REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/renderer
da Artifact Registry - Elimina l'account di servizio dell'editor
editor-identity@PROJECT_ID.iam.gserviceaccount.com
- Elimina l'account di servizio di rendering
renderer-identity@PROJECT_ID.iam.gserviceaccount.com
- Elimina l'immagine container dell'editor denominata
Passaggi successivi
- Proteggi ulteriormente il progetto esaminando l'elenco di controllo Utilizzo sicuro di IAM
- Estendi questa applicazione di esempio per monitorare l'utilizzo di Markdown con le metriche personalizzate di Cloud Monitoring
- Guarda il tutorial di Pub/Sub per un approccio ai microservizi asincroni sicuri