GSP872

Übersicht

Mit API Gateway können Sie einen sicheren Zugriff auf Ihre Dienste über eine klar definierte REST API bieten, die unabhängig von der Dienstimplementierung konsistent ist. Eine konsistente API:

• ermöglicht Anwendungsentwicklern die Nutzung Ihrer Dienste.
• ermöglicht das Ändern der Implementierung des Backend-Dienstes, ohne die öffentliche API zu beeinträchtigen.
• ermöglicht die Nutzung der in Google Cloud integrierten Skalierungs-, Monitoring- und Sicherheitsfunktionen.

In diesem Lab stellen Sie eine API in API Gateway bereit, um den Traffic zu einem Backend-Dienst zu schützen.

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

4. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Region einrichten

Richten Sie die Projektregion für dieses Lab ein:

gcloud config set compute/region {{{project_0.default_region | "REGION"}}}

Erforderliche APIs aktivieren

1. Klicken Sie in der Cloud Console im Navigationsmenü () auf APIs & Dienste > Bibliothek.

2. Beginnen Sie mit der Eingabe von „api gateway“ in der Suchleiste und wählen Sie dann die Kachel API Gateway API aus.

3. Klicken Sie dann auf dem nächsten Bildschirm auf die Schaltfläche Aktivieren.

Aufgabe 1: API-Backend bereitstellen

API Gateway steht vor einem bereitgestellten Backend-Dienst und verarbeitet alle eingehenden Anfragen. In diesem Lab leitet API Gateway eingehende Aufrufe an ein Cloud Functions-Backend namens helloGET weiter, das die hier gezeigte Funktion enthält:

/** * HTTP Cloud Function. * This function is exported by index.js, and is executed when * you make an HTTP request to the deployed function's endpoint. * * @param {Object} req Cloud Function request context. * More info: https://expressjs.com/en/api.html#req * @param {Object} res Cloud Function response context. * More info: https://expressjs.com/en/api.html#res */ exports.helloGET = (req, res) => { res.send('Hello World!'); };

1. Klonen Sie in der Cloud Console das Beispiel-Repository für Cloud Functions:

git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

2. Wechseln Sie in das Verzeichnis, das den Cloud Functions-Beispielcode enthält:

cd nodejs-docs-samples/functions/helloworld/helloworldGet

3. Zum Bereitstellen der Funktion mit einem HTTP-Trigger führen Sie den folgenden Befehl in dem Verzeichnis aus, in dem sich die Funktion befindet:

gcloud functions deploy helloGET --runtime nodejs20 --trigger-http --allow-unauthenticated --region {{{project_0.default_region | "REGION"}}}

• Wenn Sie dazu aufgefordert werden, geben Sie Y ein, um die API zu aktivieren.

Hinweis: Wenn Sie aufgefordert werden, den gcloud-Befehl mit Ihren Anmeldedaten zu autorisieren, klicken Sie auf Autorisieren. Die Bereitstellung der Cloud Functions-Funktion dauert einige Minuten. Warten Sie, bis der Vorgang abgeschlossen ist, bevor Sie fortfahren. Warnung: Wenn Sie den Fehler IamPermissionDeniedException erhalten, führen Sie den obigen Befehl noch einmal aus.

Klicken Sie auf Fortschritt prüfen. API-Backend bereitstellen

Aufgabe 2: API-Backend testen

1. Wenn die Bereitstellung der Funktion abgeschlossen ist, notieren Sie sich das url-Attribut des httpsTrigger oder führen Sie den folgenden Befehl aus, um die URL zu suchen:

gcloud functions describe helloGET --region {{{project_0.default_region | "REGION"}}}

Die Ausgabe sollte in etwa so aussehen wie die URL unten, wobei PROJECT_ID ein spezifischer Wert für Ihr Projekt ist.

2. Legen Sie Ihre PROJECT_ID als Variable fest:

export PROJECT_ID={{{project_0.project_id}}}

3. Rufen Sie die URL auf, um die Cloud Functions-Funktion aufzurufen. Als Antwort sollte die Meldung Hello World! angezeigt werden:

curl -v https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET

Klicken Sie auf Fortschritt prüfen. API-Backend testen

API-Definition erstellen

API Gateway verwendet eine API-Definition, um Aufrufe an den Backend-Dienst weiterzuleiten. Sie können eine OpenAPI-Spezifikation verwenden, die spezielle Annotationen enthält, um das gewünschte API Gateway-Verhalten zu definieren. Die OpenAPI-Spezifikation für diese Kurzanleitung enthält Routinganweisungen an das Cloud Functions-Backend:

1. Wechseln Sie in Cloud Shell zurück zum Basisverzeichnis:

cd ~

2. Erstellen Sie eine neue Datei mit dem Namen openapi2-functions.yaml:

touch openapi2-functions.yaml

3. Kopieren Sie den Inhalt der unten angezeigten OpenAPI-Spezifikation und fügen Sie ihn in die neu erstellte Datei ein

# openapi2-functions.yaml swagger: '2.0' info: title: API_ID description description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET responses: '200': description: A successful response schema: type: string

4. Legen Sie folgende Umgebungsvariablen fest:

export API_ID="hello-world-$(cat /dev/urandom | tr -dc 'a-z' | fold -w ${1:-8} | head -n 1)"

5. Führen Sie folgende Befehle aus, um die im letzten Schritt festgelegten Variablen in der OpenAPI-Spezifikationsdatei zu ersetzen:

sed -i "s/API_ID/${API_ID}/g" openapi2-functions.yaml sed -i "s/PROJECT_ID/$PROJECT_ID/g" openapi2-functions.yaml

Aufgabe 3: Gateway erstellen

Jetzt können Sie ein Gateway auf API Gateway erstellen und bereitstellen.

1. Geben Sie in der Suchleiste oben API Gateway ein und wählen Sie dies unter den angezeigten Option aus.

2. Klicken Sie auf Gateway erstellen. Gehen Sie im Abschnitt APIs so vor:

• Achten Sie darauf, dass die Eingabe API auswählen auf Neue API erstellen gesetzt ist.
• Geben Sie unter Anzeigename den Wert Hello World API ein.
• Führen Sie für API-ID folgenden Befehl aus, um die API-ID erneut abzurufen, und geben Sie sie in das Feld API-ID ein:

export API_ID="hello-world-$(cat /dev/urandom | tr -dc 'a-z' | fold -w ${1:-8} | head -n 1)" echo $API_ID

3. Im Abschnitt API-Konfiguration:

• Achten Sie darauf, dass die Eingabe Konfiguration auswählen auf Neue API-Konfiguration erstellen gesetzt ist.
• Gehen Sie folgendermaßen vor, um die zuvor erstellte Datei openapi2-functions.yaml hochzuladen:

4. Führen Sie in Cloud Shell folgenden Befehl aus:

cloudshell download $HOME/openapi2-functions.yaml

5. Klicken Sie auf Herunterladen.

Hinweis: Die Datei openapi2-functions.yaml ist jetzt auf Ihrem lokalen Computer heruntergeladen.

6. Wählen Sie Durchsuchen aus und wählen Sie die Datei aus dem Downloadverzeichnis des Browsers aus:

• Geben Sie im Feld Anzeigename den Wert Hello World Config ein.
• Achten Sie darauf, dass das Eingabefeld Dienstkonto auswählen auf Standardmäßiges Compute Engine-Dienstkonto gesetzt ist.

7. Im Abschnitt Gatewaydetails:

• Geben Sie im Feld Anzeigename den Wert Hello Gateway ein.
• Wählen Sie im Drop-down-Menü Standort die Option aus.

8. Klicken Sie auf Gateway erstellen.

Hinweis: Es dauert ca. 10 Minuten, bis der Vorgang zum Erstellen des Gateways abgeschlossen ist. Wenn Sie den Status des Erstellungs- und Bereitstellungsprozesses prüfen möchten, können Sie auf das Benachrichtigungssymbol in der Hauptnavigationsleiste klicken, um eine Statusbenachrichtigung anzuzeigen, wie in folgender Abbildung dargestellt: Achten Sie darauf, dass neben dem Statussymbol ein grünes Häkchen angezeigt wird, bevor Sie fortfahren.

Klicken Sie auf Fortschritt prüfen. Gateway erstellen

API-Bereitstellung testen

Jetzt können Sie über die bei der Bereitstellung des Gateways generierte URL Anfragen an die API senden.

1. Geben Sie in Cloud Shell folgenden Befehl ein, um die GATEWAY_URL der neu erstellten API abzurufen, die von API Gateway gehostet wird:

export GATEWAY_URL=$(gcloud api-gateway gateways describe hello-gateway --location {{{project_0.default_region | "REGION"}}} --format json | jq -r .defaultHostname)

2. Führen Sie folgenden Befehl aus, um sicherzustellen, dass die Umgebungsvariable GATEWAY_URL festgelegt ist:

echo $GATEWAY_URL

Ist dies nicht der Fall, müssen Sie länger warten, bis API Gateway bereitgestellt ist.

3. Führen Sie folgenden curl-Befehl aus und prüfen Sie, ob die zurückgegebene Antwort Hello World! lautet:

curl -s -w "\n" https://$GATEWAY_URL/hello

Aufgabe 4: Zugriff mithilfe eines API-Schlüssels sichern

Generieren Sie einen mit Ihrem Projekt verknüpften API-Schlüssel und gewähren Sie diesem die Berechtigung zum Aufrufen der API, um den Zugriff auf Ihr API-Backend zu sichern. So erstellen Sie einen API-Schlüssel:

1. Gehen Sie in der Cloud Console zu API & Dienste > Anmeldedaten.
2. Wählen Sie Anmeldedaten erstellen und dann im Drop-down-Menü die Option API-Schlüssel. Das Dialogfeld API-Schlüssel erstellt enthält den neu erstellten Schlüssel.

Klicken Sie auf Fortschritt prüfen. Zugriff mithilfe eines API-Schlüssels sichern

3. Kopieren Sie den API-Schlüssel aus dem Dialogfeld und klicken Sie auf Schließen.

4. Speichern Sie den API-Schlüsselwert in Cloud Shell, indem Sie folgenden Befehl ausführen:

export API_KEY=REPLACE_WITH_COPIED_API_KEY

Aktivieren Sie jetzt die API-Schlüsselunterstützung für Ihren Dienst.

1. Rufen Sie in Cloud Shell mit folgendem Befehl den Namen des verwalteten Dienstes ab, den Sie gerade erstellt haben:

MANAGED_SERVICE=$(gcloud api-gateway apis list --format json | jq -r .[0].managedService | cut -d'/' -f6) echo $MANAGED_SERVICE

2. Führen Sie dann mit dem Namen des verwalteten Dienstes der gerade erstellten API diesen Befehl aus, um die Unterstützung von API-Schlüsseln für den Dienst zu aktivieren:

gcloud services enable $MANAGED_SERVICE

OpenAPI-Spezifikation ändern, um API-Schlüssel-Sicherheit zu nutzen

In diesem Abschnitt ändern Sie die API-Konfiguration der bereitgestellten API, um eine Sicherheitsrichtlinie für die API-Schlüsselvalidierung des gesamten Traffics zu erzwingen.

1. Fügen Sie die Abschnitte security und securityDefinitions in eine neue Datei mit dem Namen openapi2-functions2.yaml ein, wie hier gezeigt:

touch openapi2-functions2.yaml

2. Kopieren Sie den Inhalt der unten angezeigten OpenAPI-Spezifikation und fügen Sie ihn in die neu erstellte Datei ein

# openapi2-functions.yaml swagger: '2.0' info: title: API_ID description description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET security: - api_key: [] responses: '200': description: A successful response schema: type: string securityDefinitions: api_key: type: "apiKey" name: "key" in: "query"

3. Führen Sie folgende Befehle aus, um die im letzten Schritt festgelegten Variablen in der OpenAPI-Spezifikationsdatei zu ersetzen:

sed -i "s/API_ID/${API_ID}/g" openapi2-functions2.yaml sed -i "s/PROJECT_ID/$PROJECT_ID/g" openapi2-functions2.yaml

4. Laden Sie die aktualisierte API-Spezifikationsdatei herunter. Sie benötigen sie im nächsten Schritt, um die Gateway-Konfiguration zu aktualisieren:

cloudshell download $HOME/openapi2-functions2.yaml

5. Klicken Sie auf Herunterladen.

Aufgabe 5: neue API-Konfiguration für Ihr vorhandenes Gateway erstellen und bereitstellen:

1. Öffnen Sie in der Cloud Console die Seite API Gateway. (Klicken Sie auf Navigationsmenü > API Gateway.)
2. Wählen Sie Ihre API aus der Liste aus, um Details aufzurufen.
3. Wählen Sie den Tab Gateways aus.
4. Wählen Sie Hello Gateway aus der Liste der verfügbaren Gateways aus.
5. Klicken Sie oben auf der Gateway-Seite auf Bearbeiten.
6. Wählen Sie unter API-Konfiguration in der Drop-down-Liste Neue API-Konfiguration erstellen aus.
7. Klicken Sie im Eingabefeld API-Spezifikation hochladen auf Durchsuchen und wählen Sie die Datei openapi2-functions2.yaml aus.
8. Geben Sie Hello Config als Anzeigename ein.
9. Wählen Sie unter Dienstkonto auswählen die Option Dienstkonto für Qwiklabs-Nutzer aus.
10. Klicken Sie auf Aktualisieren.

Hinweis: Es kann einige Minuten dauern, bis der Vorgang „Gateway aktualisieren“ abgeschlossen ist. Wenn Sie den Status des Erstellungs- und Bereitstellungsprozesses prüfen möchten, können Sie auf das Benachrichtigungssymbol in der Hauptnavigationsleiste klicken, um eine Statusbenachrichtigung anzuzeigen, wie in folgender Abbildung dargestellt: Achten Sie darauf, dass neben dem Statussymbol ein grünes Häkchen angezeigt wird, bevor Sie fortfahren.

Klicken Sie auf Fortschritt prüfen. Neue API-Konfiguration für das vorhandene Gateway erstellen und bereitstellen

Aufgabe 6: Aufrufe mit dem API-Schlüssel testen

1. Führen Sie folgenden Befehl aus, um den API-Schlüssel zu testen:

export GATEWAY_URL=$(gcloud api-gateway gateways describe hello-gateway --location {{{project_0.default_region | "REGION"}}} --format json | jq -r .defaultHostname) curl -sL $GATEWAY_URL/hello

Sie sollten eine Antwort erhalten, die dem folgenden Fehler ähnelt, da dem curl-Aufruf kein API-Schlüssel mitgegeben wurde: UNAUTHENTICATED:Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.

2. Führen Sie folgenden curl-Befehl mit dem Suchparameter key aus und verwenden Sie den zuvor erstellten API-Schlüssel, um die API aufzurufen:

curl -sL -w "\n" $GATEWAY_URL/hello?key=$API_KEY

Wenn Sie die Umgebungsvariable API_KEY nicht festgelegt haben, können Sie Ihren API-Schlüssel im Menü auf der linken Seite unter APIs und Dienste > Anmeldedaten abrufen. Der Schlüssel wird im Abschnitt API-Schlüssel angezeigt.

Die Antwort der API sollte jetzt Hello World! lauten.

Hinweis: Gegebenenfalls müssen Sie diesen Befehl mehrmals ausführen, um das gewünschte Ergebnis zu erzielen.

Klicken Sie auf Fortschritt prüfen. Aufrufe mit dem API-Schlüssel testen

Glückwunsch!

Sie haben ein API-Backend mit API Gateway geschützt. Sie können jetzt mit dem Einrichten neuer API-Clients beginnen. Generieren Sie dazu weitere API-Schlüssel.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 9. Oktober 2024 aktualisiert

Lab zuletzt am 9. Oktober 2024 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.