GSP872

Visão geral

A API Gateway permite o acesso seguro aos seus serviços com uma API REST bem definida, consistente em todos os serviços, independente da implementação. Uma API consistente:

• Facilita uso dos serviços pelos desenvolvedores de apps.
• Permite alterar a implementação do serviço de back-end sem afetar a API pública.
• Permite que você aproveite os recursos de escalonamento, monitoramento e segurança que fazem parte do Google Cloud.

Neste laboratório, você vai implantar uma API no API Gateway para proteger o tráfego a um serviço de back-end.

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

2. Clique nas seguintes janelas:

   • Continue na janela de informações do Cloud Shell.
   • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

3. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

4. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Definir a região

Defina a região do projeto neste laboratório:

gcloud config set compute/region {{{project_0.default_region | "REGION"}}}

Ativar as APIs necessárias

1. No console do Cloud, acesse Menu de navegação () e clique em APIs e serviços > Biblioteca.

2. Digite "api gateway" na barra de Pesquisa e selecione o bloco API Gateway API.

3. Clique no botão Ativar na próxima tela.

Tarefa 1: Como implantar um back-end de API

O API Gateway fica na frente de um serviço de back-end implantado e processa todas as solicitações recebidas. Neste laboratório, o API Gateway vai encaminhar as chamadas recebidas para um back-end do Cloud Functions chamado helloGET, que contém a função mostrada abaixo:

/** * Função HTTP do Cloud. * Essa função é exportada pelo index.js e executada quando * você faz uma solicitação HTTP para o endpoint da função implantada. * * @param {Object} req Contexto da solicitação da função do Cloud. * Mais informações: https://expressjs.com/en/api.html#req * @param {Object} res Contexto de resposta da função do Cloud. * Mais informações: https://expressjs.com/en/api.html#res */ exports.helloGET = (req, res) => { res.send('Hello World!'); };

1. No console do Cloud, clone o repositório de amostra do Cloud Functions:

git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

2. Altere para o diretório que tem o exemplo de código do Cloud Functions:

cd nodejs-docs-samples/functions/helloworld/helloworldGet

3. Para implantar a função com um gatilho HTTP, execute o seguinte comando no diretório que tem a função:

gcloud functions deploy helloGET --runtime nodejs20 --trigger-http --allow-unauthenticated --region {{{project_0.default_region | "REGION"}}}

• Se for solicitado, digite Y para ativar a API.

Observação: se você receber uma solicitação para permitir o comando gcloud com suas credenciais, clique em Autorizar. Levará alguns minutos para implantar a função do Cloud. Aguarde a operação terminar e depois continue. Aviso: se você receber um erro, como IamPermissionDeniedException, execute o comando acima novamente.

Clique em Verificar meu progresso para conferir o objetivo. Como implantar um back-end de API

Tarefa 2: Testar o back-end da API

1. Depois que a função for implantada, anote a propriedade "url" de httpsTrigger ou a encontre usando este comando:

gcloud functions describe helloGET --region {{{project_0.default_region | "REGION"}}}

A saída deve ser semelhante ao URL abaixo, em que PROJECT_ID é um valor específico do seu projeto.

2. Defina seu PROJECT_ID como uma variável:

export PROJECT_ID={{{project_0.project_id}}}

3. Acesse o URL para invocar a função do Cloud. A resposta será Hello World!:

curl -v https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET

Clique em Verificar meu progresso para conferir o objetivo. Testar o back-end da API

Criar a definição da API

O API Gateway usa uma definição de API para rotear chamadas para o serviço de back-end. Para definir o comportamento desejado do API Gateway, use uma especificação OpenAPI que contenha anotações especializadas. A especificação OpenAPI para este guia de início rápido contém instruções de roteamento para o back-end do Cloud Functions:

1. No Cloud Shell, volte para o diretório inicial:

cd ~

2. Crie um novo arquivo chamado openapi2-functions.yaml:

touch openapi2-functions.yaml

3. Copie o conteúdo da especificação OpenAPI mostrada abaixo e cole-o no arquivo novo:

# openapi2-functions.yaml swagger: '2.0' info: title: API_ID description description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET responses: '200': description: A successful response schema: type: string

4. Configure as variáveis de ambiente a seguir:

export API_ID="hello-world-$(cat /dev/urandom | tr -dc 'a-z' | fold -w ${1:-8} | head -n 1)"

5. Execute estes comandos para substituir as variáveis definidas na última etapa no arquivo da especificação OpenAPI:

sed -i "s/API_ID/${API_ID}/g" openapi2-functions.yaml sed -i "s/PROJECT_ID/$PROJECT_ID/g" openapi2-functions.yaml

Tarefa 3: Como criar um gateway

Agora você já pode criar e implantar um gateway no API Gateway.

1. Na barra de pesquisa na parte de cima, digite API Gateway e selecione essa opção.

2. Clique em Criar gateway. Em seguida, na seção APIs:

• Verifique se a entrada Selecionar uma API está definida como Criar nova API.
• Em Nome de exibição, digite Hello World API
• Para ID da API, execute este comando para ver o ID da API novamente e insira-o no campo ID da API:

export API_ID="hello-world-$(cat /dev/urandom | tr -dc 'a-z' | fold -w ${1:-8} | head -n 1)" echo $API_ID

3. Na seção Configurar API:

• Verifique se a entrada Selecionar uma configuração está definida como Criar nova configuração da API.
• Para fazer upload do arquivo openapi2-functions.yaml criado anteriormente, faça o seguinte:

4. No Cloud Shell, execute este comando:

cloudshell download $HOME/openapi2-functions.yaml

5. Clique em Fazer download.

Observação: o arquivo openapi2-functions.yaml foi salvo na sua máquina local.

6. Clique em Procurar e selecione o arquivo no local onde os downloads do navegador são salvos.

• Digite Hello World Config no campo Nome de exibição.
• Verifique se a entrada Selecionar uma conta de serviço está definida como Conta de serviço padrão do Compute Engine.

7. Na seção Detalhes do gateway:

• Insira Hello Gateway no campo Nome de exibição.
• Defina o menu suspenso Local como .

8. Clique em Criar gateway.

Observação: a criação do gateway leva cerca de 10 minutos. Para verificar o status do processo de criação e implantação, clique no ícone "Notificação" na barra de navegação principal para exibir uma notificação de status, conforme mostrado na imagem abaixo. Antes de prosseguir, verifique se há uma marca de seleção verde ao lado do ícone de status.

Clique em Verificar meu progresso para conferir o objetivo. Como criar um gateway

Como testar sua implantação de API

Agora é possível enviar solicitações para a API usando o URL gerado durante a implantação do gateway.

1. No Cloud Shell, insira o comando a seguir para recuperar o GATEWAY_URL da API recém-criada hospedada pelo API Gateway:

export GATEWAY_URL=$(gcloud api-gateway gateways describe hello-gateway --location {{{project_0.default_region | "REGION"}}} --format json | jq -r .defaultHostname)

2. Execute o comando a seguir para garantir que a variável de ambiente GATEWAY_URL já está definida:

echo $GATEWAY_URL

Se ela não estiver definida, você precisará esperar mais para que o API Gateway seja implantado.

3. Execute este comando curl e valide se a resposta retornada é Hello World!:

curl -s -w "\n" https://$GATEWAY_URL/hello

Tarefa 4: Como proteger o acesso usando uma chave de API

Para proteger o acesso ao back-end da API, gere uma chave de API associada ao seu projeto e conceda acesso para que ela chame a API. Para criar a chave, faça o seguinte:

1. No Console do Cloud, acesse APIs e serviços > Credenciais.
2. Clique em Criar credenciais e selecione a chave de API no menu suspenso. A nova chave será exibida na caixa de diálogo Chave de API criada.

Clique em Verificar meu progresso para conferir o objetivo. Como proteger o acesso usando uma chave de API

3. Copie a chave de API da caixa de diálogo e clique em Fechar.

4. Armazene o valor da chave de API no Cloud Shell executando o seguinte comando:

export API_KEY=REPLACE_WITH_COPIED_API_KEY

Agora, ative no seu serviço o suporte a chaves de API.

1. No Cloud Shell, acesse o nome do Serviço gerenciado que você acabou de criar. Para isso, use este comando:

MANAGED_SERVICE=$(gcloud api-gateway apis list --format json | jq -r .[0].managedService | cut -d'/' -f6) echo $MANAGED_SERVICE

2. Em seguida, usando o nome de Serviço gerenciado da API que você acabou de criar, execute este comando para ativar o suporte a chaves de API no serviço:

gcloud services enable $MANAGED_SERVICE

Modificar a especificação OpenAPI para fortalecer a segurança com chaves de API

Nesta seção, modifique a configuração da API implantada para aplicar, em todo o tráfego, uma política de segurança que valida chaves de API.

1. Adicione o tipo security e as seções securityDefinitions a um novo arquivo chamado openapi2-functions2.yaml, conforme mostrado abaixo:

touch openapi2-functions2.yaml

2. Copie o conteúdo da especificação OpenAPI mostrada abaixo e cole-o no arquivo novo:

# openapi2-functions.yaml swagger: '2.0' info: title: API_ID description description: Sample API on API Gateway with a Google Cloud Functions backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: https://{{{project_0.default_region | "REGION"}}}-{{{project_0.project_id | "PROJECT_ID"}}}.cloudfunctions.net/helloGET security: - api_key: [] responses: '200': description: A successful response schema: type: string securityDefinitions: api_key: type: "apiKey" name: "key" in: "query"

3. Execute estes comandos para substituir as variáveis definidas na última etapa no arquivo da especificação OpenAPI:

sed -i "s/API_ID/${API_ID}/g" openapi2-functions2.yaml sed -i "s/PROJECT_ID/$PROJECT_ID/g" openapi2-functions2.yaml

4. Baixe o arquivo de especificação de API atualizado. Ele será usado para atualizar a configuração do gateway na próxima etapa:

cloudshell download $HOME/openapi2-functions2.yaml

5. Clique em Fazer download.

Tarefa 5: Criar e implantar uma nova configuração de API no gateway atual

1. Abra a página API Gateway no console do Cloud. (Clique em Menu de navegação > API Gateway.)
2. Selecione sua API na lista para ver detalhes.
3. Selecione a guia Gateways.
4. Selecione Hello Gateway na lista de Gateways disponíveis.
5. Clique em Editar na parte de cima dessa página.
6. Em Configurar API, mude o menu suspenso para Criar nova configuração da API.
7. Na caixa de entrada Fazer o upload de uma API Spec, clique em Procurar e selecione o arquivo openapi2-functions2.yaml.
8. Insira Hello Config em Nome de exibição.
9. Selecione Qwiklabs User Service Account em Selecionar uma conta de serviço.
10. Clique em Atualizar.

Observação: a atualização do gateway pode levar alguns minutos para ser concluída. Para verificar o status do processo de criação e implantação, clique no ícone "Notificação" na barra de navegação principal para exibir uma notificação de status, conforme mostrado na imagem abaixo. Antes de prosseguir, verifique se há uma marca de seleção verde ao lado do ícone de status.

Clique em Verificar meu progresso para conferir o objetivo. Criar e implantar uma nova configuração de API no gateway atual

Tarefa 6: Testar chamadas usando sua chave de API

1. Para testar usando sua chave de API, execute este comando:

export GATEWAY_URL=$(gcloud api-gateway gateways describe hello-gateway --location {{{project_0.default_region | "REGION"}}} --format json | jq -r .defaultHostname) curl -sL $GATEWAY_URL/hello

Você vai receber uma resposta semelhante ao erro a seguir, porque nenhuma chave de API foi fornecida com a chamada curl: UNAUTHENTICATED:Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.

2. Execute o seguinte comando curl com o parâmetro de consulta key e use a chave criada anteriormente para chamar a API:

curl -sL -w "\n" $GATEWAY_URL/hello?key=$API_KEY

Se a variável de ambiente API_KEY ainda não estiver definida, você poderá acessar sua chave de API no menu à esquerda. Vá até APIs e serviços > Credenciais. A chave estará disponível na seção Chaves de API.

A resposta retornada da API agora deve ser Hello World!.

Observação: talvez seja necessário executar esse comando mais de uma vez até ver o resultado desejado.

Clique em Verificar meu progresso para conferir o objetivo. Testar chamadas usando sua chave de API

Parabéns!

Você protegeu o back-end da API com o API Gateway. Agora você pode começar a integrar novos clientes de API gerando outras chaves.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 9 de outubro de 2024

Laboratório testado em 9 de outubro de 2024

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.