Cette page a été traduite par l'API Cloud Translation.

Premiers pas avec API Gateway et App Engine

Cette page vous explique comment configurer API Gateway pour gérer et sécuriser un service de backend App Engine.

Liste de tâches

Tout au long du tutoriel, reportez-vous à la liste de tâches présentée ci-dessous. Toutes les tâches sont requises pour déployer une passerelle API pour votre service de backend App Engine.

Créez ou sélectionnez un projet Google Cloud .
Si vous n'avez pas déployé votre propre instance App Engine, déployez un exemple d'application. Consultez la section Avant de commencer.
Activez les services API Gateway requis.
Configurez IAP pour sécuriser votre application. Consultez la section Configurer IAP.
Créez une description OpenAPI décrivant votre API et configurez les routes vers votre instance App Engine. Consultez Créer une configuration d'API.
Déployez une passerelle d'API à l'aide de votre configuration d'API. Consultez Déployer une passerelle API.
Suivez l'activité de vos applications. Consultez la section Suivre l'activité de l'API.
Pour éviter que des frais ne soient facturés sur votre compte Google Cloud , Consultez la section Effectuer un nettoyage.

Avant de commencer

Dans la console Google Cloud , accédez à la page Tableau de bord, puis sélectionnez ou créez un projet Google Cloud .
Accéder à la page "Tableau de bord"

Remarque : Si vous ne prévoyez pas de conserver les ressources créées dans ce tutoriel, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.
Assurez-vous que la facturation est activée pour votre projet.
Activer la facturation
Notez l'ID du projet que vous souhaitez utiliser pour ce tutoriel. Sur le reste de cette page, cet ID est appelé PROJECT_ID.
Téléchargez et installez la Google Cloud CLI.
Télécharger gcloud CLI
Mettez à jour les composants gcloud :
```
gcloud components update
```
Définissez le projet par défaut. Remplacez PROJECT_ID par l'ID de votre projet Google Cloud :
```
gcloud config set project PROJECT_ID
```
Si vous n'avez pas déployé votre propre application App Engine, suivez les étapes décrites dans le Guide de démarrage rapide d'App Engine correspondant à votre langage pour sélectionner ou créer un projet Google Cloud et déployer un exemple d'application avec la Google Cloud CLI. Notez l'URL de l'application, ainsi que la région et l'ID de projet correspondant à l'emplacement de déploiement de votre application.

Activer les services requis

API Gateway nécessite l'activation des services Google suivants :

Nom	Titre
`apigateway.googleapis.com`	API de la passerelle API
`servicemanagement.googleapis.com`	API Service Management
`servicecontrol.googleapis.com`	API Service Control

Utilisez les commandes suivantes pour activer ces services :

gcloud services enable apigateway.googleapis.com
gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Pour en savoir plus sur les services gcloud, consultez la section Services gcloud.

Configurer IAP pour sécuriser votre application

Pour sécuriser votre application App Engine, vous devez utiliser le proxy Identity-Aware Proxy (IAP) afin de vérifier que les requêtes sont authentifiées. Ce processus inclut la spécification des membres auxquels le rôle IAP-secured Web App User requis pour le projet doit être attribué.

Suivez les étapes de la section Activer IAP et vérifiez que vous pouvez vous connecter à votre application.

Créer une configuration d'API

Pour que API Gateway puisse être utilisé afin de gérer le trafic vers votre backend App Engine déployé, il a besoin d'une configuration d'API.

Vous pouvez créer une configuration d'API à l'aide d'une description OpenAPI contenant des annotations spécialisées pour définir le comportement choisi d'API Gateway. Vous devrez ajouter un champ spécifique à Google contenant l'URL de chaque application App Engine afin qu'API Gateway dispose des informations nécessaires pour appeler une application.

Pour en savoir plus sur les extensions OpenAPI compatibles, consultez les pages suivantes :

Pour créer votre configuration d'API :

Créez un fichier texte intitulé openapi-appengine.yaml. Pour des raisons de commodité, cette page utilise ce nom de fichier pour désigner la description OpenAPI, mais vous pouvez le nommer autrement si vous préférez.
Copiez le contenu du fichier suivant dans votre fichier openapi-run.yaml :
OpenAPI 2.0
# openapi-appengine.yaml swagger: '2.0' info: title: API_ID optional-string description: Sample API on API Gateway with an App Engine backend version: 1.0.0 schemes: - https produces: - application/json paths: /hello: get: summary: Greet a user operationId: hello x-google-backend: address: APP_URL jwt_audience: IAP_CLIENT_ID responses: '200': description: A successful response schema: type: string
- Dans le champ title, remplacez API_ID par le nom de votre API et optional-string par une brève description de votre choix. Si votre API n'existe pas encore, la commande permettant de créer la configuration d'API créera également l'API avec le nom que vous spécifiez. La valeur du champ title est utilisée lors de la création de clés API qui accordent l'accès à cette API. Consultez les exigences concernant les ID d'API pour connaître les consignes de dénomination des API.
- Dans le champ address de la section x-google-backend, remplacez APP_URL par l'URL réelle de votre service App Engine (chemin d'accès complet de l'API appelée). Par exemple, https://myapp.an.r.appspot.com/hello.
  Remplacez IAP_CLIENT_ID par l'ID client OAuth que vous avez créé lors de la configuration d'IAP.
OpenAPI 3.x
# openapi-appengine.yaml openapi: 3.0.4 info: title: API_ID optional-string description: Sample API on API Gateway with an App Engine backend version: 1.0.0 # Define reusable components in x-google-api-management x-google-api-management: backends: appengine_backend: address: APP_URL jwtAudience: IAP_CLIENT_ID deadline: 30.0 pathTranslation: APPEND_PATH_TO_ADDRESS protocol: "http/1.1" # Apply the backend configuration by referencing it by name. Set at the root so this applies to all operations unless overridden. x-google-backend: appengine_backend paths: /hello: get: summary: Greet a user operationId: hello responses: '200': description: A successful response schema: type: string
- Dans le champ title, remplacez API_ID par le nom de votre API et optional-string par une brève description de votre choix. Si votre API n'existe pas encore, la commande permettant de créer la configuration d'API créera également l'API avec le nom que vous spécifiez. La valeur du champ title est utilisée lors de la création de clés API qui accordent l'accès à cette API. Consultez les exigences concernant les ID d'API pour connaître les consignes de dénomination des API.
- Dans le champ address, remplacez APP_URL par l'URL réelle de votre service App Engine (chemin d'accès complet de l'API appelée). Par exemple, https://myapp.an.r.appspot.com/hello.
  Remplacez IAP_CLIENT_ID par l'ID client OAuth que vous avez créé lors de la configuration d'IAP.
Saisissez la commande suivante, où :
- CONFIG_ID spécifie le nom de votre configuration d'API.
- API_ID spécifie le nom de votre API. Si l'API n'existe pas encore, cette commande la crée.
- SERVICE_ACCOUNT_EMAIL spécifie le compte de service utilisé pour signer les jetons pour les backends avec authentification configurée.
```
gcloud api-gateway api-configs create CONFIG_ID \
  --api=API_ID --openapi-spec=openapi2-appengine.yaml \
 --backend-auth-service-account=SERVICE_ACCOUNT_EMAIL
```
Cette opération peut prendre plusieurs minutes, car la configuration de l'API est propagée aux systèmes en aval. La création d'une configuration d'API complexe peut prendre jusqu'à dix minutes.
Une fois la configuration de l'API créée, vous pouvez en afficher les détails en exécutant la commande suivante :
```
gcloud api-gateway api-configs describe CONFIG_ID \
  --api=API_ID 
```

Déployer une passerelle d'API

Vous pouvez maintenant déployer votre API sur API Gateway. Le déploiement d'une API sur API Gateway définit également une URL externe permettant aux clients API d'accéder à votre API.

Exécutez la commande suivante pour déployer la configuration d'API que vous venez de créer sur API Gateway :

gcloud api-gateway gateways create GATEWAY_ID \
  --api=API_ID --api-config=CONFIG_ID \
  --location=GCP_REGION

Où :

GATEWAY_ID spécifie le nom de la passerelle.
API_ID spécifie le nom de l'API API Gateway associée à cette passerelle.
CONFIG_ID spécifie le nom de la configuration d'API déployée sur la passerelle.
GCP_REGION est la Google Cloud région de la passerelle déployée.
Remarque :
Les valeurs autorisées sont les suivantes :
- asia-northeast1
- australia-southeast1
- europe-west1
- europe-west2
- us-east1
- us-east4
- us-central1
- us-west2
- us-west3
- us-west4

Si l'opération réussit, vous pouvez utiliser la commande suivante pour afficher les détails de la passerelle :

gcloud api-gateway gateways describe GATEWAY_ID \
  --location=GCP_REGION

Notez la valeur de la propriété defaultHostname dans le résultat de cette commande. Il s'agit de la partie nom d'hôte de l'URL de la passerelle que vous utiliserez pour tester votre déploiement à l'étape suivante.

Tester le déploiement de votre API

Vous pouvez maintenant envoyer des requêtes à votre API à l'aide de l'URL générée lors du déploiement de votre passerelle.

Saisissez la commande curl suivante, où :

DEFAULT_HOSTNAME spécifie la partie nom d'hôte de l'URL de la passerelle déployée. La valeur de defaultHostname se trouve dans le résultat de la commande gateways describe affichée précédemment.
DEFAULT_HOSTNAME spécifie la partie nom d'hôte de l'URL de la passerelle déployée. La valeur de defaultHostname se trouve dans le résultat de la commande gateways describe affichée précédemment.
hello correspond au chemin d'accès spécifié dans la configuration de votre API.

curl https://DEFAULT_HOSTNAME/hello

Exemple :

curl https://my-gateway-a12bcd345e67f89g0h.uc.gateway.dev/hello

Vous devriez obtenir le résultat suivant :

My-AppEngineApp: Access denied for user gateway-1a2b3c@04d5e6f35FgdsT73dFrty-tp.iam.gserviceaccount.com requesting https://my-project.appspot.com/helloGET. If you should have access, contact myldap@google.com and include the full text of this message.

Opération réussie ! Votre passerelle gère l'accès à votre service de backend App Engine. Pour accorder l'accès à votre application App Engine, vous devez configurer un compte de service avec les autorisations appropriées pour votre passerelle.

Suivre l'activité de l'API

Affichez les graphiques d'activité de votre API sur la page API Gateway de la consoleGoogle Cloud . Cliquez sur votre API pour afficher ses graphiques d'activité sur la page Présentation. Il peut s'écouler quelques instants avant que les requêtes ne soient reflétées dans les graphiques.
Consultez les journaux de requêtes de votre API sur la page de l'explorateur de journaux. Un lien vers la page Explorateur de journaux est disponible sur la page API Gateway de la consoleGoogle Cloud .
Accéder à la page "API Gateway"
Une fois sur la page API Gateway :
1. Sélectionnez l'API à afficher.
2. Cliquez sur l'onglet Détails.
3. Cliquez sur le lien sous Journaux.

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans ce guide de démarrage rapide ne soient facturées sur votre compte Google Cloud , vous pouvez :

Vous pouvez également supprimer le projet Google Cloud utilisé pour ce tutoriel.