เกี่ยวกับ Codelab นี้
1 ภาพรวม
Cloud Run เป็นแพลตฟอร์มแบบ Serverless ที่มีการจัดการโดยสมบูรณ์ซึ่งทำให้คุณเรียกใช้คอนเทนเนอร์แบบไม่เก็บสถานะที่เรียกใช้ผ่านคำขอ HTTP ได้ Codelab นี้จะสาธิตวิธีเชื่อมต่อแอปพลิเคชัน Node.js ใน Cloud Run กับ AlloyDB อย่างปลอดภัยด้วยบัญชีบริการโดยใช้การตรวจสอบสิทธิ์ IAM
สิ่งที่คุณจะได้เรียนรู้
ในบทแนะนำนี้ คุณจะได้เรียนรู้วิธีทำสิ่งต่อไปนี้
- สร้างอินสแตนซ์ AlloyDB (กำหนดค่าให้ใช้ Private Service Connect)
- ติดตั้งใช้งานแอปพลิเคชันใน Cloud Run ที่เชื่อมต่อกับอินสแตนซ์ AlloyDB
- ใช้ Gemini Code Assist เพื่อเพิ่มฟังก์ชันการทำงานลงในแอปพลิเคชัน
2 ข้อกำหนดเบื้องต้น
- หากยังไม่มีบัญชี Google คุณต้องสร้างบัญชี Google
- ใช้บัญชีส่วนตัวแทนบัญชีงานหรือบัญชีโรงเรียน บัญชีงานและบัญชีโรงเรียนอาจมีข้อจํากัดที่ทำให้คุณเปิดใช้ API ที่จําเป็นสําหรับห้องทดลองนี้ไม่ได้
3 การตั้งค่าโปรเจ็กต์
- ลงชื่อเข้าใช้คอนโซล Google Cloud
- เปิดใช้การเรียกเก็บเงินในคอนโซล Cloud
- การทำแล็บนี้ให้เสร็จสมบูรณ์ควรใช้ทรัพยากรในระบบคลาวด์ไม่ถึง $1 USD
- คุณสามารถทำตามขั้นตอนที่ส่วนท้ายของห้องทดลองนี้เพื่อลบทรัพยากรเพื่อหลีกเลี่ยงการเรียกเก็บเงินเพิ่มเติม
- ผู้ใช้ใหม่มีสิทธิ์รับช่วงทดลองใช้ฟรีมูลค่า$300 USD
- สร้างโปรเจ็กต์ใหม่หรือเลือกนําโปรเจ็กต์ที่มีอยู่มาใช้ซ้ำ
4 เปิดเครื่องมือแก้ไข Cloud Shell
- ไปที่ Cloud Shell Editor
- หากเทอร์มินัลไม่ปรากฏที่ด้านล่างของหน้าจอ ให้เปิดเทอร์มินัลโดยทำดังนี้
- คลิกเมนู 3 ขีด
- คลิก Terminal
- คลิก New Terminal
- คลิกเมนู 3 ขีด
- ในเทอร์มินัล ให้ตั้งค่าโปรเจ็กต์ด้วยคำสั่งนี้
- รูปแบบ:
gcloud config set project [PROJECT_ID]
- ตัวอย่าง
gcloud config set project lab-project-id-example
- หากจำรหัสโปรเจ็กต์ไม่ได้ ให้ทำดังนี้
- คุณแสดงรายการรหัสโปรเจ็กต์ทั้งหมดได้โดยทำดังนี้
gcloud projects list | awk '/PROJECT_ID/{print $2}'
- คุณแสดงรายการรหัสโปรเจ็กต์ทั้งหมดได้โดยทำดังนี้
- รูปแบบ:
- หากได้รับข้อความแจ้งให้ให้สิทธิ์ ให้คลิกให้สิทธิ์เพื่อดำเนินการต่อ
- คุณควรเห็นข้อความนี้
หากเห็นUpdated property [core/project].
WARNING
และระบบถามDo you want to continue (Y/N)?
แสดงว่าคุณอาจป้อนรหัสโปรเจ็กต์ไม่ถูกต้อง กดN
แล้วกดEnter
แล้วลองเรียกใช้คำสั่งgcloud config set project
อีกครั้ง
5 เปิดใช้ API
เปิดใช้ API ต่อไปนี้ในเทอร์มินัล
gcloud services enable \
compute.googleapis.com \
alloydb.googleapis.com \
run.googleapis.com \
artifactregistry.googleapis.com \
cloudbuild.googleapis.com \
cloudaicompanion.googleapis.com
หากได้รับข้อความแจ้งให้ให้สิทธิ์ ให้คลิกให้สิทธิ์เพื่อดำเนินการต่อ
คำสั่งนี้อาจใช้เวลาสักครู่จึงจะเสร็จสมบูรณ์ แต่สุดท้ายแล้วควรแสดงข้อความสำเร็จรูปคล้ายกับข้อความนี้
Operation "operations/acf.p2-73d90d00-47ee-447a-b600" finished successfully.
6 ตั้งค่าบัญชีบริการ
สร้างและกําหนดค่าบัญชีบริการ Google Cloud ให้ Cloud Run ใช้งานได้เพื่อให้มีสิทธิ์ที่เหมาะสมในการเชื่อมต่อกับ AlloyDB
- เรียกใช้คําสั่ง
gcloud iam service-accounts create
ดังนี้เพื่อสร้างบัญชีบริการใหม่gcloud iam service-accounts create quickstart-service-account \
--display-name="Quickstart Service Account" - เรียกใช้คําสั่ง gcloud projects add-iam-policy-binding ดังนี้เพื่อเพิ่มบทบาทผู้ใช้ฐานข้อมูล AlloyDB ไปยังบัญชีบริการ Google Cloud ที่คุณเพิ่งสร้างขึ้น
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \
--member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \
--role="roles/alloydb.databaseUser" - เรียกใช้คําสั่ง gcloud projects add-iam-policy-binding ดังนี้เพื่อเพิ่มบทบาทผู้ใช้บริการในบัญชีบริการ Google Cloud ที่คุณเพิ่งสร้างขึ้น
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \
--member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \
--role="roles/serviceusage.serviceUsageConsumer" - เรียกใช้คำสั่ง gcloud projects add-iam-policy-binding ดังนี้เพื่อเพิ่มบทบาทผู้เขียนบันทึกลงในบัญชีบริการ Google Cloud ที่คุณเพิ่งสร้างขึ้น
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \
--member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \
--role="roles/logging.logWriter"
7 สร้างอินสแตนซ์ AlloyDB
- เรียกใช้คําสั่ง
gcloud alloydb clusters create
เพื่อสร้างอินสแตนซ์ Cloud SQLgcloud alloydb clusters create quickstart-cluster \
--password=$(openssl rand -base64 20) \
--region=us-central1 \
--project=${GOOGLE_CLOUD_PROJECT} \
--enable-private-service-connect \
--database-version=POSTGRES_16
คำสั่งนี้อาจใช้เวลาสักครู่จึงจะเสร็จสมบูรณ์
- เรียกใช้คําสั่ง
gcloud alloydb instances create
เพื่อสร้างอินสแตนซ์ Cloud SQLgcloud alloydb instances create quickstart-instance \
--project=${GOOGLE_CLOUD_PROJECT} \
--instance-type=PRIMARY \
--cpu-count=2 \
--region=us-central1 \
--cluster=quickstart-cluster \
--allowed-psc-projects=${GOOGLE_CLOUD_PROJECT} \
--database-flags=alloydb.iam_authentication=on - เรียกใช้คําสั่ง
gcloud alloydb instances describe
เพื่อรับลิงก์ไฟล์แนบบริการ PSC และส่งออกไปยังตัวแปรexport SERVICE_ATTACHMENT=$(gcloud alloydb instances describe quickstart-instance \
--cluster=quickstart-cluster --region=us-central1 \
--format="value(pscInstanceConfig.serviceAttachmentLink)") gcloud compute addresses create quickstart-address \
--region=us-central1 \
--subnet=defaultgcloud compute forwarding-rules create quickstart-endpoint \
--region=us-central1 \
--network=default \
--address=quickstart-address \
--target-service-attachment=${SERVICE_ATTACHMENT}
สร้างผู้ใช้ฐานข้อมูล PostgreSQL สําหรับบัญชีบริการที่คุณสร้างไว้ก่อนหน้านี้เพื่อเข้าถึงฐานข้อมูล
gcloud alloydb users create quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam \
--cluster=quickstart-cluster \
--region=us-central1 \
--type=IAM_BASED \
--superuser=true
8 เตรียมใบสมัคร
เตรียมแอปพลิเคชัน Node.js ที่ตอบสนองต่อคําขอ HTTP
- ใน Cloud Shell ให้สร้างไดเรกทอรีใหม่ชื่อ
helloworld
จากนั้นเปลี่ยนเป็นไดเรกทอรีนั้นmkdir helloworld
cd helloworld - เริ่มต้นไฟล์
package.json
เป็นโมดูลnpm init -y
npm pkg set type="module"
npm pkg set main="index.mjs"
npm pkg set scripts.start="node index.mjs" - ติดตั้งไลบรารี Google Cloud Auth
npm install google-auth-library
- ติดตั้ง
pg
เพื่อโต้ตอบกับฐานข้อมูล PostgreSQLnpm install pg
- ติดตั้ง Express เพื่อยอมรับคําขอ HTTP ขาเข้า
npm install express
- สร้างไฟล์
index.mjs
ที่มีโค้ดแอปพลิเคชัน รหัสนี้ทําสิ่งต่อไปนี้ได้- ยอมรับคำขอ HTTP
- เชื่อมต่อกับฐานข้อมูล
- จัดเก็บเวลาของคําขอ HTTP ในฐานข้อมูล
- แสดงเวลาของคําขอ 5 รายการล่าสุด
cat > index.mjs << "EOF"
import express from 'express';
import pg from 'pg';
const { Pool } = pg;
import {GoogleAuth} from 'google-auth-library';
const auth = new GoogleAuth({
scopes: ['https://www.googleapis.com/auth/alloydb.login'],
});
const pool = new Pool({
host: process.env.DB_HOST,
user: process.env.DB_USER,
password: async () => {
return await auth.getAccessToken();
},
database: process.env.DB_NAME,
ssl: {
require: true,
rejectUnauthorized: false, // required for self-signed certs
// https://node-postgres.com/features/ssl#self-signed-cert
}
});
const app = express();
app.get('/', async (req, res) => {
await pool.query('INSERT INTO visits(created_at) VALUES(NOW())');
const {rows} = await pool.query('SELECT created_at FROM visits ORDER BY created_at DESC LIMIT 5');
console.table(rows); // prints the last 5 visits
res.send(rows);
});
const port = parseInt(process.env.PORT) || 8080;
app.listen(port, async () => {
console.log('process.env: ', process.env);
await pool.query(`CREATE TABLE IF NOT EXISTS visits (
id SERIAL NOT NULL,
created_at timestamp NOT NULL,
PRIMARY KEY (id)
);`);
console.log(`helloworld: listening on port ${port}`);
});
EOF
โค้ดนี้จะสร้างเว็บเซิร์ฟเวอร์พื้นฐานที่รอฟังพอร์ตซึ่งกำหนดโดยตัวแปรสภาพแวดล้อมของพอร์ต ตอนนี้แอปพลิเคชันพร้อมใช้งานแล้ว
9 ทำให้แอปพลิเคชัน Cloud Run ใช้งานได้
- เรียกใช้คำสั่ง gcloud projects add-iam-policy-binding ดังนี้เพื่อเพิ่มบทบาทผู้ใช้เครือข่ายลงในบัญชีบริการ Cloud Run สำหรับบริการ Cloud Run ที่คุณกำลังจะสร้าง
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \
--member "serviceAccount:service-$(gcloud projects describe ${GOOGLE_CLOUD_PROJECT} --format="value(projectNumber)")@serverless-robot-prod.iam.gserviceaccount.com" \
--role "roles/compute.networkUser"
- เรียกใช้คําสั่งด้านล่างเพื่อทําให้แอปพลิเคชันใช้งานได้ใน Cloud Run
gcloud run deploy helloworld \
--region=us-central1 \
--source=. \
--set-env-vars DB_NAME="quickstart_db" \
--set-env-vars DB_USER="postgres" \
--set-env-vars DB_PASSWORD=${DB_PASSWORD} \
--set-env-vars DB_HOST="$(gcloud sql instances describe quickstart-instance --project=${GOOGLE_CLOUD_PROJECT} --format='value(settings.ipConfiguration.pscConfig.pscAutoConnections.ipAddress)')" \
--service-account="quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \
--network=default \
--subnet=default \
--allow-unauthenticated - หากได้รับข้อความแจ้ง ให้กด
Y
และEnter
เพื่อยืนยันว่าคุณต้องการดำเนินการต่อDo you want to continue (Y/n)? Y
หลังจากผ่านไป 2-3 นาที แอปพลิเคชันควรแสดง URL ให้คุณเข้าชม
ไปที่ URL เพื่อดูการทำงานของแอปพลิเคชัน ทุกครั้งที่คุณเข้าชม URL หรือรีเฟรชหน้าเว็บ คุณจะเห็นการเข้าชมล่าสุด 5 รายการที่แสดงผลเป็น JSON
หลังจากผ่านไป 2-3 นาที แอปพลิเคชันควรแสดง URL ให้คุณเข้าชม
ไปที่ URL เพื่อดูการทำงานของแอปพลิเคชัน ทุกครั้งที่คุณเข้าชม URL หรือรีเฟรชหน้าเว็บ คุณจะเห็นการเข้าชมล่าสุด 5 รายการที่แสดงผลเป็น JSON
10 ขอแสดงความยินดี
ในห้องทดลองนี้ คุณได้เรียนรู้วิธีต่อไปนี้
- สร้างอินสแตนซ์ AlloyDB (กำหนดค่าให้ใช้ Private Service Connect)
- ติดตั้งใช้งานแอปพลิเคชันใน Cloud Run ที่เชื่อมต่อกับอินสแตนซ์ AlloyDB
- ใช้ Gemini Code Assist เพื่อเพิ่มฟังก์ชันการทำงานลงในแอปพลิเคชัน
ล้างข้อมูล
โปรดลบโปรเจ็กต์ที่มีทรัพยากรดังกล่าวหรือเก็บโปรเจ็กต์ไว้และลบทรัพยากรแต่ละรายการเพื่อเลี่ยงไม่ให้เกิดการเรียกเก็บเงินกับบัญชี Google Cloud สำหรับทรัพยากรที่ใช้ในบทแนะนำนี้ หากต้องการลบทั้งโปรเจ็กต์ ให้เรียกใช้คำสั่งต่อไปนี้
gcloud projects delete ${GOOGLE_CLOUD_PROJECT}