Questo tutorial mostra come eseguire il deployment di un semplice esempio di gRPC
servizio con
Extensible Service Proxy V2
(ESPv2) su Google Kubernetes Engine
(GKE). Questo tutorial
utilizza la versione Python
bookstore-grpc
campione. Consulta le
Sezione Passaggi successivi per i campioni di gRPC in altri
lingue diverse.
Il tutorial utilizza immagini container predefinite del codice campione ESPv2, che vengono archiviati in Container Registry. Se che non hanno familiarità con i container, consulta quanto segue per saperne di più:
Per una panoramica di Cloud Endpoints, consulta Informazioni su Endpoints e l'architettura degli endpoint.
Obiettivi
Durante il tutorial, utilizza il seguente elenco di attività di alto livello. Tutti necessarie per inviare correttamente le richieste all'API.
- Configura un progetto Google Cloud e scarica software richiesto. Consulta: Prima di iniziare.
- Copia e configura file dal
bookstore-grpc
campione. Consulta: Configurazione di Endpoints. - Esegui il deployment della configurazione di Endpoints per creare Servizio Endpoints. Consulta: Esegui il deployment della configurazione di Endpoints.
- Creare un backend per la gestione dell'API ed il relativo deployment. Consulta: Deployment del backend dell'API.
- Ottieni l'indirizzo IP esterno del servizio. Consulta: Recuperare l'indirizzo IP esterno del servizio.
- Invia una richiesta all'API. Consulta: Invio di una richiesta all'API.
- Evita che al tuo account Google Cloud vengano addebitati costi. Consulta Pulizia.
Costi
In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Prendi nota dell'ID progetto Google Cloud perché sarà necessario in seguito.
- Installa e inizializza Google Cloud CLI.
- Aggiorna gcloud CLI e installa Endpoints
componenti.
gcloud components update
- Assicurati che Google Cloud CLI (
gcloud
) sia autorizzato ad accedere i tuoi dati e servizi su Google Cloud:gcloud auth login
Si apre una nuova scheda del browser e ti viene chiesto di scegliere un account. - Imposta il progetto predefinito sul tuo ID progetto.
gcloud config set project YOUR_PROJECT_ID
Sostituisci YOUR_PROJECT_ID con l'ID progetto.
Se hai altri progetti Google Cloud e vuoi utilizzare
gcloud
per gestirle, consulta Gestione gcloud CLI di comando gcloud. - Installa
kubectl
:gcloud components install kubectl
- Acquisisci nuove credenziali utente da utilizzare come predefinite per l'applicazione
e credenziali. Le credenziali utente sono necessarie per autorizzare
kubectl
.gcloud auth application-default login
Scegli un account nella nuova scheda del browser che si apre. - Segui la procedura descritta in Guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.
Configurazione di Endpoints
La bookstore-grpc
contiene i file che devi copiare localmente e configurare.
- Crea un file descrittore protobuf autonomo dal file
.proto
del servizio:- Salva una copia di
bookstore.proto
dal repository di esempio. Questo file definisce l'API del servizio Bookstore. - Crea la seguente directory:
mkdir generated_pb2
- Crea il file descrittore
api_descriptor.pb
utilizzando il compilatore di buffer di protocolloprotoc
. Esegui questo comando nella directory in cui hai salvatobookstore.proto
:python -m grpc_tools.protoc \ --include_imports \ --include_source_info \ --proto_path=. \ --descriptor_set_out=api_descriptor.pb \ --python_out=generated_pb2 \ --grpc_python_out=generated_pb2 \ bookstore.proto
Nel comando precedente,
--proto_path
è impostato sul valore attuale nella directory di lavoro. Nel tuo ambiente di build gRPC, se utilizzi un'interfaccia directory per.proto
file di input, modifica--proto_path
in modo che il compilatore cerca nella directory in cui hai salvatobookstore.proto
.
- Salva una copia di
- Crea un file YAML di configurazione dell'API gRPC:
- Salva una copia del
api_config.yaml
file. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore. - Sostituisci MY_PROJECT_ID nel file
api_config.yaml
con l'ID progetto Google Cloud. Ad esempio:# # Name of the service configuration. # name: bookstore.endpoints.example-project-12345.cloud.goog
Tieni presente che il valore del campo
apis.name
in questo file corrisponde esattamente al nome completo dell'API nel file.proto
. In caso contrario, il deployment non funzionerà. Il servizio Bookstore è definito inbookstore.proto
all'interno del pacchettoendpoints.examples.bookstore
. Il nome completo dell'API èendpoints.examples.bookstore.Bookstore
, proprio come appare nel fileapi_config.yaml
.apis: - name: endpoints.examples.bookstore.Bookstore
- Salva una copia del
Consulta Configurazione di Endpoints per ulteriori informazioni.
esegui il deployment della configurazione di Endpoints
Per eseguire il deployment della configurazione di Endpoints, utilizza
gcloud endpoints services deploy
. Questo comando utilizza
Gestione del servizio
per creare un servizio gestito.
- Assicurati di trovarti nella directory in cui si trovano i file
api_descriptor.pb
eapi_config.yaml
. - Conferma che il progetto predefinito a riga di comando
gcloud
attualmente in uso è il progetto Google Cloud che vuoi eseguire il deployment della configurazione di Endpoints. Convalida l'ID progetto restituito dal seguente comando per assicurarti che il servizio non venga creato nel progetto sbagliato.gcloud config list project
Se devi modificare il progetto predefinito, esegui questo comando:
gcloud config set project YOUR_PROJECT_ID
- Esegui il deployment del file
proto descriptor
e del file di configurazione utilizzando l'interfaccia a riga di comando Google Cloud:gcloud endpoints services deploy api_descriptor.pb api_config.yaml
Durante la creazione e la configurazione del servizio, Service Management genera le informazioni al terminale. Al termine del deployment, verrà visualizzato un messaggio simile a viene visualizzato quanto segue:
Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
CONFIG_ID è la configurazione univoca del servizio Endpoints ID creato dal deployment. Ad esempio:
Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
Nell'esempio precedente,
2017-02-13r0
è l'ID configurazione del servizio ebookstore.endpoints.example-project.cloud.goog
è il nome del servizio. L'ID configurazione del servizio è costituito da una data seguita da un numero di revisione. Se esegui il deployment della configurazione di Endpoints sempre nello stesso giorno, il numero di revisione viene incrementato o l'ID configurazione.
Controllo dei servizi richiesti in corso...
Come minimo, Endpoints ed ESP richiedono seguenti servizi Google da attivare:Nome | Titolo |
---|---|
servicemanagement.googleapis.com |
API Service Management |
servicecontrol.googleapis.com |
API Service Control |
endpoints.googleapis.com |
Google Cloud Endpoints |
Nella maggior parte dei casi, il comando gcloud endpoints services deploy
abilita questi
servizi richiesti. Tuttavia, il comando gcloud
viene completato correttamente,
non abilita i servizi richiesti nelle seguenti circostanze:
Se hai utilizzato un'applicazione di terze parti, come Terraform, includono questi servizi.
Hai eseguito il deployment della configurazione di Endpoints in una Progetto Google Cloud in cui questi servizi sono stati disattivati esplicitamente.
Utilizza il comando seguente per confermare che i servizi richiesti siano abilitati:
gcloud services list
Se non vedi elencati i servizi richiesti, abilitali:
gcloud services enable servicemanagement.googleapis.comgcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com
Abilita anche il servizio Endpoints:
gcloud services enable ENDPOINTS_SERVICE_NAME
Per determinare il ENDPOINTS_SERVICE_NAME puoi:
Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoint nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è visualizzato nella colonna Nome servizio.
Per OpenAPI, ENDPOINTS_SERVICE_NAME è quello che hai specificato nel campo
host
della specifica OpenAPI. Per gRPC, il valore ENDPOINTS_SERVICE_NAME è quello specificato nel camponame
della configurazione degli endpoint gRPC.
Per ulteriori informazioni sui comandi gcloud
, consulta
gcloud
servizi.
Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di deployment della configurazione di Endpoints.
Consulta: Deployment della configurazione di Endpoints per ulteriori informazioni.
esegui il deployment del backend dell'API
Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che gestisce il backend dell'API. Questa sezione ti guiderà nella creazione di Cluster GKE per ospitare il backend dell'API e il deployment dell'API.
Creazione di un cluster di container
Il cluster richiede un alias IP utilizza il bilanciamento del carico nativo del container. Per creare un cluster di container con un alias IP per il nostro esempio:
gcloud container clusters create espv2-demo-cluster \ --enable-ip-alias \ --create-subnetwork="" \ --network=default \ --zone=us-central1-a
Il comando precedente crea un cluster, espv2-demo-cluster
, con un
subnet di cui è stato eseguito il provisioning automatico nella zona us-central1-a
.
Autenticazione di kubectl
nel cluster di container in corso...
Per utilizzare kubectl
per creare e gestire le risorse del cluster, devi ottenere
le credenziali del cluster e rendile disponibili a kubectl
. Per farlo, esegui il comando
seguente comando, sostituendo NAME con il tuo nuovo cluster
nome e ZONE con la zona del cluster.
gcloud container clusters get-credentials NAME --zone ZONE
Controllo delle autorizzazioni richieste in corso...
ESP ed ESPv2 chiama i servizi Google che utilizzano IAM per: verifica che l'identità chiamante disponga di autorizzazioni sufficienti per accedere alla risorsa IAM utilizzata Google Cloud. L'identità chiamante è l'account di servizio collegato che esegue il deployment di ESP ed ESPv2.
Dopo il deployment nel pod GKE, l'account di servizio collegato è il servizio nodo . Di solito è l'account di servizio predefinito di Compute Engine. Segui queste istruzioni suggerimento di autorizzazione per scegliere un account di servizio del nodo appropriato.
Se Workload Identity è un account di servizio separato e diverso dal nodo l'account di servizio può essere usato per comunicare con i servizi Google. Puoi creare un Account di servizio Kubernetes per il pod per l'esecuzione di ESP ESPv2, creare un account di servizio Google e associare il cluster Kubernetes di servizio all'account di servizio Google.
Segui queste passaggi per associare un account di servizio Kubernetes a un servizio Google. . Questo account di servizio Google è l'account di servizio collegato.
Se l'account di servizio collegato è Computing Account di servizio predefinito del motore del progetto e del servizio endpoint di configurazione del deployment nello stesso progetto, l'account di servizio deve disporre di autorizzazioni sufficienti per accedere alle risorse IAM, seguendo la configurazione dei ruoli IAM è possibile saltare questo passaggio. In caso contrario, devi aggiungere i seguenti ruoli IAM con un account di servizio collegato.
Aggiungi i ruoli IAM richiesti:
Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti per l'account di servizio collegato per accedere a queste risorse.
Configurazione del servizio endpoint
ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM, mentre ESP ed ESPv2 necessitano Controller di servizi per accedervi.
Il ruolo IAM si trova nella configurazione del servizio endpoint, non nel progetto. Un progetto può avere più configurazioni di servizi endpoint.
Utilizza il seguente comando gcloud per aggiungere il ruolo al servizio collegato per la configurazione del servizio endpoint.
gcloud endpoints services add-iam-policy-binding SERVICE_NAME \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/servicemanagement.serviceController
Dove
* SERVICE_NAME
è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
è l'account di servizio collegato.
Cloud Trace
Chiamata ESP ed ESPv2
Cloud Trace per
esportare Trace in un progetto. Questo progetto è chiamato tracciamento
progetto. In ESP, il progetto di tracciamento e il progetto proprietario
la configurazione del servizio endpoint
è la stessa. In ESPv2,
il progetto di tracciamento può essere specificato dal flag --tracing_project_id
, e
il valore predefinito del progetto di deployment.
ESP ed ESPv2 richiedono l'agente Cloud Trace per abilitare Cloud Trace.
Utilizza il seguente comando gcloud per aggiungere il ruolo al servizio collegato :
gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudtrace.agent
Dove
* TRACING_PROJECT_ID è l'ID del progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
è l'account di servizio collegato.
Per ulteriori informazioni, vedi
Cosa sono i ruoli e le autorizzazioni?
Configurazione di chiavi e certificati SSL
Bilanciamento del carico nativo del container utilizza Bilanciatore del carico HTTP2, che deve essere criptato con TLS. Per eseguire questa operazione era necessario al traffico GKE in entrata e a ESPv2. Puoi utilizzare il codice o utilizzare un certificato autofirmato.
Crea un certificato autofirmato e una chiave utilizzando openssl. Assicurati di aver inserito lo stesso nome di dominio completo
bookstore.endpoints.MY_PROJECT_ID.cloud.goog
quando viene richiesto "Common Name(CN)". Questo nome viene utilizzato per verificare il certificato del server.openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout ./server.key -out ./server.crt
Crea un secret Kubernetes con la chiave SSL e il certificato. Tieni presente che il certificato viene copiato in due posizioni,
server.crt
etls.crt
, come secret viene fornito sia a GKE Ingress che a ESPv2. GKE Ingress cerca il certificato il percorsotls.crt
e ESPv2 cerca il percorso del certificatoserver.crt
.kubectl create secret generic esp-ssl \ --from-file=server.crt=./server.crt --from-file=server.key=./server.key \ --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key
Deployment dell'API di esempio e di ESPv2 nel cluster
Per eseguire il deployment del servizio gRPC di esempio nel cluster in modo che i client possano utilizzarlo:
git clone
questo repo e aprirlo per modificare grpc-bookstore.yaml.- Sostituisci SERVICE_NAME con il nome del tuo
Servizio Endpoints per il traffico in entrata e il container ESPv2.
Si tratta dello stesso nome che hai configurato nel campo
name
nel fileapi_config.yaml
.Opzione
--rollout_strategy=managed
configura ESPv2 in modo che utilizzi l'ultima configurazione del servizio di cui è stato eseguito il deployment. Quando specificare questa opzione, entro un minuto dopo il deployment di un nuovo servizio configurazione, ESPv2 rileva la modifica e inizia automaticamente a utilizzarla. Me ti consigliamo di specificare questa opzione anziché fornire un ID configurazione specifico per ESPv2. Per maggiori dettagli sugli argomenti ESPv2, vedi Opzioni di avvio di ESPv2.Ad esempio:
spec: containers: - name: esp image: gcr.io/endpoints-release/endpoints-runtime:2 args: [ "--listener_port=9000", "--service=bookstore.endpoints.example-project-12345.cloud.goog", "--rollout_strategy=managed", "--backend=grpc://127.0.0.1:8000" ]
di Gemini Advanced. - Avvia il servizio:
kubectl create -f grpc-bookstore.yaml
Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di Endpoints in GKE.
Ottenere l'indirizzo IP esterno del servizio
Devi avere l'indirizzo IP esterno del servizio per inviare richieste all'API di esempio. Dopo l'avvio del servizio nel container, possono essere necessari alcuni minuti l'indirizzo IP esterno sia pronto.
Visualizza l'indirizzo IP esterno:
kubectl get ingress
Prendi nota del valore per
EXTERNAL-IP
e salvalo in un SERVER_IP variabile di ambiente. L'indirizzo IP esterno viene utilizzato per inviare richieste l'API di esempio.export SERVER_IP=YOUR_EXTERNAL_IP
Invio di una richiesta all'API
Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.
Clona il repository git in cui è ospitato il codice client gRPC:
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Cambia la directory di lavoro:
cd python-docs-samples/endpoints/bookstore-grpc/
Installa le dipendenze:
pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt
Crea una CA radice per il certificato autofirmato
openssl x509 -in server.crt -out client.pem -outform PEM
Invia una richiesta all'API di esempio:
python bookstore_client.py --host SERVER_IP --port 443 \ --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
Osserva i grafici delle attività dell'API nella Endpoint > Servizi.
Vai alla pagina Servizi endpoint
Potrebbero essere necessari alcuni minuti prima che la richiesta venga riportata nei grafici.
Esamina i log delle richieste per la tua API nella pagina Esplora log.
Se non ricevi una risposta positiva, consulta Risoluzione degli errori di risposta.
Hai eseguito il deployment e il test di un'API in Endpoints.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Elimina l'API:
gcloud endpoints services delete SERVICE_NAME
Sostituisci SERVICE_NAME con il nome dell'API.
Elimina il cluster GKE:
gcloud container clusters delete NAME --zone ZONE
Passaggi successivi
- Scopri come configurare la tua API gRPC per Cloud Endpoints.
- Dai un'occhiata all'esempio della libreria su GitHub in modo più dettagliato. Sia il client che il server sono disponibili Python e Java.
- L'esempio
getting-started-grpc
è disponibile su GitHub nelle seguenti lingue: