Mulai menggunakan Endpoint untuk GKE dengan ESPv2


Tutorial ini menunjukkan cara men-deploy contoh layanan gRPC sederhana dengan Extensible Service Proxy V2 (ESPv2) di Google Kubernetes Engine (GKE). Tutorial ini menggunakan contoh bookstore-grpc versi Python. Lihat bagian Langkah berikutnya untuk contoh gRPC dalam bahasa lain.

Tutorial ini menggunakan image container yang telah dibuat sebelumnya dari kode contoh dan ESPv2, yang disimpan di Container Registry. Jika belum memahami container, lihat artikel berikut untuk mengetahui informasi selengkapnya:

Untuk ringkasan Cloud Endpoints, lihat Tentang Endpoint dan arsitektur Endpoint.

Tujuan

Gunakan daftar tugas tingkat tinggi berikut saat Anda mengerjakan tutorial. Semua tugas diperlukan agar berhasil mengirim permintaan ke API.

  1. Siapkan project Google Cloud, dan download software yang diperlukan. Lihat Sebelum memulai.
  2. Salin dan konfigurasi file dari contoh bookstore-grpc. Lihat Mengonfigurasi Endpoint.
  3. Deploy konfigurasi Endpoint untuk membuat layanan Endpoint. Lihat Men-deploy konfigurasi Endpoint.
  4. Membuat backend untuk menyalurkan API dan men-deploy API. Lihat Men-deploy backend API.
  5. Dapatkan alamat IP eksternal layanan. Lihat Mendapatkan alamat IP eksternal layanan.
  6. Mengirim permintaan ke API. Lihat Mengirim permintaan ke API.
  7. Menghindari timbulnya tagihan ke akun Google Cloud Anda. Lihat Pembersihan.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  5. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  6. Catat ID project Google Cloud karena akan diperlukan nanti.
  7. Instal dan lakukan inisialisasi Google Cloud CLI.
  8. Update gcloud CLI dan instal komponen Endpoint.
    gcloud components update
  9. Pastikan Google Cloud CLI (gcloud) diberi otorisasi untuk mengakses data dan layanan Anda di Google Cloud:
    gcloud auth login
    Tab browser baru akan terbuka dan Anda akan diminta untuk memilih akun.
  10. Tetapkan project default ke project ID Anda.
    gcloud config set project YOUR_PROJECT_ID

    Ganti YOUR_PROJECT_ID dengan project ID Anda.

    Jika Anda memiliki project Google Cloud lain, dan ingin menggunakan gcloud untuk mengelolanya, lihat Mengelola konfigurasi CLI gcloud.

  11. Instal kubectl:
    gcloud components install kubectl
  12. Dapatkan kredensial pengguna baru untuk digunakan sebagai kredensial default aplikasi. Kredensial pengguna diperlukan untuk memberikan otorisasi kubectl.
    gcloud auth application-default login
    Di tab browser baru yang terbuka, pilih akun.
  13. Ikuti langkah-langkah di panduan memulai gRPC Python untuk menginstal alat gRPC dan gRPC.

Mengonfigurasi Endpoint

Contoh bookstore-grpc berisi file yang perlu Anda salin secara lokal dan konfigurasi.

  1. Buat file deskriptor protobuf mandiri dari file .proto layanan Anda:
    1. Simpan salinan bookstore.proto dari repositori contoh. File ini menentukan API layanan Bookstore.
    2. Buat direktori berikut: mkdir generated_pb2
    3. Buat file deskripsi, api_descriptor.pb, menggunakan compiler buffering protokol protoc. Jalankan perintah berikut di direktori tempat Anda menyimpan bookstore.proto:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto

      Dalam perintah sebelumnya, --proto_path ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori berbeda untuk file input .proto, ubah --proto_path agar compiler menelusuri direktori tempat Anda menyimpan bookstore.proto.

  2. Buat file YAML konfigurasi gRPC API:
    1. Simpan salinan file api_config.yaml. File ini menentukan konfigurasi gRPC API untuk layanan Bookstore.
    2. Ganti MY_PROJECT_ID di file api_config.yaml dengan project ID Google Cloud Anda. Contoh:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Perlu diketahui bahwa nilai kolom apis.name dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file .proto; jika tidak, deployment tidak akan berfungsi. Layanan Bookstore ditentukan di bookstore.proto di dalam paket endpoints.examples.bookstore. Nama API yang sepenuhnya memenuhi syarat adalah endpoints.examples.bookstore.Bookstore, sama seperti yang muncul dalam file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore

Lihat Mengonfigurasi Endpoint untuk informasi selengkapnya.

Men-deploy konfigurasi Endpoint

Untuk men-deploy konfigurasi Endpoint, gunakan perintah gcloud endpoints services deploy. Perintah ini menggunakan Pengelolaan Layanan untuk membuat layanan terkelola.

  1. Pastikan Anda berada di direktori tempat file api_descriptor.pb dan api_config.yaml berada.
  2. Pastikan project default yang digunakan alat command line gcloud saat ini adalah project Google Cloud tempat Anda ingin men-deploy konfigurasi Endpoint. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan bahwa layanan tidak dibuat dalam project yang salah.
    gcloud config list project
    

    Jika Anda perlu mengubah project default, jalankan perintah berikut:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Deploy file proto descriptor dan file konfigurasi menggunakan Google Cloud CLI:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    Saat membuat dan mengonfigurasi layanan, Pengelolaan Layanan menghasilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan yang berikut ini akan ditampilkan:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID adalah ID konfigurasi layanan Endpoint unik yang dibuat oleh deployment. Contoh:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    Pada contoh sebelumnya, 2017-02-13r0 adalah ID konfigurasi layanan dan bookstore.endpoints.example-project.cloud.goog adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoint lagi pada hari yang sama, nomor revisinya akan bertambah di ID konfigurasi layanan.

Memeriksa layanan yang diperlukan

Setidaknya, Endpoint dan ESP mewajibkan pengaktifan layanan Google berikut:
Nama Judul
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API
endpoints.googleapis.com Endpoint Google Cloud

Dalam sebagian besar kasus, perintah gcloud endpoints services deploy akan mengaktifkan layanan yang diperlukan ini. Namun, perintah gcloud berhasil diselesaikan, tetapi tidak mengaktifkan layanan yang diperlukan dalam keadaan berikut:

  • Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.

  • Anda telah men-deploy konfigurasi Endpoint ke project Google Cloud yang ada, tempat layanan ini dinonaktifkan secara eksplisit.

Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan telah diaktifkan:

gcloud services list

Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Aktifkan juga layanan Endpoint Anda:

gcloud services enable ENDPOINTS_SERVICE_NAME

Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:

  • Setelah men-deploy konfigurasi Endpoint, buka halaman Endpoint di Konsol Cloud. Daftar kemungkinan ENDPOINTS_SERVICE_NAME ditampilkan di bawah kolom Nama layanan.

  • Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan dalam kolom host pada spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan di kolom name pada konfigurasi Endpoint gRPC Anda.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud, lihat layanan gcloud.

Jika Anda mendapatkan pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoint.

Lihat Men-deploy konfigurasi Endpoint untuk mengetahui informasi tambahan.

Men-deploy backend API

Sejauh ini Anda telah men-deploy konfigurasi layanan ke Pengelolaan Layanan, tetapi belum men-deploy kode yang menayangkan backend API. Bagian ini akan menuntun Anda dalam membuat cluster GKE untuk menghosting backend API dan men-deploy API.

Membuat cluster container

Cluster ini memerlukan alias IP untuk menggunakan load balancing berbasis container. Untuk membuat cluster container dengan alias IP untuk contoh kita:

gcloud container clusters create espv2-demo-cluster \
    --enable-ip-alias \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Perintah di atas membuat cluster, espv2-demo-cluster, dengan subnetwork yang disediakan secara otomatis di zona us-central1-a.

Mengautentikasi kubectl ke cluster container

Agar dapat menggunakan kubectl untuk membuat dan mengelola resource cluster, Anda perlu mendapatkan kredensial cluster dan menyediakannya untuk kubectl. Untuk melakukannya, jalankan perintah berikut, dengan mengganti NAME dengan nama cluster baru dan ZONE dengan zona clusternya.

gcloud container clusters get-credentials NAME --zone ZONE

Memeriksa izin yang diperlukan

ESP dan ESPv2 memanggil layanan Google yang menggunakan IAM untuk memverifikasi apakah identitas panggilan memiliki izin yang cukup untuk mengakses resource IAM yang digunakan. Identitas panggilan adalah akun layanan terlampir yang men-deploy ESP dan ESPv2.

Saat di-deploy di pod GKE, akun layanan yang terpasang adalah akun layanan node. Biasanya ini adalah akun layanan default Compute Engine. Ikuti rekomendasi izin ini untuk memilih akun layanan node yang tepat.

Jika Workload Identity digunakan, akun layanan yang terpisah selain akun layanan node dapat digunakan untuk berkomunikasi dengan layanan Google. Anda dapat membuat akun layanan Kubernetes untuk pod guna menjalankan ESP dan ESPv2, membuat akun layanan Google, dan mengaitkan akun layanan Kubernetes dengan akun layanan Google.

Ikuti langkah-langkah ini untuk mengaitkan akun layanan Kubernetes dengan akun layanan Google. Akun layanan Google ini adalah akun layanan yang disertakan.

Jika akun layanan yang terpasang adalah akun layanan default Compute Engine project dan konfigurasi layanan endpoint di-deploy dalam project yang sama, akun layanan harus memiliki izin yang cukup untuk mengakses resource IAM, sehingga langkah penyiapan peran IAM dapat dilewati. Jika tidak, peran IAM berikut harus ditambahkan ke akun layanan yang disertakan.

Tambahkan peran IAM yang diperlukan:

Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2, serta peran IAM yang diperlukan untuk akun layanan yang disertakan untuk mengakses resource ini.

Konfigurasi Layanan Endpoint

ESP dan ESPv2 memanggil Service Control yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM, dan ESP dan ESPv2 memerlukan peran Pengontrol Layanan untuk mengaksesnya.

Peran IAM ada pada konfigurasi layanan endpoint, bukan pada project. Sebuah project mungkin memiliki beberapa konfigurasi layanan endpoint.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang untuk konfigurasi layanan endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dengan
* SERVICE_NAME adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang disertakan.

Cloud Trace

ESP dan ESPv2 memanggil layanan Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project pelacakan. Di ESP, project pelacakan dan project yang memiliki konfigurasi layanan endpoint sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id, dan ditetapkan secara default ke project deployment.

ESP dan ESPv2 memerlukan peran Agen Cloud Trace untuk mengaktifkan Cloud Trace.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dengan
* TRACING_PROJECT_ID adalah ID project pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang disertakan. Untuk mengetahui informasi selengkapnya, lihat Apa yang dimaksud dengan peran dan izin?

Mengonfigurasi kunci dan sertifikat SSL

Load balancing native container menggunakan HTTP2 LB yang harus dienkripsi TLS. Hal ini memerlukan deployment sertifikat TLS ke GKE ingress dan ESPv2. Anda dapat membawa sertifikat Anda sendiri atau menggunakan sertifikat yang ditandatangani sendiri.

  1. Buat sertifikat dan kunci yang ditandatangani sendiri menggunakan openssl. Pastikan Anda memasukkan FQDN bookstore.endpoints.MY_PROJECT_ID.cloud.goog yang sama saat diminta memasukkan "Common Name(CN)". Nama ini digunakan oleh klien untuk memverifikasi sertifikat server.

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout ./server.key -out ./server.crt
  2. Membuat rahasia Kubernetes dengan kunci dan sertifikat SSL Anda. Perhatikan bahwa sertifikat disalin ke dua tempat, server.crt dan tls.crt, karena rahasia tersebut diberikan ke ingress GKE dan ESPv2. Ingress GKE mencari jalur sertifikat tls.crt dan ESPv2 mencari jalur sertifikat server.crt.

    kubectl create secret generic esp-ssl \
    --from-file=server.crt=./server.crt --from-file=server.key=./server.key \
    --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key

Men-deploy contoh API dan ESPv2 ke cluster

Untuk men-deploy contoh layanan gRPC ke cluster sehingga klien dapat menggunakannya:

  1. git clone repo ini, lalu buka untuk mengedit file manifes deployment grpc-bookstore.yaml.
  2. Ganti SERVICE_NAME dengan nama layanan Endpoint untuk ingress dan container ESPv2. Nama ini sama dengan nama yang Anda konfigurasikan di kolom name dalam file api_config.yaml.
    # Copyright 2016 Google Inc.
    #
    # Licensed under the Apache License, Version 2.0 (the "License");
    # you may not use this file except in compliance with the License.
    # You may obtain a copy of the License at
    #
    #     http://www.apache.org/licenses/LICENSE-2.0
    #
    # Unless required by applicable law or agreed to in writing, software
    # distributed under the License is distributed on an "AS IS" BASIS,
    # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
    # See the License for the specific language governing permissions and
    # limitations under the License
    
    # Use this file to deploy the container for the grpc-bookstore sample
    # and the container for the Extensible Service Proxy (ESP) to
    # Google Kubernetes Engine (GKE).
    
    apiVersion: networking.k8s.io/v1beta1
    kind: Ingress
    metadata:
      name: esp-grpc-bookstore
      annotations:
        kubernetes.io/ingress.class: "gce"
        kubernetes.io/ingress.allow-http: "false"
    spec:
      tls:
      - hosts:
        - SERVICE_NAME
        secretName: esp-ssl
      backend:
        serviceName: esp-grpc-bookstore
        servicePort: 443
    ---
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: esp-grpc-bookstore
    spec:
      healthCheck:
        type: HTTP2
        requestPath: /healthz
        port: 9000
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: esp-grpc-bookstore
      annotations:
        service.alpha.kubernetes.io/app-protocols: '{"esp-grpc-bookstore":"HTTP2"}'
        cloud.google.com/neg: '{"ingress": true, "exposed_ports": {"443":{}}}'
        cloud.google.com/backend-config: '{"default": "esp-grpc-bookstore"}'
    spec:
      ports:
      # Port that accepts gRPC and JSON/HTTP2 requests over TLS.
      - port: 443
        targetPort: 9000
        protocol: TCP
        name: esp-grpc-bookstore
      selector:
        app: esp-grpc-bookstore
      type: ClusterIP
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: esp-grpc-bookstore
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: esp-grpc-bookstore
      template:
        metadata:
          labels:
            app: esp-grpc-bookstore
        spec:
          volumes:
          - name: esp-ssl
            secret:
              secretName: esp-ssl
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=SERVICE_NAME",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000",
              "--healthz=/healthz",
              "--ssl_server_cert_path=/etc/esp/ssl",
            ]
            ports:
              - containerPort: 9000
            volumeMounts:
            - mountPath: /etc/esp/ssl
              name:  esp-ssl
              readOnly: true
          - name: bookstore
            image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
            ports:
              - containerPort: 8000
    

    Opsi --rollout_strategy=managed mengonfigurasi ESPv2 untuk menggunakan konfigurasi layanan terbaru yang di-deploy. Saat Anda menentukan opsi ini, dalam waktu satu menit setelah Anda men-deploy konfigurasi layanan baru, ESPv2 akan mendeteksi perubahan tersebut dan mulai menggunakannya secara otomatis. Sebaiknya tentukan opsi ini, bukan memberikan ID konfigurasi khusus untuk digunakan ESPv2. Untuk detail selengkapnya tentang argumen ESPv2, lihat Opsi startup ESPv2.

    Contoh:

        spec:
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=bookstore.endpoints.example-project-12345.cloud.goog",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000"
            ]
  3. Mulai layanan:
    kubectl create -f grpc-bookstore.yaml
    

Jika Anda mendapatkan pesan error, lihat Memecahkan Masalah Endpoint di GKE.

Mendapatkan alamat IP eksternal layanan

Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke API contoh. Perlu waktu beberapa menit setelah Anda memulai layanan di container sebelum alamat IP eksternal siap.

  1. Lihat alamat IP eksternal:

    kubectl get ingress

  2. Catat nilai untuk EXTERNAL-IP dan simpan dalam variabel lingkungan SERVER_IP. Alamat IP eksternal digunakan untuk mengirim permintaan ke API contoh.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Mengirim permintaan ke API

Untuk mengirim permintaan ke API contoh, Anda dapat menggunakan klien gRPC contoh yang ditulis dalam Python.

  1. Clone repo git tempat kode klien gRPC dihosting:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Ubah direktori kerja Anda:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Instal dependensi:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt

  4. Membuat root CA untuk sertifikat yang ditandatangani sendiri

    openssl x509 -in server.crt -out client.pem -outform PEM
      

  5. Kirim permintaan ke API contoh:

    python bookstore_client.py --host SERVER_IP --port 443 \
    --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
    

Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.

Anda baru saja men-deploy dan menguji API di Endpoint.

Pembersihan

Agar tidak dikenakan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource-nya.

  1. Hapus API:

    gcloud endpoints services delete SERVICE_NAME
    

    Ganti SERVICE_NAME dengan nama API Anda.

  2. Hapus cluster GKE:

    gcloud container clusters delete NAME --zone ZONE
    

Langkah selanjutnya