Tutorial ini menunjukkan cara men-deploy contoh layanan gRPC sederhana dengan Extensible Service Proxy V2 (ESPv2) di Google Kubernetes Engine (GKE). Tutorial ini
menggunakan contoh
bookstore-grpc
versi Python. Lihat bagian
Langkah berikutnya untuk contoh gRPC dalam
bahasa lain.
Tutorial ini menggunakan image container yang telah dibuat sebelumnya dari kode contoh dan ESPv2, yang disimpan di Container Registry. Jika belum memahami container, lihat artikel berikut untuk mengetahui informasi selengkapnya:
Untuk ringkasan Cloud Endpoints, lihat Tentang Endpoint dan arsitektur Endpoint.
Tujuan
Gunakan daftar tugas tingkat tinggi berikut saat Anda mengerjakan tutorial. Semua tugas diperlukan agar berhasil mengirim permintaan ke API.
- Siapkan project Google Cloud, dan download software yang diperlukan. Lihat Sebelum memulai.
- Salin dan konfigurasi file dari
contoh
bookstore-grpc
. Lihat Mengonfigurasi Endpoint. - Deploy konfigurasi Endpoint untuk membuat layanan Endpoint. Lihat Men-deploy konfigurasi Endpoint.
- Membuat backend untuk menyalurkan API dan men-deploy API. Lihat Men-deploy backend API.
- Dapatkan alamat IP eksternal layanan. Lihat Mendapatkan alamat IP eksternal layanan.
- Mengirim permintaan ke API. Lihat Mengirim permintaan ke API.
- Menghindari timbulnya tagihan ke akun Google Cloud Anda. Lihat Pembersihan.
Biaya
Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.
- Catat ID project Google Cloud karena akan diperlukan nanti.
- Instal dan lakukan inisialisasi Google Cloud CLI.
- Update gcloud CLI dan instal komponen Endpoint.
gcloud components update
- Pastikan Google Cloud CLI (
gcloud
) diberi otorisasi untuk mengakses data dan layanan Anda di Google Cloud:gcloud auth login
Tab browser baru akan terbuka dan Anda akan diminta untuk memilih akun. - Tetapkan project default ke project ID Anda.
gcloud config set project YOUR_PROJECT_ID
Ganti YOUR_PROJECT_ID dengan project ID Anda.
Jika Anda memiliki project Google Cloud lain, dan ingin menggunakan
gcloud
untuk mengelolanya, lihat Mengelola konfigurasi CLI gcloud. - Instal
kubectl
:gcloud components install kubectl
- Dapatkan kredensial pengguna baru untuk digunakan sebagai kredensial default aplikasi. Kredensial pengguna diperlukan untuk memberikan otorisasi
kubectl
.gcloud auth application-default login
Di tab browser baru yang terbuka, pilih akun. - Ikuti langkah-langkah di panduan memulai gRPC Python untuk menginstal alat gRPC dan gRPC.
Mengonfigurasi Endpoint
Contoh bookstore-grpc
berisi file yang perlu Anda salin secara lokal dan konfigurasi.
- Buat file deskriptor protobuf mandiri dari file
.proto
layanan Anda:- Simpan salinan
bookstore.proto
dari repositori contoh. File ini menentukan API layanan Bookstore. - Buat direktori berikut:
mkdir generated_pb2
- Buat file deskripsi,
api_descriptor.pb
, menggunakan compiler buffering protokolprotoc
. Jalankan perintah berikut di direktori tempat Anda menyimpanbookstore.proto
:python -m grpc_tools.protoc \ --include_imports \ --include_source_info \ --proto_path=. \ --descriptor_set_out=api_descriptor.pb \ --python_out=generated_pb2 \ --grpc_python_out=generated_pb2 \ bookstore.proto
Dalam perintah sebelumnya,
--proto_path
ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori berbeda untuk file input.proto
, ubah--proto_path
agar compiler menelusuri direktori tempat Anda menyimpanbookstore.proto
.
- Simpan salinan
- Buat file YAML konfigurasi gRPC API:
- Simpan salinan
file
api_config.yaml
. File ini menentukan konfigurasi gRPC API untuk layanan Bookstore. - Ganti MY_PROJECT_ID di file
api_config.yaml
dengan project ID Google Cloud Anda. Contoh:# # Name of the service configuration. # name: bookstore.endpoints.example-project-12345.cloud.goog
Perlu diketahui bahwa nilai kolom
apis.name
dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file.proto
; jika tidak, deployment tidak akan berfungsi. Layanan Bookstore ditentukan dibookstore.proto
di dalam paketendpoints.examples.bookstore
. Nama API yang sepenuhnya memenuhi syarat adalahendpoints.examples.bookstore.Bookstore
, sama seperti yang muncul dalam fileapi_config.yaml
.apis: - name: endpoints.examples.bookstore.Bookstore
- Simpan salinan
file
Lihat Mengonfigurasi Endpoint untuk informasi selengkapnya.
Men-deploy konfigurasi Endpoint
Untuk men-deploy konfigurasi Endpoint, gunakan
perintah
gcloud endpoints services deploy
. Perintah ini menggunakan Pengelolaan Layanan untuk membuat layanan terkelola.
- Pastikan Anda berada di direktori tempat file
api_descriptor.pb
danapi_config.yaml
berada. - Pastikan project default yang digunakan alat command line
gcloud
saat ini adalah project Google Cloud tempat Anda ingin men-deploy konfigurasi Endpoint. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan bahwa layanan tidak dibuat dalam project yang salah.gcloud config list project
Jika Anda perlu mengubah project default, jalankan perintah berikut:
gcloud config set project YOUR_PROJECT_ID
- Deploy file
proto descriptor
dan file konfigurasi menggunakan Google Cloud CLI:gcloud endpoints services deploy api_descriptor.pb api_config.yaml
Saat membuat dan mengonfigurasi layanan, Pengelolaan Layanan menghasilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan yang berikut ini akan ditampilkan:
Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
CONFIG_ID adalah ID konfigurasi layanan Endpoint unik yang dibuat oleh deployment. Contoh:
Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
Pada contoh sebelumnya,
2017-02-13r0
adalah ID konfigurasi layanan danbookstore.endpoints.example-project.cloud.goog
adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoint lagi pada hari yang sama, nomor revisinya akan bertambah di ID konfigurasi layanan.
Memeriksa layanan yang diperlukan
Setidaknya, Endpoint dan ESP mewajibkan pengaktifan layanan Google berikut:Nama | Judul |
---|---|
servicemanagement.googleapis.com |
Service Management API |
servicecontrol.googleapis.com |
Service Control API |
endpoints.googleapis.com |
Endpoint Google Cloud |
Dalam sebagian besar kasus, perintah gcloud endpoints services deploy
akan mengaktifkan
layanan yang diperlukan ini. Namun, perintah gcloud
berhasil diselesaikan, tetapi
tidak mengaktifkan layanan yang diperlukan dalam keadaan berikut:
Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.
Anda telah men-deploy konfigurasi Endpoint ke project Google Cloud yang ada, tempat layanan ini dinonaktifkan secara eksplisit.
Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan telah diaktifkan:
gcloud services list
Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:
gcloud services enable servicemanagement.googleapis.comgcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com
Aktifkan juga layanan Endpoint Anda:
gcloud services enable ENDPOINTS_SERVICE_NAME
Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:
Setelah men-deploy konfigurasi Endpoint, buka halaman Endpoint di Konsol Cloud. Daftar kemungkinan ENDPOINTS_SERVICE_NAME ditampilkan di bawah kolom Nama layanan.
Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan dalam kolom
host
pada spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan di kolomname
pada konfigurasi Endpoint gRPC Anda.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud
, lihat
layanan gcloud
.
Jika Anda mendapatkan pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoint.
Lihat Men-deploy konfigurasi Endpoint untuk mengetahui informasi tambahan.
Men-deploy backend API
Sejauh ini Anda telah men-deploy konfigurasi layanan ke Pengelolaan Layanan, tetapi belum men-deploy kode yang menayangkan backend API. Bagian ini akan menuntun Anda dalam membuat cluster GKE untuk menghosting backend API dan men-deploy API.
Membuat cluster container
Cluster ini memerlukan alias IP untuk menggunakan load balancing berbasis container. Untuk membuat cluster container dengan alias IP untuk contoh kita:
gcloud container clusters create espv2-demo-cluster \ --enable-ip-alias \ --create-subnetwork="" \ --network=default \ --zone=us-central1-a
Perintah di atas membuat cluster, espv2-demo-cluster
, dengan
subnetwork yang disediakan secara otomatis di zona us-central1-a
.
Mengautentikasi kubectl
ke cluster container
Agar dapat menggunakan kubectl
untuk membuat dan mengelola resource cluster, Anda perlu mendapatkan kredensial cluster dan menyediakannya untuk kubectl
. Untuk melakukannya, jalankan
perintah berikut, dengan mengganti NAME dengan nama cluster baru
dan ZONE dengan zona clusternya.
gcloud container clusters get-credentials NAME --zone ZONE
Memeriksa izin yang diperlukan
ESP dan ESPv2 memanggil layanan Google yang menggunakan IAM untuk memverifikasi apakah identitas panggilan memiliki izin yang cukup untuk mengakses resource IAM yang digunakan. Identitas panggilan adalah akun layanan terlampir yang men-deploy ESP dan ESPv2.
Saat di-deploy di pod GKE, akun layanan yang terpasang adalah akun layanan node. Biasanya ini adalah akun layanan default Compute Engine. Ikuti rekomendasi izin ini untuk memilih akun layanan node yang tepat.
Jika Workload Identity digunakan, akun layanan yang terpisah selain akun layanan node dapat digunakan untuk berkomunikasi dengan layanan Google. Anda dapat membuat akun layanan Kubernetes untuk pod guna menjalankan ESP dan ESPv2, membuat akun layanan Google, dan mengaitkan akun layanan Kubernetes dengan akun layanan Google.
Ikuti langkah-langkah ini untuk mengaitkan akun layanan Kubernetes dengan akun layanan Google. Akun layanan Google ini adalah akun layanan yang disertakan.
Jika akun layanan yang terpasang adalah akun layanan default Compute Engine project dan konfigurasi layanan endpoint di-deploy dalam project yang sama, akun layanan harus memiliki izin yang cukup untuk mengakses resource IAM, sehingga langkah penyiapan peran IAM dapat dilewati. Jika tidak, peran IAM berikut harus ditambahkan ke akun layanan yang disertakan.
Tambahkan peran IAM yang diperlukan:
Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2, serta peran IAM yang diperlukan untuk akun layanan yang disertakan untuk mengakses resource ini.
Konfigurasi Layanan Endpoint
ESP dan ESPv2 memanggil Service Control yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM, dan ESP dan ESPv2 memerlukan peran Pengontrol Layanan untuk mengaksesnya.
Peran IAM ada pada konfigurasi layanan endpoint, bukan pada project. Sebuah project mungkin memiliki beberapa konfigurasi layanan endpoint.
Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang untuk konfigurasi layanan endpoint.
gcloud endpoints services add-iam-policy-binding SERVICE_NAME \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/servicemanagement.serviceController
Dengan
* SERVICE_NAME
adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
adalah akun layanan yang disertakan.
Cloud Trace
ESP dan ESPv2 memanggil layanan
Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project
pelacakan. Di ESP, project pelacakan dan project yang memiliki
konfigurasi layanan endpoint sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id
, dan ditetapkan secara default ke project deployment.
ESP dan ESPv2 memerlukan peran Agen Cloud Trace untuk mengaktifkan Cloud Trace.
Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang:
gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudtrace.agent
Dengan
* TRACING_PROJECT_ID adalah ID project pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
adalah akun layanan yang disertakan.
Untuk mengetahui informasi selengkapnya, lihat
Apa yang dimaksud dengan peran dan izin?
Mengonfigurasi kunci dan sertifikat SSL
Load balancing native container menggunakan HTTP2 LB yang harus dienkripsi TLS. Hal ini memerlukan deployment sertifikat TLS ke GKE ingress dan ESPv2. Anda dapat membawa sertifikat Anda sendiri atau menggunakan sertifikat yang ditandatangani sendiri.
Buat sertifikat dan kunci yang ditandatangani sendiri menggunakan openssl. Pastikan Anda memasukkan FQDN
bookstore.endpoints.MY_PROJECT_ID.cloud.goog
yang sama saat diminta memasukkan "Common Name(CN)". Nama ini digunakan oleh klien untuk memverifikasi sertifikat server.openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout ./server.key -out ./server.crt
Membuat rahasia Kubernetes dengan kunci dan sertifikat SSL Anda. Perhatikan bahwa sertifikat disalin ke dua tempat,
server.crt
dantls.crt
, karena rahasia tersebut diberikan ke ingress GKE dan ESPv2. Ingress GKE mencari jalur sertifikattls.crt
dan ESPv2 mencari jalur sertifikatserver.crt
.kubectl create secret generic esp-ssl \ --from-file=server.crt=./server.crt --from-file=server.key=./server.key \ --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key
Men-deploy contoh API dan ESPv2 ke cluster
Untuk men-deploy contoh layanan gRPC ke cluster sehingga klien dapat menggunakannya:
git clone
repo ini, lalu buka untuk mengedit file manifes deployment grpc-bookstore.yaml.- Ganti SERVICE_NAME dengan nama layanan Endpoint untuk ingress dan container ESPv2.
Nama ini sama dengan nama yang Anda konfigurasikan di kolom
name
dalam fileapi_config.yaml
.Opsi
--rollout_strategy=managed
mengonfigurasi ESPv2 untuk menggunakan konfigurasi layanan terbaru yang di-deploy. Saat Anda menentukan opsi ini, dalam waktu satu menit setelah Anda men-deploy konfigurasi layanan baru, ESPv2 akan mendeteksi perubahan tersebut dan mulai menggunakannya secara otomatis. Sebaiknya tentukan opsi ini, bukan memberikan ID konfigurasi khusus untuk digunakan ESPv2. Untuk detail selengkapnya tentang argumen ESPv2, lihat Opsi startup ESPv2.Contoh:
spec: containers: - name: esp image: gcr.io/endpoints-release/endpoints-runtime:2 args: [ "--listener_port=9000", "--service=bookstore.endpoints.example-project-12345.cloud.goog", "--rollout_strategy=managed", "--backend=grpc://127.0.0.1:8000" ]
- Mulai layanan:
kubectl create -f grpc-bookstore.yaml
Jika Anda mendapatkan pesan error, lihat Memecahkan Masalah Endpoint di GKE.
Mendapatkan alamat IP eksternal layanan
Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke API contoh. Perlu waktu beberapa menit setelah Anda memulai layanan di container sebelum alamat IP eksternal siap.
Lihat alamat IP eksternal:
kubectl get ingress
Catat nilai untuk
EXTERNAL-IP
dan simpan dalam variabel lingkungan SERVER_IP. Alamat IP eksternal digunakan untuk mengirim permintaan ke API contoh.export SERVER_IP=YOUR_EXTERNAL_IP
Mengirim permintaan ke API
Untuk mengirim permintaan ke API contoh, Anda dapat menggunakan klien gRPC contoh yang ditulis dalam Python.
Clone repo git tempat kode klien gRPC dihosting:
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Ubah direktori kerja Anda:
cd python-docs-samples/endpoints/bookstore-grpc/
Instal dependensi:
pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt
Membuat root CA untuk sertifikat yang ditandatangani sendiri
openssl x509 -in server.crt -out client.pem -outform PEM
Kirim permintaan ke API contoh:
python bookstore_client.py --host SERVER_IP --port 443 \ --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
Lihat grafik aktivitas untuk API Anda di halaman Endpoint > Layanan.
Mungkin perlu waktu beberapa saat agar permintaan terlihat dalam grafik.
Lihat log permintaan untuk API Anda di halaman Logs Explorer.
Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.
Anda baru saja men-deploy dan menguji API di Endpoint.
Pembersihan
Agar tidak dikenakan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource-nya.
Hapus API:
gcloud endpoints services delete SERVICE_NAME
Ganti SERVICE_NAME dengan nama API Anda.
Hapus cluster GKE:
gcloud container clusters delete NAME --zone ZONE