Iniziare a utilizzare Endpoints per GKE con ESPv2


Questo tutorial mostra come eseguire il deployment di un semplice esempio di gRPC con il Extensible Service Proxy V2 (ESPv2) su Google Kubernetes Engine (GKE). Questo tutorial utilizza la versione Python bookstore-grpc campione. Consulta la sezione Passaggi successivi per gli esempi gRPC in altri linguaggi.

Il tutorial utilizza immagini container precompilate del codice di esempio e di ESPv2, archiviate in Artifact Registry. Se che non hanno familiarità con i container, consulta quanto segue per saperne di più:

Per una panoramica di Cloud Endpoints, consulta Informazioni su Endpoints e Architettura di Endpoints.

Obiettivi

Durante il tutorial, utilizza il seguente elenco di attività di alto livello. Tutti per inviare correttamente le richieste all'API.

  1. Configura un progetto Google Cloud e scarica il software richiesto. Consulta: Prima di iniziare.
  2. Copia e configura file dal bookstore-grpc campione. Consulta Configurare Endpoints.
  3. Esegui il deployment della configurazione di Endpoints per creare Servizio Endpoints. Consulta Eseguire il deployment della configurazione di Endpoints.
  4. Crea un backend per pubblicare l'API e esegui il deployment dell'API. Consulta Esegui il deployment del backend dell'API.
  5. Recupera l'indirizzo IP esterno del servizio. Consulta: Recuperare l'indirizzo IP esterno del servizio.
  6. Invia una richiesta all'API. Consulta: Invio di una richiesta all'API.
  7. Evita che al tuo account Google Cloud vengano addebitati costi. Consulta Pulizia.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Prendi nota dell'ID progetto Google Cloud perché sarà necessario in seguito.
  7. Installa e inizializza Google Cloud CLI.
  8. Aggiorna l'interfaccia a riga di comando gcloud e installa i componenti di Endpoints.
    gcloud components update
  9. Assicurati che Google Cloud CLI (gcloud) sia autorizzato ad accedere i tuoi dati e servizi su Google Cloud:
    gcloud auth login
    Si apre una nuova scheda del browser e ti viene chiesto di scegliere un account.
  10. Imposta il progetto predefinito sul tuo ID progetto.
    gcloud config set project YOUR_PROJECT_ID

    Sostituisci YOUR_PROJECT_ID con l'ID progetto.

    Se hai altri progetti Google Cloud e vuoi utilizzare gcloud per gestirle, consulta Gestione gcloud CLI di comando gcloud.

  11. Installa kubectl:
    gcloud components install kubectl
  12. Acquisisci nuove credenziali utente da utilizzare come credenziali predefinite dell'applicazione. Le credenziali utente sono necessarie per autorizzare kubectl.
    gcloud auth application-default login
    Scegli un account nella nuova scheda del browser che si apre.
  13. Segui la procedura descritta in Guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.

Configurazione di Endpoints

L'esempio bookstore-grpc contiene i file che devi copiare e configurare localmente.

  1. Crea un file descrittore protobuf autonomo dal file .proto del servizio:
    1. Salva una copia di bookstore.proto dal repository di esempio. Questo file definisce l'API del servizio Bookstore.
    2. Crea la seguente directory: mkdir generated_pb2
    3. Crea il file descrittore api_descriptor.pb utilizzando il compilatore di buffer di protocollo protoc. Esegui questo comando nella directory in cui hai salvato bookstore.proto:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto

      Nel comando precedente, --proto_path è impostato sul valore attuale nella directory di lavoro. Nel tuo ambiente di build gRPC, se utilizzi un'interfaccia directory per .proto file di input, modifica --proto_path in modo che il compilatore cerca nella directory in cui hai salvato bookstore.proto.

  2. Crea un file YAML di configurazione dell'API gRPC:
    1. Salva una copia del api_config.yamlfile. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore.
    2. Sostituisci MY_PROJECT_ID nel file api_config.yaml con l'ID progetto Google Cloud. Ad esempio:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Tieni presente che il valore del campo apis.name in questo file corrisponde esattamente al nome completo dell'API nel file .proto. In caso contrario, il deployment non funzionerà. Il servizio Bookstore è definito in bookstore.proto all'interno del pacchetto endpoints.examples.bookstore. Il nome completo dell'API è endpoints.examples.bookstore.Bookstore, proprio come appare nel file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore

Consulta Configurazione di Endpoints per ulteriori informazioni.

esegui il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione di Endpoints, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Gestione del servizio per creare un servizio gestito.

  1. Make sure you are in the directory where the api_descriptor.pb and api_config.yaml files are located.
  2. Confirm that the default project that the gcloud command-line tool is currently using is the Google Cloud project that you want to deploy the Endpoints configuration to. Validate the project ID returned from the following command to make sure that the service doesn't get created in the wrong project.
    gcloud config list project
    

    If you need to change the default project, run the following command:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Deploy the proto descriptor file and the configuration file by using the Google Cloud CLI:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    As it is creating and configuring the service, Service Management outputs information to the terminal. When the deployment completes, a message similar to the following is displayed:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID is the unique Endpoints service configuration ID created by the deployment. For example:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    In the previous example, 2017-02-13r0 is the service configuration ID and bookstore.endpoints.example-project.cloud.goog is the service name. The service configuration ID consists of a date stamp followed by a revision number. If you deploy the Endpoints configuration again on the same day, the revision number is incremented in the service configuration ID.

Controllo dei servizi richiesti in corso...

Come minimo, Endpoints ed ESP richiedono seguenti servizi Google da attivare:
Nome Titolo
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control
endpoints.googleapis.com Google Cloud Endpoints

Nella maggior parte dei casi, il comando gcloud endpoints services deploy attiva questi servizi obbligatori. Tuttavia, il comando gcloud viene completato correttamente, ma non attiva i servizi richiesti nelle seguenti circostanze:

  • Se hai utilizzato un'applicazione di terze parti, come Terraform, includono questi servizi.

  • Hai eseguito il deployment della configurazione di Endpoints in una Progetto Google Cloud in cui questi servizi sono stati espressamente disabilitati.

Utilizza il seguente comando per verificare che i servizi richiesti siano abilitati:

gcloud services list

Se non vedi i servizi richiesti nell'elenco, attivali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Abilita anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare il ENDPOINTS_SERVICE_NAME puoi:

  • Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoints nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è riportato nella colonna Nome servizio.

  • Per OpenAPI, ENDPOINTS_SERVICE_NAME è il valore specificato nel campo host della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è il valore specificato nel campo name della configurazione degli endpoint gRPC.

Per ulteriori informazioni sui comandi gcloud, consulta gcloud servizi.

Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di deployment della configurazione di Endpoints.

Consulta: Deployment della configurazione di Endpoints per ulteriori informazioni.

esegui il deployment del backend dell'API

Fino a questo punto, hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice soggiacente al backend dell'API. Questa sezione ti guiderà nella creazione di Cluster GKE per ospitare il backend dell'API e il deployment dell'API.

Creazione di un cluster di container

Il cluster richiede un alias IP per utilizza il bilanciamento del carico nativo del container. Per creare un cluster di container con un alias IP per il nostro esempio:

gcloud container clusters create espv2-demo-cluster \
    --enable-ip-alias \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Il comando riportato sopra crea un cluster, espv2-demo-cluster, con una subnet con provisioning automatico nella zona us-central1-a.

Autenticazione di kubectl nel cluster di container in corso...

Per utilizzare kubectl per creare e gestire le risorse del cluster, devi recuperare le credenziali del cluster e renderle disponibili per kubectl. Per farlo, esegui il seguente comando sostituendo NAME con il nome del nuovo cluster e ZONE con la relativa zona.

gcloud container clusters get-credentials NAME --zone ZONE

Controllo delle autorizzazioni richieste

ESP ed ESPv2 chiama i servizi Google che utilizzano IAM per: verifica che l'identità chiamante disponga di autorizzazioni sufficienti per accedere all'IAM utilizzato Google Cloud. L'identità chiamante è l'account di servizio associato che esegue il deployment di ESP e ESPv2.

Quando viene eseguito il deployment in un pod GKE, l'account di servizio associato è l'account di servizio del nodo. Di solito si tratta dell'account di servizio predefinito di Compute Engine. Segui questo consiglio sulle autorizzazioni per scegliere un account di servizio del nodo appropriato.

Se viene utilizzato Workload Identity, è possibile utilizzare un account di servizio distinto dall'account di servizio del nodo per comunicare con i servizi Google. Puoi creare un Account di servizio Kubernetes per il pod per l'esecuzione di ESP ESPv2, creare un account di servizio Google e associare il cluster Kubernetes di servizio all'account di servizio Google.

Segui questi passaggi per associare un account di servizio Kubernetes a un account di servizio Google. Questo account di servizio Google è l'account di servizio associato.

Se l'account di servizio collegato è Computing Account di servizio predefinito del motore del progetto e del servizio endpoint di configurazione del deployment nello stesso progetto, l'account di servizio deve disporre di autorizzazioni sufficienti per accedere alle risorse IAM, seguendo la configurazione dei ruoli IAM è possibile saltare questo passaggio. In caso contrario, devi aggiungere i seguenti ruoli IAM con un account di servizio collegato.

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti per l'account di servizio collegato per accedere a queste risorse.

Configurazione del servizio endpoint

ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM, mentre ESP ed ESPv2 necessitano Controller di servizi per accedervi.

Il ruolo IAM si trova nella configurazione del servizio endpoint, non nel progetto. Un progetto può avere più configurazioni di servizi endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio associato per la configurazione del servizio endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio associato.

Cloud Trace

ESP ed ESPv2 chiamano il servizio Cloud Trace per esportare la traccia in un progetto. Questo progetto è chiamato tracciamento progetto. In ESP, il progetto di tracciamento e il progetto proprietario la configurazione del servizio endpoint è la stessa. In ESPv2, il progetto di monitoraggio può essere specificato tramite il flag --tracing_project_id e per impostazione predefinita corrisponde al progetto di implementazione.

ESP ed ESPv2 richiedono l'agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo al servizio collegato :

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID progetto di monitoraggio
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio associato. Per ulteriori informazioni, consulta Che cosa sono i ruoli e le autorizzazioni?

Configurazione delle chiavi e dei certificati SSL

Il bilanciamento del carico nativo dei contenitori utilizza il bilanciatore del carico HTTP2, che deve essere criptato con TLS. Per eseguire questa operazione era necessario al traffico GKE in entrata e a ESPv2. Puoi utilizzare il codice o utilizzare un certificato autofirmato.

  1. Crea un certificato autofirmato e una chiave utilizzando openssl. Assicurati di aver inserito lo stesso FQDN bookstore.endpoints.MY_PROJECT_ID.cloud.goog quando ti viene chiesto il "nome comune (CN)". Questo nome viene utilizzato dai client per verificare il certificato del server.

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout ./server.key -out ./server.crt
  2. Crea un secret Kubernetes con la chiave SSL e il certificato. Tieni presente che viene copiato in due posizioni, server.crt e tls.crt, come secret viene fornito sia a GKE Ingress che a ESPv2. GKE Ingress cerca il percorso del certificato tls.crt ed ESPv2 cerca il percorso del certificato server.crt.

    kubectl create secret generic esp-ssl \
    --from-file=server.crt=./server.crt --from-file=server.key=./server.key \
    --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key

Eseguire il deployment dell'API di esempio e di ESPv2 nel cluster

Per eseguire il deployment del servizio gRPC di esempio nel cluster in modo che i client possano utilizzarlo:

  1. git clone questo repo e apri per modificare il file manifest del deployment grpc-bookstore.yaml.
  2. Sostituisci SERVICE_NAME con il nome del tuo Servizio Endpoints per il traffico in entrata e il container ESPv2. Si tratta dello stesso nome che hai configurato nel campo name nel file api_config.yaml.
    # Copyright 2016 Google Inc.
    #
    # Licensed under the Apache License, Version 2.0 (the "License");
    # you may not use this file except in compliance with the License.
    # You may obtain a copy of the License at
    #
    #     http://www.apache.org/licenses/LICENSE-2.0
    #
    # Unless required by applicable law or agreed to in writing, software
    # distributed under the License is distributed on an "AS IS" BASIS,
    # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
    # See the License for the specific language governing permissions and
    # limitations under the License
    
    # Use this file to deploy the container for the grpc-bookstore sample
    # and the container for the Extensible Service Proxy (ESP) to
    # Google Kubernetes Engine (GKE).
    
    apiVersion: networking.k8s.io/v1beta1
    kind: Ingress
    metadata:
      name: esp-grpc-bookstore
      annotations:
        kubernetes.io/ingress.class: "gce"
        kubernetes.io/ingress.allow-http: "false"
    spec:
      tls:
      - hosts:
        - SERVICE_NAME
        secretName: esp-ssl
      backend:
        serviceName: esp-grpc-bookstore
        servicePort: 443
    ---
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: esp-grpc-bookstore
    spec:
      healthCheck:
        type: HTTP2
        requestPath: /healthz
        port: 9000
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: esp-grpc-bookstore
      annotations:
        service.alpha.kubernetes.io/app-protocols: '{"esp-grpc-bookstore":"HTTP2"}'
        cloud.google.com/neg: '{"ingress": true, "exposed_ports": {"443":{}}}'
        cloud.google.com/backend-config: '{"default": "esp-grpc-bookstore"}'
    spec:
      ports:
      # Port that accepts gRPC and JSON/HTTP2 requests over TLS.
      - port: 443
        targetPort: 9000
        protocol: TCP
        name: esp-grpc-bookstore
      selector:
        app: esp-grpc-bookstore
      type: ClusterIP
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: esp-grpc-bookstore
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: esp-grpc-bookstore
      template:
        metadata:
          labels:
            app: esp-grpc-bookstore
        spec:
          volumes:
          - name: esp-ssl
            secret:
              secretName: esp-ssl
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=SERVICE_NAME",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000",
              "--healthz=/healthz",
              "--ssl_server_cert_path=/etc/esp/ssl",
            ]
            ports:
              - containerPort: 9000
            volumeMounts:
            - mountPath: /etc/esp/ssl
              name:  esp-ssl
              readOnly: true
          - name: bookstore
            image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
            ports:
              - containerPort: 8000
    

    L'opzione --rollout_strategy=managed configura ESPv2 in modo da utilizzare la configurazione del servizio di cui è stato eseguito il deployment più recente. Quando specificare questa opzione, entro un minuto dopo il deployment di un nuovo servizio configurazione, ESPv2 rileva la modifica e inizia automaticamente a utilizzarla. Ti consigliamo di specificare questa opzione anziché fornire un ID configurazione specifico da utilizzare per ESPv2. Per ulteriori dettagli sugli argomenti ESPv2, consulta Opzioni di avvio di ESPv2.

    Ad esempio:

        spec:
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=bookstore.endpoints.example-project-12345.cloud.goog",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000"
            ]
  3. Avvia il servizio:
    kubectl create -f grpc-bookstore.yaml
    

Se viene visualizzato un messaggio di errore, consulta Risoluzione dei problemi relativi agli endpoint in GKE.

Ottenere l'indirizzo IP esterno del servizio

Devi avere l'indirizzo IP esterno del servizio per inviare richieste all'API di esempio. Potrebbero essere necessari alcuni minuti dopo l'avvio del servizio nel contenitore prima che l'indirizzo IP esterno sia pronto.

  1. Visualizza l'indirizzo IP esterno:

    kubectl get ingress

  2. Prendi nota del valore per EXTERNAL-IP e salvalo in un SERVER_IP variabile di ambiente. L'indirizzo IP esterno viene utilizzato per inviare richieste all'API di esempio.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Invio di una richiesta all'API

Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.

  1. Clona il repository git in cui è ospitato il codice client gRPC:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Cambia la directory di lavoro:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Installa le dipendenze:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt

  4. Crea una CA radice per il certificato autofirmato

    openssl x509 -in server.crt -out client.pem -outform PEM
      

  5. Invia una richiesta all'API di esempio:

    python bookstore_client.py --host SERVER_IP --port 443 \
    --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
    
    • Osserva i grafici delle attività dell'API nella Endpoint > Servizi.

      Vai alla pagina Servizi endpoint

      Potrebbero essere necessari alcuni minuti prima che la richiesta venga riportata nei grafici.

    • Esamina i log delle richieste per la tua API nella pagina Esplora log.

      Vai alla pagina Esplora log

Se non ricevi una risposta positiva, consulta Risoluzione degli errori di risposta.

Hai eseguito il deployment e il test di un'API in Endpoints.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. Elimina l'API:

    gcloud endpoints services delete SERVICE_NAME
    

    Sostituisci SERVICE_NAME con il nome della tua API.

  2. Elimina il cluster GKE:

    gcloud container clusters delete NAME --zone ZONE
    

Passaggi successivi