Mulai menggunakan Endpoint untuk GKE dengan ESPv2


Tutorial ini menunjukkan cara men-deploy contoh layanan gRPC sederhana dengan Extensible Service Proxy V2 (ESPv2) di Google Kubernetes Engine (GKE). Tutorial ini menggunakan contoh bookstore-grpc versi Python. Lihat bagian Langkah berikutnya untuk mengetahui contoh gRPC dalam bahasa lain.

Tutorial ini menggunakan image container bawaan dari kode contoh dan ESPv2, yang disimpan di Artifact Registry. Jika Anda tidak familiar dengan penampung, lihat informasi selengkapnya di sini:

Untuk ringkasan Cloud Endpoints, lihat Tentang Endpoints dan Arsitektur Endpoints.

Tujuan

Gunakan daftar tugas tingkat tinggi berikut saat Anda mengerjakan tutorial ini. Semua tugas diperlukan agar berhasil mengirim permintaan ke API.

  1. Siapkan project Google Cloud, dan download software yang diperlukan. Lihat Sebelum memulai.
  2. Salin dan konfigurasikan file dari contoh bookstore-grpc. Lihat Mengonfigurasi Endpoint.
  3. Deploy konfigurasi Endpoint untuk membuat layanan Endpoint. Lihat Men-deploy konfigurasi Endpoint.
  4. Buat backend untuk menayangkan API dan men-deploy API. Lihat Men-deploy backend API.
  5. Dapatkan alamat IP eksternal layanan. Lihat Mendapatkan alamat IP eksternal layanan.
  6. Kirim permintaan ke API. Lihat Mengirim permintaan ke API.
  7. Hindari tagihan pada akun Google Cloud Anda. Lihat Pembersihan.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Catat project ID Google Cloud karena Anda akan memerlukannya nanti.
  7. Instal dan lakukan inisialisasi Google Cloud CLI.
  8. Update gcloud CLI dan instal komponen Endpoints.
    gcloud components update
  9. Pastikan Google Cloud CLI (gcloud) diberi otorisasi untuk mengakses data dan layanan Anda di Google Cloud:
    gcloud auth login
    Tab browser baru akan terbuka dan Anda akan diminta untuk memilih akun.
  10. Tetapkan project default ke project ID Anda.
    gcloud config set project YOUR_PROJECT_ID

    Ganti YOUR_PROJECT_ID dengan project ID Anda.

    Jika Anda memiliki project Google Cloud lain, dan ingin menggunakan gcloud untuk mengelolanya, lihat Mengelola konfigurasi gcloud CLI.

  11. Instal kubectl:
    gcloud components install kubectl
  12. Dapatkan kredensial pengguna baru untuk digunakan sebagai kredensial default aplikasi. Kredensial pengguna diperlukan untuk memberikan otorisasi kubectl.
    gcloud auth application-default login
    Di tab browser baru yang terbuka, pilih akun.
  13. Ikuti langkah-langkah di panduan memulai gRPC Python untuk menginstal gRPC dan alat gRPC.

Mengonfigurasi Endpoint

Contoh bookstore-grpc berisi file yang perlu Anda salin secara lokal dan konfigurasikan.

  1. Buat file deskriptor protobuf mandiri dari file .proto layanan Anda:
    1. Simpan salinan bookstore.proto dari repositori contoh. File ini menentukan API layanan Bookstore.
    2. Buat direktori berikut: mkdir generated_pb2
    3. Buat file deskripsi, api_descriptor.pb, menggunakan compiler buffering protokol protoc. Jalankan perintah berikut di direktori tempat Anda menyimpan bookstore.proto:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto
      

      Dalam perintah sebelumnya, --proto_path ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori berbeda untuk file input .proto, ubah --proto_path agar compiler menelusuri direktori tempat Anda menyimpan bookstore.proto.

  2. Buat file YAML konfigurasi gRPC API:
    1. Simpan salinan file api_config.yaml. File ini menentukan konfigurasi gRPC API untuk layanan Bookstore.
    2. Ganti MY_PROJECT_ID di file api_config.yaml dengan project ID Google Cloud Anda. Contoh:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Perlu diketahui bahwa nilai kolom apis.name dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file .proto; jika tidak, deployment tidak akan berfungsi. Layanan Bookstore ditentukan di bookstore.proto di dalam paket endpoints.examples.bookstore. Nama API yang sepenuhnya memenuhi syarat adalah endpoints.examples.bookstore.Bookstore, sama seperti yang muncul dalam file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore
      

Lihat Mengonfigurasi Endpoint untuk informasi selengkapnya.

Men-deploy konfigurasi Endpoint

Untuk men-deploy konfigurasi Endpoint, Anda menggunakan perintah gcloud endpoints services deploy. Perintah ini menggunakan Pengelolaan Layanan untuk membuat layanan terkelola.

  1. Pastikan Anda berada di direktori tempat file api_descriptor.pb dan api_config.yaml berada.
  2. Pastikan project default yang digunakan alat command line gcloud saat ini adalah project Google Cloud tempat Anda ingin men-deploy konfigurasi Endpoint. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan bahwa layanan tidak dibuat dalam project yang salah.
    gcloud config list project
    

    Jika Anda perlu mengubah project default, jalankan perintah berikut:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Deploy file proto descriptor dan file konfigurasi menggunakan Google Cloud CLI:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    Saat membuat dan mengonfigurasi layanan, Pengelolaan Layanan menghasilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan yang berikut ini akan ditampilkan:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID adalah ID konfigurasi layanan Endpoint unik yang dibuat oleh deployment. Contoh:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    Pada contoh sebelumnya, 2017-02-13r0 adalah ID konfigurasi layanan dan bookstore.endpoints.example-project.cloud.goog adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoint lagi pada hari yang sama, nomor revisinya akan bertambah di ID konfigurasi layanan.

Memeriksa layanan yang diperlukan

Setidaknya, Endpoint dan ESP mewajibkan layanan Google berikut diaktifkan:
Nama Judul
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API

Dalam sebagian besar kasus, perintah gcloud endpoints services deploy mengaktifkan layanan yang diperlukan ini. Namun, perintah gcloud berhasil diselesaikan, tetapi tidak mengaktifkan layanan yang diperlukan dalam situasi berikut:

  • Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.

  • Anda men-deploy konfigurasi Endpoints ke project Google Cloud yang ada, tempat layanan ini dinonaktifkan secara eksplisit.

Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan telah diaktifkan:

gcloud services list

Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Aktifkan juga layanan Endpoints Anda:

gcloud services enable ENDPOINTS_SERVICE_NAME

Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:

  • Setelah men-deploy konfigurasi Endpoints, buka halaman Endpoints di Konsol Cloud. Daftar kemungkinan ENDPOINTS_SERVICE_NAME ditampilkan di kolom Nama layanan.

  • Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom host pada spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom name pada konfigurasi Endpoint gRPC.

Untuk informasi selengkapnya tentang perintah gcloud, lihat layanan gcloud.

Jika Anda menerima pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoints.

Lihat Men-deploy konfigurasi Endpoint untuk informasi tambahan.

Men-deploy backend API

Sejauh ini, Anda telah men-deploy konfigurasi layanan ke Pengelolaan Layanan, tetapi belum men-deploy kode yang menayangkan backend API. Bagian ini akan memandu Anda membuat cluster GKE untuk menghosting backend API dan men-deploy API.

Membuat cluster container

Cluster memerlukan IP alias untuk menggunakan load balancing native container. Untuk membuat cluster container dengan alias IP untuk contoh kita:

gcloud container clusters create espv2-demo-cluster \
    --enable-ip-alias \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Perintah di atas akan membuat cluster, espv2-demo-cluster, dengan subnetwork yang disediakan otomatis di zona us-central1-a.

Mengautentikasi kubectl ke cluster penampung

Untuk menggunakan kubectl guna membuat dan mengelola resource cluster, Anda harus mendapatkan kredensial cluster dan menyediakannya untuk kubectl. Untuk melakukannya, jalankan perintah berikut, dengan mengganti NAME dengan nama cluster baru dan ZONE dengan zona clusternya.

gcloud container clusters get-credentials NAME --zone ZONE

Memeriksa izin yang diperlukan

ESP dan ESPv2 memanggil layanan Google yang menggunakan IAM untuk memverifikasi apakah identitas panggilan memiliki izin yang cukup untuk mengakses resource IAM yang digunakan. Identitas panggilan adalah akun layanan terlampir yang men-deploy ESP dan ESPv2.

Saat di-deploy di pod GKE, akun layanan terlampir adalah akun layanan node. Biasanya, akun layanan default Compute Engine. Ikuti rekomendasi izin ini untuk memilih akun layanan node yang sesuai.

Jika Workload Identity digunakan, akun layanan terpisah selain akun layanan node dapat digunakan untuk berkomunikasi dengan layanan Google. Anda dapat membuat akun layanan Kubernetes untuk pod agar dapat menjalankan ESP dan ESPv2, membuat akun layanan Google, dan mengaitkan akun layanan Kubernetes ke akun layanan Google.

Ikuti langkah-langkah berikut untuk mengaitkan akun layanan Kubernetes dengan akun layanan Google. Akun layanan Google ini adalah akun layanan terlampir.

Jika akun layanan yang dilampirkan adalah akun layanan default Compute Engine dari project dan konfigurasi layanan endpoint di-deploy di project yang sama, akun layanan harus memiliki izin yang cukup untuk mengakses resource IAM, sehingga langkah penyiapan peran IAM dapat dilewati. Jika tidak, peran IAM berikut harus ditambahkan ke akun layanan yang dilampirkan.

Tambahkan peran IAM yang diperlukan:

Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2 serta peran IAM yang diperlukan agar akun layanan yang terpasang dapat mengakses resource ini.

Konfigurasi Layanan Endpoint

ESP dan ESPv2 memanggil Kontrol Layanan yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM dan ESP serta ESPv2 memerlukan peran Service Controller untuk mengaksesnya.

Peran IAM ada di konfigurasi layanan endpoint, bukan di project. Project dapat memiliki beberapa konfigurasi layanan endpoint.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terlampir untuk konfigurasi layanan endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID. \
  --role roles/servicemanagement.serviceController

Dengan
* SERVICE_NAME adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID. adalah akun layanan terlampir.

Cloud Trace

ESP dan ESPv2 memanggil layanan Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project pelacakan. Di ESP, project pelacakan dan project yang memiliki konfigurasi layanan endpoint adalah sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id, dan ditetapkan secara default ke project deployment.

ESP dan ESPv2 memerlukan peran Cloud Trace Agent untuk mengaktifkan Cloud Trace.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terlampir:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID. \
  --role roles/cloudtrace.agent

Dengan
* TRACING_PROJECT_ID adalah project ID pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID. adalah akun layanan yang terpasang. Untuk mengetahui informasi selengkapnya, lihat Apa yang dimaksud dengan peran dan izin?

Mengonfigurasi kunci dan sertifikat SSL

Load balancing native container menggunakan LB HTTP2 yang harus dienkripsi TLS. Hal ini memerlukan deployment sertifikat TLS ke ingress GKE dan ESPv2. Anda dapat membawa sertifikat sendiri atau menggunakan sertifikat yang ditandatangani sendiri.

  1. Buat sertifikat dan kunci yang ditandatangani sendiri menggunakan openssl. Pastikan Anda memasukkan FQDN bookstore.endpoints.MY_PROJECT_ID.cloud.goog yang sama saat diminta untuk memasukkan "Common Name(CN)". Nama ini digunakan oleh klien untuk memverifikasi sertifikat server.

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout ./server.key -out ./server.crt
  2. Buat secret Kubernetes dengan kunci dan sertifikat SSL Anda. Perhatikan bahwa sertifikat disalin ke dua tempat, server.crt dan tls.crt, karena secret disediakan ke ingress GKE dan ESPv2. Ingress GKE mencari jalur sertifikat tls.crt dan ESPv2 mencari jalur sertifikat server.crt.

    kubectl create secret generic esp-ssl \
    --from-file=server.crt=./server.crt --from-file=server.key=./server.key \
    --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key

Men-deploy API dan ESPv2 contoh ke cluster

Untuk men-deploy contoh layanan gRPC ke cluster agar klien dapat menggunakannya:

  1. git clone repo ini dan buka untuk mengedit file manifes deployment grpc-bookstore.yaml.
  2. Ganti SERVICE_NAME dengan nama layanan Endpoints untuk penampung ingress dan ESPv2. Ini adalah nama yang sama dengan yang Anda konfigurasikan di kolom name dalam file api_config.yaml.
    # Copyright 2016 Google Inc.
    #
    # Licensed under the Apache License, Version 2.0 (the "License");
    # you may not use this file except in compliance with the License.
    # You may obtain a copy of the License at
    #
    #     http://www.apache.org/licenses/LICENSE-2.0
    #
    # Unless required by applicable law or agreed to in writing, software
    # distributed under the License is distributed on an "AS IS" BASIS,
    # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
    # See the License for the specific language governing permissions and
    # limitations under the License
    
    # Use this file to deploy the container for the grpc-bookstore sample
    # and the container for the Extensible Service Proxy (ESP) to
    # Google Kubernetes Engine (GKE).
    
    apiVersion: networking.k8s.io/v1beta1
    kind: Ingress
    metadata:
      name: esp-grpc-bookstore
      annotations:
        kubernetes.io/ingress.class: "gce"
        kubernetes.io/ingress.allow-http: "false"
    spec:
      tls:
      - hosts:
        - SERVICE_NAME
        secretName: esp-ssl
      backend:
        serviceName: esp-grpc-bookstore
        servicePort: 443
    ---
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: esp-grpc-bookstore
    spec:
      healthCheck:
        type: HTTP2
        requestPath: /healthz
        port: 9000
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: esp-grpc-bookstore
      annotations:
        service.alpha.kubernetes.io/app-protocols: '{"esp-grpc-bookstore":"HTTP2"}'
        cloud.google.com/neg: '{"ingress": true, "exposed_ports": {"443":{}}}'
        cloud.google.com/backend-config: '{"default": "esp-grpc-bookstore"}'
    spec:
      ports:
      # Port that accepts gRPC and JSON/HTTP2 requests over TLS.
      - port: 443
        targetPort: 9000
        protocol: TCP
        name: esp-grpc-bookstore
      selector:
        app: esp-grpc-bookstore
      type: ClusterIP
    ---
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: esp-grpc-bookstore
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: esp-grpc-bookstore
      template:
        metadata:
          labels:
            app: esp-grpc-bookstore
        spec:
          volumes:
          - name: esp-ssl
            secret:
              secretName: esp-ssl
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=SERVICE_NAME",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000",
              "--healthz=/healthz",
              "--ssl_server_cert_path=/etc/esp/ssl",
            ]
            ports:
              - containerPort: 9000
            volumeMounts:
            - mountPath: /etc/esp/ssl
              name:  esp-ssl
              readOnly: true
          - name: bookstore
            image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
            ports:
              - containerPort: 8000
    

    Opsi --rollout_strategy=managed mengonfigurasi ESPv2 untuk menggunakan konfigurasi layanan yang di-deploy terbaru. Saat Anda menentukan opsi ini, dalam satu menit setelah Anda men-deploy konfigurasi layanan baru, ESPv2 akan mendeteksi perubahan dan otomatis mulai menggunakannya. Sebaiknya tentukan opsi ini, bukan memberikan ID konfigurasi tertentu untuk digunakan ESPv2. Untuk mengetahui detail selengkapnya tentang argumen ESPv2, lihat Opsi startup ESPv2.

    Contoh:

        spec:
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=bookstore.endpoints.example-project-12345.cloud.goog",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000"
            ]
  3. Mulai layanan:
    kubectl create -f grpc-bookstore.yaml
    

Jika Anda menerima pesan error, lihat Memecahkan Masalah Endpoint di GKE.

Mendapatkan alamat IP eksternal layanan

Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke API contoh. Mungkin perlu waktu beberapa menit setelah Anda memulai layanan di penampung sebelum alamat IP eksternal siap.

  1. Lihat alamat IP eksternal:

    kubectl get ingress

  2. Catat nilai untuk EXTERNAL-IP dan simpan dalam variabel lingkungan SERVER_IP. Alamat IP eksternal digunakan untuk mengirim permintaan ke API contoh.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Mengirim permintaan ke API

Untuk mengirim permintaan ke API contoh, Anda dapat menggunakan klien gRPC contoh yang ditulis dalam Python.

  1. Clone repo git tempat kode klien gRPC dihosting:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Ubah direktori kerja Anda:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Instal dependensi:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt
    

  4. Membuat root CA untuk sertifikat yang ditandatangani sendiri

    openssl x509 -in server.crt -out client.pem -outform PEM
      

  5. Kirim permintaan ke API contoh:

    python bookstore_client.py --host SERVER_IP --port 443 \
    --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
    

Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.

Anda baru saja men-deploy dan menguji API di Endpoint.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

  1. Hapus API:

    gcloud endpoints services delete SERVICE_NAME
    

    Ganti SERVICE_NAME dengan nama API Anda.

  2. Hapus cluster GKE:

    gcloud container clusters delete NAME --zone ZONE
    

Langkah selanjutnya