Erste Schritte mit Endpoints für GKE mit ESPv2

In dieser Anleitung erfahren Sie, wie Sie ein einfaches Beispiel bereitstellen. gRPC Extensible Service Proxy V2 Beta (ESPv2 Beta) an Google Kubernetes Engine GKE. Dafür wird hier die Python-Version des Beispiels bookstore-grpc verwendet. gRPC-Beispiele in anderen Sprachen finden Sie unter Weitere Informationen.

In der Anleitung werden vorkonfigurierte Container-Images des Beispielcodes und von ESPv2 Beta verwendet, die in Container Registry gespeichert sind. Wenn Sie nicht mit Containern vertraut sind, finden Sie im Folgenden weitere Informationen:

Eine Übersicht über Cloud Endpoints finden Sie in den Abschnitten Über Cloud Endpoints und Architekturübersicht zu Cloud Endpoints.

Ziele

Orientieren Sie sich beim Durcharbeiten der Anleitung an der folgenden Aufgabenliste. Alle Aufgaben sind erforderlich, um Anfragen sicher an die API senden zu können.

  1. Ein Google Cloud-Projekt einrichten und die erforderliche Software herunterladen. Siehe Vorbereitung.
  2. Dateien aus dem Beispiel bookstore-grpc kopieren und konfigurieren. Siehe Endpoints konfigurieren.
  3. Die Endpoints-Konfiguration bereitstellen, um einen Endpoints-Dienst zu erstellen: Siehe Endpoints-Konfiguration bereitstellen.
  4. Ein Back-End für die API erstellen und die API bereitstellen. Siehe API-Back-End bereitstellen.
  5. Die externe IP-Adresse des Diensts abrufen. Siehe Externe IP-Adresse des Diensts abrufen.
  6. Senden Sie eine Anfrage an die API. Siehe Anfrage an die API senden.
  7. Vermeiden Sie Gebühren, die Ihrem Google Cloud-Konto in Rechnung gestellt werden. Siehe Bereinigen.

Kosten

In dieser Anleitung werden die folgenden kostenpflichtigen Komponenten von Google Cloud verwendet:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Nach Abschluss dieser Anleitung können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.

Hinweise

  1. Melden Sie sich bei Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

  2. Wählen Sie in der Cloud Console auf der Seite für die Projektauswahl ein Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Notieren Sie sich die Google Cloud-Projekt-ID, da sie später benötigt wird.
  5. Installieren und initialisieren Sie das Cloud SDK.
  6. Aktualisieren Sie das Cloud SDK und installieren Sie die Endpoints-Komponenten.
    gcloud components update
  7. Das Cloud SDK (gcloud) muss berechtigt sein, auf Ihre Daten und Dienste auf Google Cloud zuzugreifen:
    gcloud auth login
    Ein neuer Browsertab wird geöffnet und Sie werden aufgefordert, ein Konto auszuwählen.
  8. Legen Sie für das Standardprojekt Ihre Projekt-ID fest:
    gcloud config set project YOUR_PROJECT_ID

    Ersetzen Sie YOUR_PROJECT_ID durch Ihre Projekt-ID.

    Wenn Sie weitere Google Cloud-Projekte mit gcloud verwalten möchten, lesen Sie Cloud SDK-Konfigurationen verwalten.

  9. Installieren Sie kubectl:
    gcloud components install kubectl
  10. Rufen Sie neue Nutzeranmeldedaten ab, die als Standardanmeldedaten für die Anwendung verwendet werden sollen. Die Nutzeranmeldedaten werden zur Autorisierung von kubectl benötigt.
    gcloud auth application-default login
    Ein neuer Browsertab wird geöffnet. Wählen Sie dort ein Konto aus.
  11. Installieren Sie gRPC und die gRPC-Tools. Informationen dazu finden Sie in der Kurzanleitung für gRPC in Python.

Endpoints konfigurieren

Das Beispiel bookstore-grpc enthält die Dateien, die Sie lokal kopieren und konfigurieren müssen.

  1. Erstellen Sie aus der Datei .proto Ihres Dienstes eine abgeschlossene protobuf-Deskriptordatei:
    1. Speichern Sie eine Kopie von bookstore.proto aus dem Beispiel-Repository. Diese Datei definiert die API für den Bookstore-Dienst.
    2. Erstellen Sie das folgende Verzeichnis: mkdir generated_pb2
    3. Erstellen Sie die Deskriptordatei api_descriptor.pb mit dem Protokollpuffercompiler protoc. Führen Sie den folgenden Befehl in dem Verzeichnis aus, in dem Sie bookstore.proto gespeichert haben:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto
      

      Im vorherigen Befehl ist --proto_path auf das aktuelle Arbeitsverzeichnis festgelegt. Wenn Sie in Ihrer gRPC-Build-Umgebung ein anderes Verzeichnis für .proto-Eingabedateien verwenden, ändern Sie --proto_path entsprechend, sodass der Compiler das Verzeichnis mit der gespeicherten bookstore.proto-Datei durchsucht.

  2. Erstellen Sie eine gRPC API-Konfigurationsdatei in YAML:
    1. Speichern Sie eine Kopie der Datei api_config.yaml. Diese Datei definiert die gRPC API-Konfiguration für den Bookstore-Dienst.
    2. Ersetzen Sie MY_PROJECT_ID in Ihrer Datei api_config.yaml durch Ihre Google Cloud-Projekt-ID. Beispiel:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Beachten Sie, dass der Wert des Feldes apis.name in dieser Datei exakt mit dem vollständig qualifizierten API-Namen aus der Datei .proto übereinstimmt. Andernfalls würde die Bereitstellung nicht funktionieren. Der Bookstore-Dienst ist in bookstore.proto im Paket endpoints.examples.bookstore definiert. Der vollständig qualifizierte API-Name lautet endpoints.examples.bookstore.Bookstore, genau wie er in der Datei api_config.yaml angezeigt wird.

      apis:
        - name: endpoints.examples.bookstore.Bookstore
      

Weitere Informationen finden Sie unter Cloud Endpoints konfigurieren.

Endpoints-Konfiguration bereitstellen

Die Endpoints-Konfiguration wird mit dem Befehl gcloud endpoints services deploy bereitgestellt. Dieser Befehl erstellt mithilfe von Service Management einen verwalteten Dienst.

  1. Sie müssen sich in dem Verzeichnis befinden, in dem die Dateien api_descriptor.pb und api_config.yaml liegen.
  2. Vergewissern Sie sich, dass das aktuell vom gcloud-Befehlszeilentool verwendete Standardprojekt das Google Cloud-Projekt ist, für das Sie die Endpoints-Konfiguration bereitstellen möchten. Überprüfen Sie anhand der vom folgenden Befehl zurückgegebenen Projekt-ID, ob der Dienst im richtigen Projekt erstellt wird.
    gcloud config list project
    

    Wenn Sie das Standardprojekt ändern müssen, führen Sie den folgenden Befehl aus:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Stellen Sie die Datei proto descriptor und die Konfigurationsdatei mithilfe des Befehlszeilentools gcloud bereit:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    Beim Erstellen und Konfigurieren des Diensts gibt Service Management Informationen an das Terminal aus. Nach Abschluss der Bereitstellung erhalten Sie eine Meldung, die in etwa so aussieht:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID ist die eindeutige Endpoints-Dienstkonfigurations-ID, die von der Bereitstellung erstellt wird. Beispiel:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    Im obigen Beispiel ist 2017-02-13r0 die Dienstkonfigurations-ID und bookstore.endpoints.example-project.cloud.goog der Dienstname. Die Dienstkonfigurations-ID besteht aus einem Datumsstempel und einer Überarbeitungsnummer. Wenn Sie die Endpoints-Konfiguration am selben Tag noch einmal bereitstellen, erhöht sich die Überarbeitungsnummer in der Dienstkonfigurations-ID.

Erforderliche Dienste prüfen

Für Endpoints und ESP müssen mindestens die folgenden Google-Dienste aktiviert sein:
Name Titel
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API
endpoints.googleapis.com Google Cloud Endpoints

In der Regel werden die erforderlichen Dienste mit dem Befehl gcloud endpoints services deploy aktiviert. Unter folgenden Umständen kann es vorkommen, dass der Befehl gcloud erfolgreich ausgeführt wird, die erforderlichen Dienste jedoch nicht aktiviert werden:

  • Wenn Sie eine Drittanbieteranwendung wie Terraform verwendet haben und Sie diese Dienste nicht hinzufügen.

  • Wenn Sie die Endpoints-Konfiguration für ein vorhandenes Google Cloud-Projekt bereitgestellt haben, in dem diese Dienste explizit deaktiviert wurden.

Prüfen Sie mit dem folgenden Befehl, ob die erforderlichen Dienste aktiviert sind:

gcloud services list

Wenn die erforderlichen Dienste nicht aufgeführt sind, müssen Sie sie aktivieren:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Aktivieren Sie auch Ihren Endpoints-Dienst:

gcloud services enable ENDPOINTS_SERVICE_NAME

Zum Ermitteln des ENDPOINTS_SERVICE_NAME haben Sie folgende Möglichkeiten:

  • Rufen Sie nach der Bereitstellung der Endpoints-Konfiguration die Seite Endpoints in der Cloud Console auf. Die Liste der möglichen ENDPOINTS_SERVICE_NAME wird in der Spalte Dienstname angezeigt.

  • Bei OpenAPI ist ENDPOINTS_SERVICE_NAME der Wert, den Sie im Feld host Ihrer OpenAPI-Spezifikation angegeben haben. Bei gRPC ist der ENDPOINTS_SERVICE_NAME das, was Sie im Feld name Ihrer gRPC-Endpoints-Konfiguration angegeben haben.

Weitere Informationen zu den gcloud-Befehlen finden Sie unter gcloud-Dienste.

Wenn Sie eine Fehlermeldung erhalten, lesen Sie Fehlerbehebung bei der Cloud Endpoints-Konfigurationsbereitstellung.

Weitere Informationen finden Sie unter Endpoints-Konfiguration bereitstellen.

API-Back-End bereitstellen

Bisher haben Sie die API-Konfiguration für Service Management, aber noch nicht den Code für das API-Back-End bereitgestellt. In diesem Abschnitt werden die Schritte zum Erstellen eines GKE-Clusters beschrieben, mit dem das API-Back-End gehostet und die API bereitgestellt wird.

Containercluster erstellen

So erstellen Sie einen Containercluster für das Beispiel:

  1. Rufen Sie in der Google Cloud Console die Seite mit den Kubernetes-Clustern auf.

    Zur Seite "Kubernetes-Cluster"

  2. Klicken Sie auf Cluster erstellen.
  3. Übernehmen Sie die Standardeinstellungen und klicken Sie auf Erstellen. Notieren Sie sich den Namen und die Zone des Clusters, da Sie diese später in dieser Anleitung benötigen.

kubectl beim Container-Cluster authentifizieren

Wenn Sie Clusterressourcen mit kubectl erstellen und verwalten möchten, müssen Sie Clusteranmeldedaten anfordern und in kubectl angeben. Dazu führen Sie folgenden Befehl aus und ersetzen NAME durch den neuen Clusternamen und ZONE durch dessen Clusterzone.

gcloud container clusters get-credentials NAME --zone ZONE

Erforderliche Berechtigungen prüfen

Folgen Sie dieser Empfehlung, um ein geeignetes Knotendienstkonto als Identität für die Kommunikation mit Google-Diensten auszuwählen. ESP und ESPv2 Beta müssen mit Google ServiceController und Stackdriver kommunizieren. Für das Knotendienstkonto, das ESP und ESPv2 Beta ausführt, sind zusätzliche IAM-Rollen erforderlich.

Wenn das Knotendienstkonto nicht das Compute Engine-Standarddienstkonto ist, fügen Sie die erforderlichen IAM-Rollen im nächsten Schritt hinzu:

Fügen Sie die erforderlichen IAM-Rollen hinzu:

Die folgenden IAM-Rollen sind für das Dienstkonto erforderlich, das für den ESP und ESPv2 Beta verwendet wird.

So fügen Sie dem Dienstkonto die IAM-Rollen "Dienstüberwacher" und "Cloud Trace-Agent" hinzu:

Console

  1. Wählen Sie in der Cloud Console das Projekt aus, in dem das Dienstkonto erstellt wurde.
  2. Seite IAM/Iam öffnen

    Zur Seite "IAM/Iam"

    Auf der Seite sollten alle IAM-Mitglieder einschließlich aller Dienstkonten aufgelistet sein.
  3. Wählen Sie das Dienstkonto aus und klicken Sie rechts auf Bearbeiten.
  4. Das Fenster Berechtigungen bearbeiten wird geöffnet.
  5. Klicken Sie auf + Weitere Rolle hinzufügen.
  6. Klicken Sie auf Rolle auswählen und wählen Sie Dienstverwaltung > Dienstüberwacher aus.
  7. Klicken Sie auf + Weitere Rolle hinzufügen.
  8. Klicken Sie auf Rolle auswählen und wählen Sie Cloud Trace > Cloud Trace-Agent aus.
  9. Klicken Sie auf Speichern.
  10. Nun sollten Sie die Rollen Dienstüberwacher und Cloud Trace-Agent in der Spalte Rolle Ihres Dienstkontos auf der IAM-Seite sehen.

gcloud

  1. Fügen Sie die Rolle "Dienstüberwacher" hinzu:

    gcloud projects add-iam-policy-binding PROJECT_ID \
            --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
            --role roles/servicemanagement.serviceController
  2. Fügen Sie die Rolle "Cloud Trace Agent" hinzu, um Cloud Trace zu aktivieren:

    gcloud projects add-iam-policy-binding PROJECT_ID \
            --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
            --role roles/cloudtrace.agent

Weitere Informationen finden Sie unter Was sind Rollen und Berechtigungen?

Workload Identity:

Wenn Workload Identity verwendet wird, kann ein anderes Dienstkonto als das Knotendienstkonto verwendet werden, um mit Google-Diensten zu kommunizieren. Sie können ein Kubernetes-Dienstkonto für den Pod erstellen, um ESP und ESPv2 Beta auszuführen, ein Google-Dienstkonto zu erstellen und das Kubernetes-Dienstkonto mit dem Google-Dienstkonto zu verknüpfen.

Folgen Sie dieser Anleitung, um ein Kubernetes-Dienstkonto mit einem Google-Dienstkonto zu verknüpfen.

Das Google-Dienstkonto sollte über die erforderlichen IAM-Rollen verfügen. Wenn nicht, führen Sie den Schritt Erforderliche IAM-Rollen hinzufügen aus, um sie hinzuzufügen.

Beispiel-API und ESPv2 Beta im Cluster bereitstellen

So stellen Sie den gRPC-Beispieldienst im Cluster bereit, damit Clients ihn verwenden können:

  1. git clone dieses Repository und öffnen Sie die Manifestdatei des Deployments grpc-bookstore.yaml, um sie zu bearbeiten.
  2. Ersetzen Sie SERVICE_NAME durch den Namen Ihres Endpoints-Diensts. Dies ist der Name, den Sie in der Datei api_config.yaml im Feld name konfiguriert haben.
    spec:
      containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:2
        args: [
          "--listener_port=9000",
          "--service=SERVICE_NAME",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000"
        ]
        ports:
          - containerPort: 9000
      - name: bookstore
        image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
        ports:
          - containerPort: 8000

    Die Option --rollout_strategy=managed konfiguriert ESPv2 Beta so, dass die zuletzt bereitgestellte Dienstkonfiguration verwendet wird. Wenn Sie diese Option angeben, erkennt der ESPv2 Beta innerhalb einer Minute nach Bereitstellung einer neuen Dienstkonfiguration die Änderung und verwendet automatisch die neue Konfiguration. Wir empfehlen, diese Option anzugeben, anstatt eine bestimmte Konfigurations-ID anzugeben, die von ESPv2 Beta verwendet werden soll. Weitere Informationen zu ESPv2 Beta-Argumenten finden Sie unter ESPv2 Beta-Startoptionen.

    Beispiel:

        spec:
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:2
            args: [
              "--listener_port=9000",
              "--service=bookstore.endpoints.example-project-12345.cloud.goog",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000"
            ]
    
  3. Dienst starten:
    kubectl create -f grpc-bookstore.yaml
    

Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Informationen unter Fehlerbehebung bei Cloud Endpoints in GKE.

Externe IP-Adresse des Diensts abrufen

Sie benötigen die externe IP-Adresse des Diensts, um Anfragen an die Beispiel-API senden zu können. Nach dem Start Ihres Diensts im Container kann es einige Minuten dauern, bevor die externe IP-Adresse bereit ist.

  1. Rufen Sie die externe IP-Adresse auf:

    kubectl get service

  2. Notieren Sie sich den Wert für EXTERNAL-IP und speichern Sie ihn in der Umgebungsvariablen SERVER_IP. Die externe IP-Adresse wird verwendet, um Anforderungen an die Beispiel-API zu senden.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Anfrage an die API senden

Zum Senden von Requests an die Beispiel-API können Sie einen gRPC-Beispielclient verwenden, der in Python geschrieben wurde.

  1. Klonen Sie das Git-Repository an dem Ort, an dem der gRPC-Clientcode gehostet wird:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Ändern Sie Ihr Arbeitsverzeichnis:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Installieren Sie die Abhängigkeiten:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt
    

  4. Senden Sie eine Anfrage an die Beispiel-API:

    python bookstore_client.py --host SERVER_IP --port 80
    
    • Sehen Sie sich auf der Seite Endpoints > Dienste die Aktivitätsgrafiken für Ihre API an.

      Zur Seite "Endpoints-Dienste"

      Es kann einige Momente dauern, bis die Anfrage in den Grafiken angezeigt wird.

    • Sehen Sie sich auf der Seite "Loganzeige" die Anfragelogs an.

      Loganzeige aufrufen

Wenn Sie als Antwort einen Fehler erhalten haben, lesen Sie die Informationen unter Fehlerbehebung bei Antwortfehlern.

Sie haben gerade eine API in Cloud Endpoints bereitgestellt und getestet!

Bereinigen

So vermeiden Sie, dass Ihrem Google Cloud Platform-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

  1. Löschen Sie die API:

    gcloud endpoints services delete SERVICE_NAME
    

    Ersetzen Sie SERVICE_NAME durch den Namen der API.

  2. Löschen Sie den GKE-Cluster:

    gcloud container clusters delete NAME --zone ZONE
    

Weitere Informationen