Questo tutorial mostra come eseguire il deployment di un semplice servizio gRPC di esempio con Extensible Service Proxy V2 (ESPv2) su Google Kubernetes Engine (GKE). Questo tutorial utilizza la versione Python dell'esempio bookstore-grpc
. Consulta la sezione Passaggi successivi per gli esempi di gRPC in altri linguaggi.
Il tutorial utilizza immagini container predefinite del codice di esempio e di ESPv2, che sono archiviate in Container Registry. Se non hai familiarità con i container, consulta quanto segue per ulteriori informazioni:
Per una panoramica di Cloud Endpoints, consulta Informazioni sugli endpoint ed architettura degli endpoint.
Obiettivi
Durante il tutorial, utilizza il seguente elenco di attività di alto livello. Tutte le attività sono obbligatorie per inviare correttamente le richieste all'API.
- Configurare un progetto Google Cloud e scaricare il software richiesto. Consulta la pagina Prima di iniziare.
- Copia e configura i file dall'esempio
bookstore-grpc
. Vedi Configurazione degli endpoint. - Eseguire il deployment della configurazione Endpoint per creare un servizio Endpoint. Vedi Deployment della configurazione endpoint.
- Creare un backend per gestire l'API ed eseguire il deployment dell'API. Vedi Deployment del backend API.
- Recupera l'indirizzo IP esterno del servizio. Consulta Ottenere l'indirizzo IP esterno del servizio.
- Inviare una richiesta all'API. Vedi Inviare una richiesta all'API.
- Evita di ricevere addebiti sul tuo account Google Cloud. Vedi Pulizia.
Costi
Questo tutorial utilizza i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi in base all'utilizzo previsto,
utilizza il Calcolatore prezzi.
Al termine di questo tutorial, puoi evitare una fatturazione continua eliminando le risorse che hai creato. Per scoprire di più, vedi Pulizia.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.
-
Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.
- Prendi nota dell'ID progetto Google Cloud perché è necessario in seguito.
- Installa e inizializza Google Cloud CLI.
- Aggiornare l'interfaccia a riga di comando gcloud e installare i componenti Endpoints.
gcloud components update
- Assicurati che Google Cloud CLI (
gcloud
) sia autorizzato ad accedere ai tuoi dati e servizi su Google Cloud:gcloud auth login
Viene visualizzata una nuova scheda del browser e ti viene chiesto di scegliere un account. - Imposta il progetto predefinito sull'ID progetto.
gcloud config set project YOUR_PROJECT_ID
Sostituisci YOUR_PROJECT_ID con l'ID progetto.
Se hai altri progetti Google Cloud e vuoi utilizzare
gcloud
per gestirli, consulta Gestire le configurazioni dell'interfaccia a riga di comando gcloud. - Installa
kubectl
:gcloud components install kubectl
- Acquisisci le nuove credenziali utente da utilizzare come credenziali predefinite dell'applicazione. Le credenziali utente sono necessarie per autorizzare
kubectl
.gcloud auth application-default login
Scegli un account nella nuova scheda del browser che si apre. - Segui i passaggi nella guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.
Configurazione di Endpoints
L'esempio bookstore-grpc
contiene i file che devi copiare localmente e configurare.
- Crea un file descrittore autonomo di un file protobuf dal file
.proto
del servizio:- Salva una copia di
bookstore.proto
dal repository di esempio. Questo file definisce l'API del servizio Bookstore. - Crea la seguente directory:
mkdir generated_pb2
- Crea il file descrittore,
api_descriptor.pb
, utilizzando il compilatore del buffer di protocolloprotoc
. Esegui il comando seguente nella directory in cui hai salvatobookstore.proto
:python -m grpc_tools.protoc \ --include_imports \ --include_source_info \ --proto_path=. \ --descriptor_set_out=api_descriptor.pb \ --python_out=generated_pb2 \ --grpc_python_out=generated_pb2 \ bookstore.proto
Nel comando precedente,
--proto_path
è impostato sulla directory di lavoro corrente. Nel tuo ambiente di build gRPC, se utilizzi una directory diversa per i file di input.proto
, modifica--proto_path
in modo che il compilatore cerchi nella directory in cui hai salvatobookstore.proto
.
- Salva una copia di
- Crea un file YAML della configurazione dell'API gRPC:
- Salva una copia del
api_config.yaml
file. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore. - Sostituisci MY_PROJECT_ID nel file
api_config.yaml
con l'ID progetto di Google Cloud. Ad esempio:# # Name of the service configuration. # name: bookstore.endpoints.example-project-12345.cloud.goog
Tieni presente che il valore del campo
apis.name
in questo file corrisponde esattamente al nome completo dell'API nel file.proto
, altrimenti il deployment non funzionerà. Il servizio Bookstore è definito inbookstore.proto
all'interno del pacchettoendpoints.examples.bookstore
. Il nome completo dell'API èendpoints.examples.bookstore.Bookstore
, così come appare nel fileapi_config.yaml
.apis: - name: endpoints.examples.bookstore.Bookstore
- Salva una copia del
Per ulteriori informazioni, consulta la sezione Configurare gli endpoint.
Eseguire il deployment della configurazione di Endpoints
Per eseguire il deployment della configurazione Endpoints, utilizza il comando gcloud endpoints services deploy
. Questo comando utilizza Service Management per creare un servizio gestito.
- Assicurati di essere nella directory in cui si trovano i file
api_descriptor.pb
eapi_config.yaml
. - Verifica che il progetto predefinito attualmente utilizzato dallo strumento a riga di comando
gcloud
sia il progetto Google Cloud in cui vuoi eseguire il deployment della configurazione degli endpoint. Convalida l'ID progetto restituito dal seguente comando per assicurarti che il servizio non venga creato nel progetto sbagliato.gcloud config list project
Se devi modificare il progetto predefinito, esegui il comando seguente:
gcloud config set project YOUR_PROJECT_ID
- Esegui il deployment del file
proto descriptor
e del file di configurazione utilizzando l'interfaccia a riga di comando di Google Cloud:gcloud endpoints services deploy api_descriptor.pb api_config.yaml
Durante la creazione e la configurazione del servizio, Service Management trasmette informazioni al terminale. Al termine del deployment, viene visualizzato un messaggio simile al seguente:
Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
CONFIG_ID è l'ID univoco della configurazione del servizio Endpoints creato dal deployment. Ad esempio:
Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
Nell'esempio precedente,
2017-02-13r0
è l'ID configurazione del servizio ebookstore.endpoints.example-project.cloud.goog
è il nome del servizio. L'ID configurazione servizio è costituito da un timestamp, seguito da un numero di revisione. Se esegui nuovamente il deployment della configurazione endpoint lo stesso giorno, il numero di revisione viene incrementato nell'ID configurazione del servizio.
Verifica dei servizi richiesti
Come minimo, endpoint ed ESP richiedono l'abilitazione dei seguenti servizi Google:Nome | Qualifica |
---|---|
servicemanagement.googleapis.com |
API Service Management |
servicecontrol.googleapis.com |
API Service Control |
endpoints.googleapis.com |
Google Cloud Endpoints |
Nella maggior parte dei casi, il comando gcloud endpoints services deploy
abilita questi servizi richiesti. Tuttavia, il comando gcloud
viene completato correttamente, ma non abilita i servizi richiesti nelle seguenti circostanze:
Se hai utilizzato un'applicazione di terze parti come Terraform e non includi questi servizi.
Hai eseguito il deployment della configurazione Endpoint in un progetto Google Cloud esistente in cui questi servizi sono stati disattivati esplicitamente.
Utilizza il seguente comando per confermare che i servizi richiesti siano abilitati:
gcloud services list
Se i servizi richiesti non sono elencati, abilitali:
gcloud services enable servicemanagement.googleapis.comgcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com
Attiva anche il servizio Endpoints:
gcloud services enable ENDPOINTS_SERVICE_NAME
Per determinare il ENDPOINTS_SERVICE_NAME puoi:
Dopo aver eseguito il deployment della configurazione Endpoint, vai alla pagina Endpoint nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è riportato nella colonna Nome servizio.
Per OpenAPI, il valore di ENDPOINTS_SERVICE_NAME è quello che hai specificato nel campo
host
della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è ciò che hai specificato nel camponame
della configurazione degli endpoint gRPC.
Per maggiori informazioni sui comandi gcloud
, consulta
i servizi gcloud
.
Se viene visualizzato un messaggio di errore, vedi Risoluzione dei problemi di deployment della configurazione degli endpoint.
Per ulteriori informazioni, consulta la sezione Deployment della configurazione endpoint.
Esegui il deployment del backend dell'API
Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che gestisce il backend dell'API. Questa sezione illustra come creare un cluster GKE per ospitare il backend dell'API ed eseguire il deployment dell'API.
Creazione di un cluster di container
Il cluster necessita di un alias IP per utilizzare il bilanciamento del carico nativo del container. Per creare un cluster di container con un alias IP per il nostro esempio:
gcloud container clusters create espv2-demo-cluster \ --enable-ip-alias \ --create-subnetwork="" \ --network=default \ --zone=us-central1-a
Il comando precedente crea un cluster, espv2-demo-cluster
, con una subnet di cui è stato eseguito il provisioning automatico nella zona us-central1-a
.
Autenticazione di kubectl
nel cluster di container in corso...
Per utilizzare kubectl
per creare e gestire le risorse del cluster, devi ottenere
le credenziali del cluster e renderle disponibili per kubectl
. A questo scopo, esegui il comando seguente, sostituendo NAME con il nome del nuovo cluster e ZONE con la zona del cluster.
gcloud container clusters get-credentials NAME --zone ZONE
Verifica delle autorizzazioni richieste
ESP ed ESPv2 chiamano i servizi Google che utilizzano IAM per verificare se l'identità chiamante ha autorizzazioni sufficienti per accedere alle risorse IAM utilizzate. L'identità chiamante è l'account di servizio associato che esegue il deployment di ESP e ESPv2.
Quando viene eseguito il deployment nel pod GKE, l'account di servizio collegato è l'account di servizio nodo. Di solito si tratta dell'account di servizio predefinito di Compute Engine. Segui questo consiglio per l'autorizzazione per scegliere un account di servizio nodo corretto.
Se si utilizza Workload Identity, è possibile utilizzare un account di servizio separato, diverso dall'account di servizio nodo, per comunicare con i servizi Google. Puoi creare un account di servizio Kubernetes per il pod per eseguire ESP ed ESPv2, creare un account di servizio Google e associare l'account di servizio Kubernetes all'account di servizio Google.
Segui questi passaggi per associare un account di servizio Kubernetes a un account di servizio Google. Questo account di servizio Google è l'account di servizio associato.
Se l'account di servizio associato è l'account di servizio predefinito di Compute Engine del progetto e viene eseguito il deployment della configurazione del servizio di endpoint nello stesso progetto, l'account di servizio deve avere autorizzazioni sufficienti per accedere alle risorse IAM, ignorando il passaggio di configurazione dei ruoli IAM. In caso contrario, i seguenti ruoli IAM devono essere aggiunti all'account di servizio collegato.
Aggiungi i ruoli IAM richiesti:
In questa sezione vengono descritte le risorse IAM utilizzate da ESP ed ESPv2 e i ruoli IAM richiesti dall'account di servizio associato per accedere a queste risorse.
Configurazione del servizio di endpoint
ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM e ESP ed ESPv2 hanno bisogno del ruolo Controller di servizio per accedervi.
Il ruolo IAM si trova sulla configurazione del servizio endpoint, non sul progetto. Un progetto può avere più configurazioni di servizio endpoint.
Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio associato per la configurazione del servizio endpoint.
gcloud endpoints services add-iam-policy-binding SERVICE_NAME \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/servicemanagement.serviceController
Dove
* SERVICE_NAME
è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
è l'account di servizio associato.
Cloud Trace
ESP ed ESPv2 chiamano il servizio
Cloud Trace per
esportare Trace in un progetto. Questo progetto è chiamato progetto di tracciamento. In ESP, il progetto di tracciamento e il progetto che possiede la configurazione del servizio endpoint sono uguali. In ESPv2, il progetto di monitoraggio può essere specificato dal flag --tracing_project_id
e il valore predefinito è il progetto di deployment.
ESP ed ESPv2 richiedono il ruolo Agente Cloud Trace per abilitare Cloud Trace.
Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio associato:
gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudtrace.agent
Dove
* TRACING_PROJECT_ID è l'ID progetto di monitoraggio
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com
è l'account di servizio associato.
Per saperne di più, vedi
Cosa sono i ruoli e le autorizzazioni?
Configurazione delle chiavi e dei certificati SSL
Il bilanciamento del carico nativo del container utilizza HTTP B2 che deve essere criptato da TLS. Ciò richiedeva il deployment di un certificato TLS nel traffico GKE in entrata e in ESPv2. Puoi portare il tuo certificato o utilizzare un certificato autofirmato.
Crea un certificato e una chiave autofirmati utilizzando openssl. Assicurati di aver inserito lo stesso nome di dominio completo
bookstore.endpoints.MY_PROJECT_ID.cloud.goog
quando ti viene chiesto "Common Name(CN)". Questo nome viene utilizzato dai client per verificare il certificato del server.openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout ./server.key -out ./server.crt
Creare un secret di Kubernetes con la chiave e il certificato SSL. Tieni presente che il certificato viene copiato in due posizioni,
server.crt
etls.crt
, in quanto il secret viene fornito sia in GKE in entrata che in ESPv2. GKE in entrata cerca il percorso del certificatotls.crt
e ESPv2 cerca il percorso del certificatoserver.crt
.kubectl create secret generic esp-ssl \ --from-file=server.crt=./server.crt --from-file=server.key=./server.key \ --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key
Esegui il deployment dell'API di esempio e di ESPv2 nel cluster
Per eseguire il deployment del servizio gRPC di esempio nel cluster in modo che i client possano utilizzarlo:
git clone
questo repository e aprilo per modificare il file manifest del deployment grpc-bookstore.yaml.- Sostituisci SERVICE_NAME con il nome del tuo servizio Endpoints per il container in entrata e ESPv2.
Si tratta dello stesso nome che hai configurato nel campo
name
nel fileapi_config.yaml
.L'opzione
--rollout_strategy=managed
configura ESPv2 in modo da utilizzare la configurazione del servizio più recente sottoposta a deployment. Quando specifichi questa opzione, entro un minuto dal deployment di una nuova configurazione di servizio, ESPv2 rileva la modifica e inizia automaticamente a utilizzarla. Ti consigliamo di specificare questa opzione invece di fornire un ID di configurazione specifico per ESPv2. Per maggiori dettagli sugli argomenti ESPv2, consulta le opzioni di avvio di ESPv2.Ad esempio:
spec: containers: - name: esp image: gcr.io/endpoints-release/endpoints-runtime:2 args: [ "--listener_port=9000", "--service=bookstore.endpoints.example-project-12345.cloud.goog", "--rollout_strategy=managed", "--backend=grpc://127.0.0.1:8000" ]
- Avvia il servizio:
kubectl create -f grpc-bookstore.yaml
Se viene visualizzato un messaggio di errore, vedi Risoluzione dei problemi degli endpoint in GKE.
Recupera l'indirizzo IP esterno del servizio
Devi avere l'indirizzo IP esterno del servizio per inviare le richieste all'API di esempio. Dopo l'avvio del servizio nel container, l'indirizzo IP esterno potrebbe richiedere alcuni minuti.
Visualizza l'indirizzo IP esterno:
kubectl get ingress
Prendi nota del valore di
EXTERNAL-IP
e salvalo in una variabile di ambiente SERVER_IP. L'indirizzo IP esterno viene utilizzato per inviare richieste all'API di esempio.export SERVER_IP=YOUR_EXTERNAL_IP
Invio di una richiesta all'API
Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.
Clona il repository Git in cui è ospitato il codice client gRPC:
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Cambia la directory di lavoro:
cd python-docs-samples/endpoints/bookstore-grpc/
Installa le dipendenze:
pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt
Crea una CA radice per il certificato autofirmato
openssl x509 -in server.crt -out client.pem -outform PEM
Invia una richiesta all'API di esempio:
python bookstore_client.py --host SERVER_IP --port 443 \ --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
Guarda i grafici delle attività per la tua API nella pagina Endpoint > Servizi.
Vai alla pagina Servizi di endpoint
Potrebbero essere necessari alcuni minuti prima che la richiesta venga riportata nei grafici.
Esamina i log delle richieste relativi alla tua API nella pagina Esplora log.
Se non ricevi una risposta corretta, consulta la sezione Risolvere gli errori di risposta.
Hai appena eseguito il deployment e il test di un'API in Endpoints.
Esegui la pulizia
Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Elimina l'API:
gcloud endpoints services delete SERVICE_NAME
Sostituisci SERVICE_NAME con il nome della tua API.
Elimina il cluster GKE:
gcloud container clusters delete NAME --zone ZONE