Introduzione a Endpoints per GKE con ESPv2

Questo tutorial mostra come eseguire il deployment di un servizio di esempio gRPC semplice con Extensible Service Proxy V2 (ESPv2) su Google Kubernetes Engine (GKE). Questo tutorial utilizza la versione Python del campione bookstore-grpc. Consulta la sezione Qual è il prossimo passaggio per trovare esempi di gRPC in altre lingue.

Il tutorial utilizza immagini container predefinite del codice di esempio e ESPv2, che sono archiviate in Container Registry. Se non hai familiarità con i container, consulta le seguenti informazioni per ulteriori informazioni:

Per una panoramica di Cloud Endpoints, consulta le informazioni sugli endpoint e l'architettura degli endpoint.

Obiettivi

Utilizza il seguente elenco di attività avanzate durante l'esecuzione del tutorial. Tutte le attività sono necessarie per inviare correttamente le richieste all'API.

  1. Configurare un progetto Google Cloud e scaricare il software richiesto. Vedi Prima di iniziare.
  2. Copia e configura i file dall'esempio bookstore-grpc. Vedi Configurazione degli endpoint.
  3. Esegui il deployment della configurazione Endpoint per creare un servizio Endpoint. Vedi Deployment della configurazione degli endpoint.
  4. Crea un backend per gestire l'API ed eseguine il deployment. Vedi Deployment del backend dell'API.
  5. Recupera l'indirizzo IP esterno del servizio. Vedi Recupero dell'indirizzo IP esterno del servizio.
  6. Invia una richiesta all'API. Consulta la pagina Invio di una richiesta all'API.
  7. Evita di ricevere addebiti sul tuo account Google Cloud. Vedi Pulizia.

Costi

Questo tutorial utilizza i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud possono beneficiare di una prova gratuita.

Al termine di questo tutorial, puoi evitare una fatturazione continua eliminando le risorse che hai creato. Per scoprire di più, vedi Pulizia.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  5. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  6. Prendi nota dell'ID progetto Google Cloud perché è necessario in seguito.
  7. Installa e inizializza l'interfaccia a riga di comando di Google Cloud.
  8. Aggiorna l'interfaccia a riga di comando gcloud e installa i componenti endpoint. 
    gcloud components update
  9. Assicurati che l'interfaccia a riga di comando di Google Cloud (gcloud) sia autorizzata ad accedere ai tuoi dati e servizi su Google Cloud: 
    gcloud auth login
    Viene visualizzata una nuova scheda del browser in cui ti viene chiesto di scegliere un account.
  10. Imposta il progetto predefinito sul tuo ID progetto. 
    gcloud config set project YOUR_PROJECT_ID

    Sostituisci YOUR_PROJECT_ID con l'ID progetto.

    Se hai altri progetti Google Cloud e vuoi utilizzare gcloud per gestirli, consulta la sezione sulla gestione delle configurazioni dell'interfaccia a riga di comando gcloud.

  11. Installa kubectl: 
    gcloud components install kubectl
  12. Acquisisci le nuove credenziali utente da utilizzare come credenziali predefinite dell'applicazione. Le credenziali dell'utente sono necessarie per autorizzare kubectl. 
    gcloud auth application-default login
    Scegli un account nella nuova scheda del browser visualizzata.
  13. Segui i passaggi della guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.

Configurazione di Endpoints

L'esempio bookstore-grpc contiene i file che devi copiare localmente e configurare.

  1. Create a self-contained protobuf descriptor file from your service .proto file:
    1. Save a copy of bookstore.proto from the example repository. This file defines the Bookstore service's API.
    2. Create the following directory: mkdir generated_pb2
    3. Create the descriptor file, api_descriptor.pb, by using the protoc protocol buffers compiler. Run the following command in the directory where you saved bookstore.proto: 
      python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto

      In the preceding command, --proto_path is set to the current working directory. In your gRPC build environment, if you use a different directory for .proto input files, change --proto_path so the compiler searches the directory where you saved bookstore.proto.

  2. Create a gRPC API configuration YAML file:
    1. Save a copy of the api_config.yamlfile. This file defines the gRPC API configuration for the Bookstore service.
    2. Replace MY_PROJECT_ID in your api_config.yaml file with your Google Cloud project ID. For example: 
      #
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog

      Note that the apis.name field value in this file exactly matches the fully-qualified API name from the .proto file; otherwise deployment won't work. The Bookstore service is defined in bookstore.proto inside package endpoints.examples.bookstore. Its fully-qualified API name is endpoints.examples.bookstore.Bookstore, just as it appears in the api_config.yaml file.

      apis:
  - name: endpoints.examples.bookstore.Bookstore

Per ulteriori informazioni, consulta la sezione Configurare gli endpoint.

Eseguire il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione degli endpoint, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Service Management per creare un servizio gestito.

  1. Assicurati di essere nella directory in cui si trovano i file api_descriptor.pb e api_config.yaml.
  2. Verifica che il progetto predefinito attualmente utilizzato dallo strumento a riga di comando gcloud sia il progetto Google Cloud in cui vuoi eseguire il deployment della configurazione degli endpoint. Convalida l'ID progetto restituito dal seguente comando per assicurarti che il servizio non venga creato nel progetto sbagliato. 
    gcloud config list project

    Se devi modificare il progetto predefinito, esegui il comando seguente:

    gcloud config set project YOUR_PROJECT_ID
  3. Esegui il deployment del file proto descriptor e del file di configurazione utilizzando l'interfaccia a riga di comando di Google Cloud: 
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml

    Durante la creazione e la configurazione del servizio, Service Management trasmette informazioni al terminale. Al termine del deployment, viene visualizzato un messaggio simile al seguente:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID è l'ID univoco della configurazione del servizio Endpoints creato dal deployment. Ad esempio:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    Nell'esempio precedente, 2017-02-13r0 è l'ID configurazione del servizio e bookstore.endpoints.example-project.cloud.goog è il nome del servizio. L'ID configurazione servizio è costituito da un timestamp, seguito da un numero di revisione. Se esegui nuovamente il deployment della configurazione endpoint lo stesso giorno, il numero di revisione viene incrementato nell'ID configurazione del servizio.

Verifica dei servizi richiesti

Come minimo, endpoint ed ESP richiedono l'attivazione dei seguenti servizi Google:
Nome Titolo
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control
endpoints.googleapis.com Google Cloud Endpoints

Nella maggior parte dei casi, il comando gcloud endpoints services deploy abilita questi servizi obbligatori. Tuttavia, il comando gcloud viene completato correttamente, ma non abilita i servizi richiesti nelle seguenti circostanze:

  • Se hai utilizzato un'applicazione di terze parti come Terraform e non includi questi servizi.

  • Hai eseguito il deployment della configurazione endpoint in un progetto Google Cloud esistente in cui questi servizi sono stati disabilitati esplicitamente.

Utilizza il seguente comando per confermare che i servizi richiesti siano abilitati:

gcloud services list

Se i servizi richiesti non sono elencati, attivali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Attiva anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare il ENDPOINTS_SERVICE_NAME puoi:

  • Dopo aver eseguito il deployment della configurazione Endpoint, vai alla pagina Endpoint in Cloud Console. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è riportato nella colonna Service name (Nome servizio).

  • Per OpenAPI, ENDPOINTS_SERVICE_NAME è quello che hai specificato nel campo host della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è quello che hai specificato nel campo name della configurazione degli endpoint gRPC.

Per maggiori informazioni sui comandi gcloud, consulta i servizi gcloud.

Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di deployment della configurazione degli endpoint.

Per ulteriori informazioni, consulta la sezione Eseguire il deployment della configurazione degli endpoint.

Esegui il deployment del backend dell'API

Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che serve al backend dell'API. In questa sezione analizzerai la procedura di creazione di un cluster GKE per ospitare il backend dell'API e eseguirne il deployment.

Creazione di un cluster di container

Il cluster deve avere un alias IP per utilizzare il bilanciamento del carico nativo del container. Per creare un cluster di container con un alias IP per il nostro esempio:

gcloud container clusters create espv2-demo-cluster \
    --enable-ip-alias \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Il comando riportato sopra crea un cluster, espv2-demo-cluster, con una subnet di cui è stato eseguito il provisioning automatico nella zona us-central1-a.

Autenticazione di kubectl nel cluster di container

Per utilizzare kubectl per creare e gestire le risorse del cluster, devi ottenere le credenziali del cluster e renderle disponibili a kubectl. Per farlo, esegui il comando seguente, sostituendo NAME con il nuovo nome del cluster e ZONE con la relativa zona del cluster. 

gcloud container clusters get-credentials NAME --zone ZONE

Verifica autorizzazioni richieste

ESP e ESPv2 chiamano i servizi Google che utilizzano IAM per verificare se l'identità chiamante dispone di autorizzazioni sufficienti per accedere alle risorse IAM utilizzate. L'identità chiamante è l'account di servizio associato che esegue il deployment di ESP e ESPv2.

Quando viene eseguito il deployment nel pod GKE, l'account di servizio associato corrisponde all'account di servizio nodo. Di solito è l'account di servizio predefinito di Compute Engine. Segui questo consiglio per l'autorizzazione per scegliere un account di servizio nodo corretto.

Se si utilizza Workload Identity, per comunicare con i servizi Google può essere utilizzato un account di servizio diverso dall'account di servizio nodo. Puoi creare un account di servizio Kubernetes per il pod per eseguire ESP e ESPv2, creare un account di servizio Google e associare l'account di servizio Kubernetes all'account di servizio Google.

Segui questi passaggi per associare un account di servizio Kubernetes a un account di servizio Google. Questo account di servizio Google è l'account di servizio associato.

Se l'account di servizio associato è l'account di servizio predefinito di Compute Engine del progetto e la configurazione del servizio di endpoint è stata sottoposta a deployment nello stesso progetto, l'account di servizio dovrebbe avere autorizzazioni sufficienti per accedere alle risorse IAM. È possibile ignorare il passaggio di configurazione dei ruoli IAM. In caso contrario, sarà necessario aggiungere i seguenti ruoli IAM all'account di servizio collegato.

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti dall'account di servizio collegato per accedere a tali risorse.

Configurazione del servizio endpoint

ESP e ESPv2 chiamano il Controllo servizio che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM e ESP e ESPv2 richiedono il ruolo Controller di servizio per accedervi.

Il ruolo IAM si trova nella configurazione del servizio di endpoint, non nel progetto. Un progetto può avere più configurazioni di servizi endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio associato per la configurazione del servizio Endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio di endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio associato.

Cloud Trace

ESP e ESPv2 chiamano il servizio Cloud Trace per esportare Trace in un progetto. Questo progetto è chiamato progetto di tracciamento. In ESP, il progetto di tracciamento e il progetto che possiede la configurazione del servizio di endpoint sono gli stessi. In ESPv2, il progetto di tracciamento può essere specificato dal flag --tracing_project_id e presenta l'impostazione predefinita per il progetto di deployment.

ESP e ESPv2 richiedono il ruolo Agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio associato:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio associato. Per maggiori informazioni, consulta la pagina Cosa sono i ruoli e le autorizzazioni?

Configurazione delle chiavi SSL e dei certificati

Il bilanciamento del carico nativo del container utilizza HTTP LB che deve essere criptato con TLS. Questa operazione richiedeva il deployment di un certificato TLS in entrata e in ESPv2 di GKE. Puoi utilizzare un certificato personalizzato o utilizzare un certificato autofirmato.

  1. Crea un certificato e una chiave autofirmati utilizzando openssl. Quando hai richiesto "Common Name(CN), assicurati di aver inserito lo stesso FQDN bookstore.endpoints.MY_PROJECT_ID.cloud.goog. Questo nome viene utilizzato dai client per verificare il certificato del server.

    openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout ./server.key -out ./server.crt

  2. Crea un secret Kubernetes con la chiave SSL e il certificato. Tieni presente che il certificato viene copiato in due posizioni, server.crt e tls.crt, poiché il secret viene fornito sia per GKE in entrata che per ESPv2. Ingress in GKE cerca il percorso del certificato tls.crt e ESPv2 cerca il percorso del certificato server.crt.

    kubectl create secret generic esp-ssl \
--from-file=server.crt=./server.crt --from-file=server.key=./server.key \
--from-file=tls.crt=./server.crt --from-file=tls.key=./server.key

Deployment dell'API di esempio e ESPv2 nel cluster

Per eseguire il deployment del servizio gRPC di esempio nel cluster in modo che i client possano utilizzarlo:

  1. git clone questo repository e apri per modificare il file manifest di deployment grpc-bookstore.yaml.
  2. Sostituisci SERVICE_NAME con il nome del tuo servizio Endpoints per il container Ingress e ESPv2. Si tratta dello stesso nome configurato nel campo name del file api_config.yaml.
    gke/grpc-bookstore.yaml 
    # Copyright 2016 Google Inc.
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License

# Use this file to deploy the container for the grpc-bookstore sample
# and the container for the Extensible Service Proxy (ESP) to
# Google Kubernetes Engine (GKE).

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: esp-grpc-bookstore
  annotations:
    kubernetes.io/ingress.class: "gce"
    kubernetes.io/ingress.allow-http: "false"
spec:
  tls:
  - hosts:
    - SERVICE_NAME
    secretName: esp-ssl
  backend:
    serviceName: esp-grpc-bookstore
    servicePort: 443
---
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: esp-grpc-bookstore
spec:
  healthCheck:
    type: HTTP2
    requestPath: /healthz
    port: 9000
---
apiVersion: v1
kind: Service
metadata:
  name: esp-grpc-bookstore
  annotations:
    service.alpha.kubernetes.io/app-protocols: '{"esp-grpc-bookstore":"HTTP2"}'
    cloud.google.com/neg: '{"ingress": true, "exposed_ports": {"443":{}}}'
    cloud.google.com/backend-config: '{"default": "esp-grpc-bookstore"}'
spec:
  ports:
  # Port that accepts gRPC and JSON/HTTP2 requests over TLS.
  - port: 443
    targetPort: 9000
    protocol: TCP
    name: esp-grpc-bookstore
  selector:
    app: esp-grpc-bookstore
  type: ClusterIP
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: esp-grpc-bookstore
spec:
  replicas: 1
  selector:
    matchLabels:
      app: esp-grpc-bookstore
  template:
    metadata:
      labels:
        app: esp-grpc-bookstore
    spec:
      volumes:
      - name: esp-ssl
        secret:
          secretName: esp-ssl
      containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:2
        args: [
          "--listener_port=9000",
          "--service=SERVICE_NAME",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000",
          "--healthz=/healthz",
          "--ssl_server_cert_path=/etc/esp/ssl",
        ]
        ports:
          - containerPort: 9000
        volumeMounts:
        - mountPath: /etc/esp/ssl
          name:  esp-ssl
          readOnly: true
      - name: bookstore
        image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
        ports:
          - containerPort: 8000

    L'opzione --rollout_strategy=managed configura ESPv2 in modo che utilizzi l'ultima configurazione del servizio di cui è stato eseguito il deployment. Quando specifichi questa opzione, entro un minuto dal deployment di una nuova configurazione del servizio, ESPv2 rileva la modifica e inizia automaticamente a utilizzarla. Ti consigliamo di specificare questa opzione invece di fornire un ID di configurazione specifico per ESPv2. Per ulteriori dettagli sugli argomenti ESPv2, consulta le opzioni di avvio di ESPv2.

    Ad esempio:

        spec:
      containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:2
        args: [
          "--listener_port=9000",
          "--service=bookstore.endpoints.example-project-12345.cloud.goog",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000"
        ]
  3. Avvia il servizio: 
    kubectl create -f grpc-bookstore.yaml

Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di endpoint in GKE.

Recupero dell'indirizzo IP esterno del servizio

Devi avere l'indirizzo IP esterno del servizio per inviare richieste all'API di esempio. Dopo aver avviato il servizio nel container, possono essere necessari alcuni minuti prima che l'indirizzo IP esterno sia pronto.

  1. Visualizza l'indirizzo IP esterno: 

    kubectl get ingress

  2. Prendi nota del valore per EXTERNAL-IP e salvalo in una variabile di ambiente SERVER_IP. L'indirizzo IP esterno viene utilizzato per inviare richieste all'API di esempio. 

    export SERVER_IP=YOUR_EXTERNAL_IP

Inviare una richiesta all'API

Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.

  1. Clona il repository Git in cui è ospitato il codice client gRPC:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Cambia la directory di lavoro:

    cd python-docs-samples/endpoints/bookstore-grpc/

  3. Installa le dipendenze: 

    pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

  4. Crea una CA radice per il certificato autofirmato

    openssl x509 -in server.crt -out client.pem -outform PEM

  5. Invia una richiesta all'API di esempio:

    python bookstore_client.py --host SERVER_IP --port 443 \
--servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem

    • Guarda i grafici delle attività per la tua API nella pagina Endpoint > Servizi.

      Vai alla pagina Servizi di endpoint

      Potrebbero essere necessari alcuni minuti prima che la richiesta venga riportata nei grafici.

    • Esamina i log delle richieste relativi alla tua API nella pagina Esplora log.

      Vai alla pagina Esplora log

Se la risposta non va a buon fine, consulta la sezione Risoluzione degli errori di risposta.

Hai appena eseguito il deployment e il test di un'API in Endpoints!

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. Elimina l'API:

    gcloud endpoints services delete SERVICE_NAME

    Sostituisci SERVICE_NAME con il nome della tua API.

  2. Elimina il cluster GKE:

    gcloud container clusters delete NAME --zone ZONE

Passaggi successivi