Comienza a usar Endpoints para GKE con el ESP

En este instructivo, se muestra cómo implementar un ejemplo simple del servicio gRPC con el proxy de servicio extensible (ESP) en Google Kubernetes Engine (GKE). En este instructivo, se usa la versión de Python del bookstore-grpc de muestra. Consulta la sección Pasos siguientes para ver muestras de gRPC en otros lenguajes.

Además, se usan imágenes de contenedor compiladas con anterioridad del código de muestra y el ESP, que se almacenan en Container Registry. Si no estás familiarizado con los contenedores, consulta las páginas siguientes para obtener más información:

Si quieres obtener una descripción general de Cloud Endpoints, consulta Acerca de Endpoints y Arquitectura de Endpoints.

Objetivos

Usa la siguiente lista de tareas de alto nivel a medida que avanzas en el instructivo. Todas las tareas son necesarias para enviar solicitudes a la API con éxito.

  1. Configura un proyecto de Google Cloud y descarga el software necesario. Consulta Antes de comenzar.
  2. Copia y configura los archivos del bookstore-grpc de muestra. Consulta Cómo configurar Endpoints.
  3. Implementa la configuración de Endpoints para crear un servicio de Endpoints. Consulta Cómo configurar Endpoints.
  4. Crea un backend para entregar la API y, luego, implementarla. Consulta Implementa el backend de la API.
  5. Obtén la dirección IP externa del servicio. Consulta Cómo obtener la dirección IP externa del servicio.
  6. Envía una solicitud a la API. Consulta Enviar una solicitud a la API.
  7. Evita que se generen cargos en tu cuenta de Google Cloud. Consulta Realiza una limpieza.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  5. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  6. Toma nota del ID del proyecto de Google Cloud, ya que lo necesitarás más adelante.
  7. Instala y, luego, inicializa Google Cloud CLI.
  8. Actualiza gcloud CLI y, luego, instala los componentes de Endpoints. 
    gcloud components update
  9. Asegúrate de que Google Cloud CLI (gcloud) esté autorizado para acceder a tus datos y servicios en Google Cloud: 
    gcloud auth login
    Se abrirá una pestaña nueva del navegador y se te solicitará que elijas una cuenta.
  10. Configura el proyecto predeterminado con tu ID del proyecto. 
    gcloud config set project YOUR_PROJECT_ID

    Reemplaza YOUR_PROJECT_ID con el ID del proyecto.

    Si tienes otros proyectos de Google Cloud y quieres usar gcloud para administrarlos, consulta Administra gcloud CLI de gcloud.

  11. Instala kubectl: 
    gcloud components install kubectl
  12. Adquiere nuevas credenciales de usuario para usar como credenciales predeterminadas de la aplicación. Las credenciales del usuario son necesarias para autorizar kubectl. 
    gcloud auth application-default login
    Se abrirá una nueva pestaña del navegador donde debes elegir una cuenta.
  13. Sigue los pasos en la Guía de inicio rápido de Python de gRPC para instalar gRPC y sus herramientas.

Configura Endpoints

El bookstore-grpc de muestra contiene los archivos que necesitas copiar y configurar de forma local.

  1. Crea un archivo descriptor protobuf autónomo desde tu archivo de servicio .proto:
    1. Guarda una copia de bookstore.proto del repositorio de ejemplo. Este archivo define la API del servicio de Bookstore.
    2. Crea el directorio siguiente: mkdir generated_pb2
    3. Crea api_descriptor.pb, el archivo descriptor, mediante el compilador de búferes de protocolo protoc. Ejecuta el comando siguiente en el directorio donde guardaste bookstore.proto: 
      python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto

      En el comando anterior, --proto_path se configura como el directorio de trabajo actual. En tu entorno de compilación de gRPC, si usas un directorio diferente para los archivos de entrada .proto, cambia --proto_path a fin de que el compilador busque el directorio donde guardaste bookstore.proto.

  2. Crea un archivo YAML de configuración de la API de gRPC:
    1. Guarda una copia del archivo api_config.yaml. Este archivo define la configuración de la API de gRPC para el servicio de Bookstore.
    2. Reemplaza MY_PROJECT_ID en tu archivo api_config.yaml con el ID de tu proyecto de Google Cloud. Por ejemplo: 
      #
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog

      Ten en cuenta que el valor del campo apis.name en este archivo coincide con exactitud con el nombre de API calificado por completo del archivo .proto; de lo contrario, la implementación no funcionará. El servicio de Bookstore se define en bookstore.proto dentro del paquete endpoints.examples.bookstore. Su nombre de API calificado por completo es endpoints.examples.bookstore.Bookstore, tal como aparece en el archivo api_config.yaml.

      apis:
  - name: endpoints.examples.bookstore.Bookstore

Consulta Configurar Endpoints para obtener más información.

Implemente la configuración de Endpoints

Para implementar la configuración de Endpoints, usa el comando gcloud endpoints services deploy. Este comando usa Service Management a fin de crear un servicio administrado.

  1. Asegúrate de estar en el directorio en el que se encuentran los archivos api_descriptor.pb y api_config.yaml.
  2. Confirma que el proyecto predeterminado que se usa actualmente en la herramienta de línea de comandos de gcloud sea el proyecto de Google Cloud en el que deseas implementar la configuración de Endpoints. Valida el ID del proyecto que se muestra en el comando siguiente para asegurarte de que el servicio no se cree en el proyecto equivocado. 
    gcloud config list project

    Si necesitas cambiar el proyecto predeterminado, ejecuta el siguiente comando:

    gcloud config set project YOUR_PROJECT_ID
  3. Implementa el archivo proto descriptor y el archivo de configuración mediante Google Cloud CLI: 
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml

    Mientras se crea y configura el servicio, Administración de servicios exporta la información a la terminal. Cuando se completa la implementación, aparece un mensaje similar al siguiente:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID es el ID de configuración único del servicio de Endpoints que creó la implementación. Por ejemplo:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    En el ejemplo anterior, 2017-02-13r0 es el ID de configuración del servicio y bookstore.endpoints.example-project.cloud.goog es el nombre del servicio. El ID de configuración del servicio consiste en una marca de fecha seguida de un número de revisión. Si implementas la configuración de Endpoints otra vez el mismo día, el número de revisión aumenta en el ID de configuración del servicio.

Verifica los servicios requeridos

Como mínimo, Endpoints y ESP requieren que se habiliten los siguientes servicios de Google:
Nombre Título
servicemanagement.googleapis.com API de Service Management
servicecontrol.googleapis.com API de Service Control
endpoints.googleapis.com Google Cloud Endpoints

En la mayoría de los casos, el comando de gcloud endpoints services deploy habilita estos servicios obligatorios. Sin embargo, el comando gcloud se completa de manera correcta sin habilitar los servicios requeridos en las circunstancias siguientes:

  • Usaste una aplicación de terceros, como Terraform, y no incluiste estos servicios.

  • Si implementaste la configuración de Endpoints en un proyecto existente de Google Cloud en el que se inhabilitaron explícitamente estos servicios

Usa el siguiente comando para confirmar que los servicios requeridos están habilitados:

gcloud services list

Si no ves los servicios necesarios que se incluyeron en la lista, habilítalos:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

También habilita el servicio de Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Para determinar la variable ENDPOINTS_SERVICE_NAME, puedes hacer lo siguiente:

  • Después de implementar la configuración de Endpoints, ve a la página Endpoints en la consola de Cloud. La lista de posibles ENDPOINTS_SERVICE_NAME se muestra en la columna Nombre del servicio.

  • Para OpenAPI, el ENDPOINTS_SERVICE_NAME es lo que especificaste en el campo host de tu especificación de OpenAPI. Para gRPC, el ENDPOINTS_SERVICE_NAME es lo que especificaste en el campo name de tu configuración de Endpoints de gRPC.

Para obtener más información sobre los comandos gcloud, consulta servicios de gcloud.

Si recibes un mensaje de error, consulta Solucionar problemas con la implementación de la configuración de Cloud Endpoints.

Consulta Implementar la configuración de Endpoints para obtener información adicional.

Implemente el backend de la API

Hasta ahora, implementaste la configuración de servicio en la Administración de servicios, pero aún no implementaste el código que entrega el backend de la API. En esta sección, se explica cómo crear un clúster de GKE para alojar el backend de la API y, así, implementar la API.

Cómo crear un clúster del contenedor

Para crear un clúster del contenedor destinado a nuestro ejemplo, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página de clústeres de Kubernetes.

    Ir a la página Clústeres de Kubernetes

  2. Haz clic en Crear clúster.
  3. Acepta la configuración predeterminada y haz clic en Crear. Toma nota del nombre y la zona del clúster, ya que son necesarios más adelante en este instructivo.

Autentica kubectl al clúster del contenedor

Si quieres usar kubectl para crear y administrar recursos de clústeres, necesitas obtener credenciales para tu clúster y hacer que estén disponibles para kubectl. Para hacer esto, ejecuta el siguiente comando y reemplaza NAME por tu nuevo nombre de clúster y ZONE por su zona de clúster.

gcloud container clusters get-credentials NAME --zone ZONE

Verifica los permisos necesarios

El ESP y el ESPv2 llaman a los servicios de Google que usan IAM para verificar si la identidad de llamada tiene los permisos suficientes para acceder a los recursos de IAM usados. La identidad de llamada es la cuenta de servicio conectada que implementa el ESP y el ESPv2.

Cuando se implementa en el Pod de GKE, la cuenta de servicio conectada es la cuenta de servicio de nodo. Por lo general, es la cuenta de servicio predeterminada de Compute Engine. Sigue esta recomendación de permisos para elegir una cuenta de servicio de nodo adecuada.

Si se usa Workload Identity, se puede usar una cuenta de servicio distinta de la cuenta de servicio de nodo para comunicarse con los servicios de Google. Puedes crear una cuenta de servicio de Kubernetes para que el pod ejecute el ESP y el ESPv2, una cuenta de servicio de Google y puedes asociar la cuenta de servicio de Kubernetes a la cuenta de servicio de Google.

Sigue estos pasos para asociar una cuenta de servicio de Kubernetes a una cuenta de servicio de Google. Esta cuenta de servicio de Google es la cuenta de servicio conectada.

Si la cuenta de servicio conectada es la cuenta de servicio predeterminada de Compute Engine del proyecto, y la configuración del servicio de extremo se implementa en el mismo proyecto, la cuenta de servicio debe tener los permisos suficientes para acceder a los recursos de IAM. Se puede omitir el siguiente paso de configuración de las funciones de IAM. De lo contrario, se deben agregar las siguientes funciones de IAM a la cuenta de servicio conectada.

Agrega las funciones requeridas de IAM:

En esta sección, se describen los recursos de IAM que usan el ESP y el ESPv2 y las funciones de IAM necesarias para que la cuenta de servicio conectada acceda a estos recursos.

Configuración del servicio de extremo

El ESP y el ESPv2 llaman al Control de servicios que usa la configuración del servicio de extremo. La configuración del servicio de extremo es un recurso de IAM, por lo que el ESP y el ESPv2 necesitan la función de Controlador de servicio para acceder a él.

La función de IAM se encuentra en la configuración del servicio de extremo, no en el proyecto. Un proyecto puede tener múltiples opciones de configuración de servicio de extremo.

Usa el siguiente comando de gcloud a fin de agregar la función a la cuenta de servicio conectada para la configuración del servicio de extremo.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

En el ejemplo anterior
* SERVICE_NAME es el nombre del servicio de extremo
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com es la cuenta de servicio conectada

Cloud Trace

El ESP y el ESPv2 llaman al servicio de Cloud Trace para exportar Trace a un proyecto. Este proyecto se llama proyecto de seguimiento. En el ESP, el proyecto de seguimiento y el proyecto que posee la configuración del servicio de extremo son los mismos. En el ESPv2, el proyecto de seguimiento se puede especificar con la marca --tracing_project_id y, de forma predeterminada, se establece el proyecto de implementación.

El ESP y el ESPv2 requieren la función Agente de Cloud Trace para habilitar Cloud Trace.

Usa el siguiente comando de gcloud para agregar la función a la cuenta de servicio conectada:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

En el ejemplo anterior
* TRACING_PROJECT_ID es el ID del proyecto de seguimiento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com es la cuenta de servicio conectada Para obtener más información, consulta ¿Qué son las funciones y los permisos?

Cómo implementar el ESP y la API de muestra en el clúster

Para implementar el servicio gRPC de muestra en el clúster de manera que los clientes puedan usarlo, sigue estos pasos:

  1. Guarda y abre para editar una copia del archivo de manifiesto de implementación grpc-bookstore.yaml.
  2. Reemplaza SERVICE_NAME por el nombre de tu servicio de Endpoints. Este es el mismo nombre que configuraste en el campo name del archivo api_config.yaml. 
    spec:
  containers:
  - name: esp
    image: gcr.io/endpoints-release/endpoints-runtime:1
    args: [
      "--http2_port=9000",
      "--service=SERVICE_NAME",
      "--rollout_strategy=managed",
      "--backend=grpc://127.0.0.1:8000"
    ]
    ports:
      - containerPort: 9000
  - name: bookstore
    image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
    ports:
      - containerPort: 8000

    La opción --rollout_strategy=managed configura el ESP para que use la configuración del servicio implementado más reciente. Cuando especificas esta opción, hasta 5 minutos después de implementar una nueva configuración de servicio, el ESP detecta el cambio y comienza a usarlo automáticamente. Recomendamos que especifiques esta opción en lugar de un ID de configuración específico para que use el ESP. Si deseas obtener más detalles sobre los argumentos del ESP, consulta Opciones de inicio del ESP.

    Por ejemplo:

        spec:
      containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:1
        args: [
          "--http2_port=9000",
          "--service=bookstore.endpoints.example-project-12345.cloud.goog",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000"
        ]
  3. Inicia el servicio: 
    kubectl create -f grpc-bookstore.yaml

Si recibes un mensaje de error, consulta Cómo solucionar problemas de Cloud Endpoints en GKE.

Cómo obtener la dirección IP externa de la API

Necesitas la dirección IP externa del servicio para enviar solicitudes a la API de muestra. Es posible que la dirección IP externa tarde unos minutos en estar lista después de que inicies tu servicio en el contenedor.

  1. Para ver la dirección IP externa, sigue estos pasos:

    kubectl get service

  2. Toma nota del valor de EXTERNAL-IP y guárdalo en una variable de entorno SERVER_IP. La dirección IP externa se usa para enviar solicitudes a la API de muestra.

    export SERVER_IP=YOUR_EXTERNAL_IP

Envía una solicitud a la API

Para enviar solicitudes a la API de muestra, puedes usar un cliente gRPC de muestra escrito en Python.

  1. Clona el repositorio de Git donde se aloja el código del cliente gRPC:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Cambia tu directorio de trabajo:

    cd python-docs-samples/endpoints/bookstore-grpc/

  3. Instala las dependencias: 

    pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

  4. Envía una solicitud a la API de muestra:

    python bookstore_client.py --host SERVER_IP --port 80

Si no obtienes una respuesta correcta, consulta Solucionar errores en las respuestas.

¡Acabas de implementar y probar una API en Endpoints!

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

  1. Borra la API:

    gcloud endpoints services delete SERVICE_NAME

    Reemplaza SERVICE_NAME por el nombre de tu API.

  2. Borra el clúster de GKE:

    gcloud container clusters delete NAME --zone ZONE

¿Qué sigue?