Inizia a utilizzare Endpoints per GKE con ESP


Questo tutorial mostra come eseguire il deployment di un semplice servizio gRPC di esempio con Extensible Service Proxy (ESP) su Google Kubernetes Engine (GKE). Questo tutorial utilizza la versione Python dell'esempio bookstore-grpc. Consulta la sezione Passaggi successivi per esempi di gRPC in altre lingue.

Il tutorial utilizza immagini container predefinite del codice campione e dell'ESP, che sono archiviate in Artifact Registry. Se non hai familiarità con i container, consulta le seguenti risorse per saperne di più:

Per una panoramica di Cloud Endpoints, consulta Informazioni su Endpoints e Architettura di Endpoints.

Obiettivi

Utilizza il seguente elenco di attività di alto livello mentre segui il tutorial. Tutte le attività sono necessarie per inviare correttamente le richieste all'API.

  1. Configura un progetto Google Cloud e scarica il software richiesto. Vedi Prima di iniziare.
  2. Copia e configura i file dall'esempio bookstore-grpc. Consulta Configurazione di Endpoints.
  3. Esegui il deployment della configurazione di Endpoints per creare un servizio Endpoints. Vedi Deployment della configurazione di Endpoints.
  4. Crea un backend per pubblicare l'API ed esegui il deployment dell'API. Consulta Esegui il deployment del backend dell'API.
  5. Recupera l'indirizzo IP esterno del servizio. Consulta Recuperare l'indirizzo IP esterno del servizio.
  6. Invia una richiesta all'API. Consulta Invio di una richiesta all'API.
  7. Evita che al tuo account Google Cloud vengano addebitati costi. Vedi Pulizia.

Costi

In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi Google Cloud utenti potrebbero avere diritto a una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per ulteriori informazioni, vedi Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Prendi nota dell' Google Cloud ID progetto perché ti servirà in seguito.
  7. Installa e inizializza Google Cloud CLI.
  8. Aggiorna gcloud CLI e installa i componenti di Endpoints.
    gcloud components update
  9. Assicurati che Google Cloud CLI (gcloud) sia autorizzata ad accedere ai tuoi dati e servizi su Google Cloud:
    gcloud auth login
    Si apre una nuova scheda del browser e ti viene chiesto di scegliere un account.
  10. Imposta il progetto predefinito sull'ID progetto.
    gcloud config set project YOUR_PROJECT_ID

    Sostituisci YOUR_PROJECT_ID con l'ID progetto.

    Se hai altri progetti Google Cloud e vuoi utilizzare gcloud per gestirli, consulta Gestione delle configurazioni di gcloud CLI.

  11. Installa kubectl:
    gcloud components install kubectl
  12. Acquisisci nuove credenziali utente da utilizzare come credenziali predefinite dell'applicazione. Le credenziali utente sono necessarie per autorizzare kubectl.
    gcloud auth application-default login
    Nella nuova scheda del browser che si apre, scegli un account.
  13. Segui i passaggi descritti nella guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.

Configurazione di Endpoints

L'esempio bookstore-grpc contiene i file che devi copiare in locale e configurare.

  1. Crea un file descrittore protobuf autonomo dal file .proto del servizio:
    1. Salva una copia di bookstore.proto dal repository di esempio. Questo file definisce l'API del servizio Bookstore.
    2. Crea la seguente directory: mkdir generated_pb2
    3. Crea il file descrittore api_descriptor.pb utilizzando il compilatore di buffer di protocollo protoc. Esegui questo comando nella directory in cui hai salvato bookstore.proto:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto

      Nel comando precedente, --proto_path è impostato sulla directory di lavoro corrente. Nell'ambiente di compilazione gRPC, se utilizzi una directory diversa per i file di input .proto, modifica --proto_path in modo che il compilatore cerchi nella directory in cui hai salvato bookstore.proto.

  2. Crea un file YAML di configurazione dell'API gRPC:
    1. Salva una copia del api_config.yamlfile. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore.
    2. Sostituisci MY_PROJECT_ID nel file api_config.yaml con il tuo ID progetto Google Cloud . Ad esempio:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Tieni presente che il valore del campo apis.name in questo file corrisponde esattamente al nome completo dell'API nel file .proto. In caso contrario, il deployment non funzionerà. Il servizio Bookstore è definito in bookstore.proto all'interno del pacchetto endpoints.examples.bookstore. Il nome completo dell'API è endpoints.examples.bookstore.Bookstore, proprio come appare nel file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore

Per ulteriori informazioni, consulta la sezione Configurazione degli endpoint.

esegui il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione di Endpoints, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Service Management per creare un servizio gestito.

  1. Assicurati di trovarti nella directory in cui si trovano i file api_descriptor.pb e api_config.yaml.
  2. Verifica che il progetto predefinito attualmente utilizzato dallo strumento a riga di comando gcloud sia il progetto in cui vuoi eseguire il deployment della configurazione di Endpoints. Google Cloud Convalida l'ID progetto restituito dal seguente comando per assicurarti che il servizio non venga creato nel progetto sbagliato.
    gcloud config list project
    

    Se devi modificare il progetto predefinito, esegui il seguente comando:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Esegui il deployment del file proto descriptor e del file di configurazione utilizzando l'interfaccia a Google Cloud CLI:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    Durante la creazione e la configurazione del servizio, Service Management visualizza informazioni sul terminale. Al termine del deployment, viene visualizzato un messaggio simile al seguente:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID è l'ID univoco della configurazione del servizio Endpoints creato dal deployment. Ad esempio:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    Nell'esempio precedente, 2017-02-13r0 è l'ID configurazione del servizio e bookstore.endpoints.example-project.cloud.goog è il nome del servizio. L'ID configurazione del servizio è costituito da un timestamp seguito da un numero di revisione. Se esegui nuovamente il deployment della configurazione di Endpoints nello stesso giorno, il numero di revisione viene incrementato nell'ID configurazione del servizio.

Controllo dei servizi richiesti

Come minimo, Endpoints ed ESP richiedono l'abilitazione dei seguenti servizi Google:
Nome Titolo
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control

Nella maggior parte dei casi, il comando gcloud endpoints services deploy attiva questi servizi richiesti. Tuttavia, il comando gcloud viene completato correttamente, ma non abilita i servizi richiesti nelle seguenti circostanze:

  • Se hai utilizzato un'applicazione di terze parti come Terraform e non includi questi servizi.

  • Hai eseguito il deployment della configurazione di Endpoints in un progettoGoogle Cloud esistente in cui questi servizi sono stati disattivati in modo esplicito.

Utilizza questo comando per verificare che i servizi richiesti siano abilitati:

gcloud services list

Se non vedi i servizi richiesti elencati, attivali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Abilita anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare il ENDPOINTS_SERVICE_NAME puoi:

  • Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoints nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME viene visualizzato nella colonna Nome servizio.

  • Per OpenAPI, ENDPOINTS_SERVICE_NAME è ciò che hai specificato nel campo host della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è ciò che hai specificato nel campo name della configurazione di gRPC Endpoints.

Per ulteriori informazioni sui comandi gcloud, consulta servizi gcloud.

Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi di deployment della configurazione di Endpoints.

Per ulteriori informazioni, consulta Deployment della configurazione di Endpoints.

esegui il deployment del backend dell'API

Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che gestisce il backend dell'API. Questa sezione ti guida nella creazione di un cluster GKE per ospitare il backend API e nel deployment dell'API.

Creazione di un cluster di container

Per creare un cluster di container per il nostro esempio:

  1. Nella console Google Cloud , vai alla pagina Cluster Kubernetes.

    Vai alla pagina dei cluster Kubernetes

  2. Fai clic su Crea cluster.
  3. Accetta le impostazioni predefinite e fai clic su Crea. Prendi nota del nome e della zona del cluster, perché ti serviranno più avanti in questo tutorial.

Autenticazione di kubectl al cluster di container

Per utilizzare kubectl per creare e gestire le risorse del cluster, devi ottenere le credenziali del cluster e renderle disponibili per kubectl. Per farlo, esegui il comando seguente, sostituendo NAME con il nome del nuovo cluster e ZONE con la zona del cluster.

gcloud container clusters get-credentials NAME --zone ZONE

Controllo delle autorizzazioni richieste

ESP ed ESPv2 chiamano i servizi Google che utilizzano IAM per verificare se l'identità chiamante dispone di autorizzazioni sufficienti per accedere alle risorse IAM utilizzate. L'identità chiamante è il account di servizio collegato che esegue il deployment di ESP e ESPv2.

Quando viene eseguito il deployment nel pod GKE, il account di servizio collegato è il service account del nodo. Di solito è l'account di servizio Compute Engine predefinito. Segui questo consiglio per scegliere un account di servizio del nodo appropriato.

Se viene utilizzata Workload Identity, è possibile utilizzare un account di servizio separato diverso dal account di servizio del nodo per comunicare con i servizi Google. Puoi creare un account di servizio Kubernetes per il pod per eseguire ESP ed ESPv2, creare un account di servizio Google e associare il account di servizio Kubernetes al account di servizio Google.

Segui questi passaggi per associare un account di servizio Kubernetes a un service account Google. Questo account di servizio Google è il account di servizio collegato.

Se il account di servizio collegato è il service account predefinito di Compute Engine del progetto e la configurazione del servizio endpoint è implementata nello stesso progetto, il account di servizio deve disporre di autorizzazioni sufficienti per accedere alle risorse IAM. Il passaggio di configurazione dei ruoli IAM può essere ignorato. In caso contrario, i seguenti ruoli IAM devono essere aggiunti al account di servizio collegato.

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti per l'accesso a queste risorse da parte del account di servizio collegato.

Configurazione del servizio endpoint

ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM e ESP ed ESPv2 richiedono il ruolo Service Controller per accedervi.

Il ruolo IAM si trova nella configurazione del servizio endpoint, non nel progetto. Un progetto può avere più configurazioni di servizio endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo al service account collegato per la configurazione del servizio endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio collegato.

Cloud Trace

ESP ed ESPv2 chiamano il servizio Cloud Trace per esportare la traccia in un progetto. Questo progetto è chiamato progetto di tracciamento. In ESP, il progetto di tracciamento e il progetto proprietario della configurazione del servizio endpoint sono gli stessi. In ESPv2, il progetto di tracciamento può essere specificato dal flag --tracing_project_id e il valore predefinito è il progetto di deployment.

ESP ed ESPv2 richiedono il ruolo agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo al service account collegato:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è il account di servizio collegato. Per ulteriori informazioni, vedi Che cosa sono ruoli e autorizzazioni?

Deployment dell'API di esempio e di ESP nel cluster

Per eseguire il deployment del servizio gRPC di esempio nel cluster in modo che i client possano utilizzarlo:

  1. Salva e apri per la modifica una copia del file manifest di deployment grpc-bookstore.yaml.
  2. Sostituisci SERVICE_NAME con il nome del tuo servizio Endpoints. Si tratta dello stesso nome che hai configurato nel campo name del file api_config.yaml.
    spec:
      containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:1
        args: [
          "--http2_port=9000",
          "--service=SERVICE_NAME",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000"
        ]
        ports:
          - containerPort: 9000
      - name: bookstore
        image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
        ports:
          - containerPort: 8000

    L'opzione --rollout_strategy=managed configura ESP in modo che utilizzi la configurazione del servizio di cui è stato eseguito il deployment più recente. Quando specifichi questa opzione, fino a 5 minuti dopo il deployment di una nuova configurazione del servizio, ESP rileva la modifica e inizia a utilizzarla automaticamente. Ti consigliamo di specificare questa opzione anziché un ID configurazione specifico da utilizzare per ESP. Per maggiori dettagli sugli argomenti ESP, vedi Opzioni di avvio di ESP.

    Ad esempio:

        spec:
          containers:
          - name: esp
            image: gcr.io/endpoints-release/endpoints-runtime:1
            args: [
              "--http2_port=9000",
              "--service=bookstore.endpoints.example-project-12345.cloud.goog",
              "--rollout_strategy=managed",
              "--backend=grpc://127.0.0.1:8000"
            ]
  3. Avvia il servizio:
    kubectl create -f grpc-bookstore.yaml
    

Se ricevi un messaggio di errore, consulta Risoluzione dei problemi degli endpoint in GKE.

Ottenere l'indirizzo IP esterno del servizio

Per inviare richieste all'API di esempio, devi disporre dell'indirizzo IP esterno del servizio. Potrebbero essere necessari alcuni minuti dopo l'avvio del servizio nel container prima che l'indirizzo IP esterno sia pronto.

  1. Visualizza l'indirizzo IP esterno:

    kubectl get service
  2. Prendi nota del valore di EXTERNAL-IP e salvalo in una variabile di ambiente SERVER_IP. L'indirizzo IP esterno viene utilizzato per inviare richieste all'API di esempio.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Invio di una richiesta all'API

Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.

  1. Clona il repository Git in cui è ospitato il codice client gRPC:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Cambia la directory di lavoro:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Installa le dipendenze:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt

  4. Invia una richiesta all'API di esempio:

    python bookstore_client.py --host SERVER_IP --port 80
    
    • Esamina i grafici delle attività della tua API nella pagina Endpoints > Servizi.

      Vai alla pagina Servizi endpoint

      La visualizzazione dei dati relativi alla richiesta nei grafici può richiedere alcuni minuti.

    • Esamina i log delle richieste per la tua API nella pagina Esplora log.

      Vai alla pagina Esplora log

Se non ricevi una risposta riuscita, consulta la sezione Risoluzione dei problemi relativi agli errori di risposta.

Hai eseguito il deployment e il test di un'API in Endpoints.

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. Elimina l'API:

    gcloud endpoints services delete SERVICE_NAME
    

    Sostituisci SERVICE_NAME con il nome della tua API.

  2. Elimina il cluster GKE:

    gcloud container clusters delete NAME --zone ZONE
    

Passaggi successivi

  • Scopri come configurare la tua API gRPC per Cloud Endpoints.
  • Esamina in modo più dettagliato l'esempio della libreria su GitHub. Sia il client che il server sono disponibili in Python e Java.
  • L'esempio getting-started-grpc è disponibile su GitHub nelle seguenti lingue: