Inizia a utilizzare Endpoints per Kubernetes con ESP


Questo tutorial mostra come eseguire il deployment di un semplice servizio gRPC di esempio con il proxy di servizio Extensible (ESP) in un cluster Kubernetes non in esecuzione su Google Cloud. Il tutorial utilizza la versione Python del bookstore-grpc campione. Consulta la sezione Passaggi successivi per gli esempi gRPC in altri linguaggi.

Il tutorial utilizza immagini container precompilate del codice di esempio e dell'ESP, archiviate in Artifact Registry. Se non hai familiarità con i contenitori, consulta le seguenti risorse per saperne di più:

Per una panoramica di Cloud Endpoints, consulta Informazioni su Endpoints e l'architettura degli endpoint.

Obiettivi

Durante il tutorial, utilizza il seguente elenco di attività di alto livello. Tutte le attività sono necessarie per inviare richieste all'API.

  1. Configura un progetto Google Cloud e scarica il software richiesto. Consulta: Prima di iniziare.
  2. Copia e configura i file dall'esempio bookstore-grpc. Consulta Configurare Cloud Endpoints.
  3. Esegui il deployment della configurazione di Endpoints per creare un servizio Endpoints. Consulta: Esegui il deployment della configurazione di Endpoints.
  4. Crea le credenziali per il servizio Endpoints. Consulta Creare le credenziali per il servizio.
  5. Crea un backend per pubblicare l'API e esegui il deployment dell'API. Consulta Esegui il deployment del backend dell'API.
  6. Recupera l'indirizzo IP esterno del servizio. Consulta: Recuperare l'indirizzo IP esterno del servizio.
  7. Invia una richiesta all'API. Consulta Invio di una richiesta all'API.
  8. Evita che al tuo account Google Cloud vengano addebitati costi. Consulta: Esegui la pulizia.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

Questo tutorial presuppone che tu abbia già configurato Minikube o un cluster Kubernetes. Per saperne di più, consulta la documentazione di Kubernetes.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Prendi nota dell'ID progetto Google Cloud perché ti servirà in seguito.
  7. Installa e inizializza l'interfaccia a riga di comando gcloud.
  8. Aggiorna l'interfaccia a riga di comando gcloud e installa i componenti di Endpoints.
    gcloud components update
  9. Assicurati che Google Cloud CLI (gcloud) sia autorizzato ad accedere ai tuoi dati e servizi su Google Cloud:
    gcloud auth login
    Nella nuova scheda visualizzata, seleziona un account.
  10. Imposta il progetto predefinito sul tuo ID progetto:
    gcloud config set project
        YOUR_PROJECT_ID

    Sostituisci YOUR_PROJECT_ID con il tuo progetto Google Cloud ID.

    Se hai altri progetti Google Cloud e vuoi utilizzarli gcloud per gestirli, consulta Gestire le configurazioni dell'interfaccia a riga di comando gcloud.

  11. Installa kubectl:
    gcloud components install kubectl
  12. Acquisisci nuove credenziali utente da utilizzare per le Credenziali predefinite dell'applicazione. Per autorizzare kubectl sono necessarie le credenziali utente.
    gcloud auth application-default login
  13. Scegli un account nella nuova scheda del browser che si apre.
  14. Segui i passaggi descritti nella Guida introduttiva a gRPC per Python per installare gRPC e gli strumenti gRPC.

Configurazione di Endpoints

L'esempio bookstore-grpc contiene i file che devi copiare e configurare localmente.

  1. Crea un file descrittore protobuf autonomo dal file .proto del servizio:
    1. Salva una copia di bookstore.proto dal repository di esempio. Questo file definisce l'API del servizio Bookstore.
    2. Crea la seguente directory: mkdir generated_pb2
    3. Crea il file descrittore api_descriptor.pb utilizzando il compilatore di buffer di protocollo protoc. Esegui questo comando nella directory in cui hai salvato bookstore.proto:
      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto

      Nel comando precedente, --proto_path è impostato sul valore attuale nella directory di lavoro. Nel tuo ambiente di build gRPC, se utilizzi un'interfaccia directory per .proto file di input, modifica --proto_path in modo che il compilatore cerca nella directory in cui hai salvato bookstore.proto.

  2. Crea un file YAML di configurazione dell'API gRPC:
    1. Salva una copia del api_config.yamlfile. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore.
    2. Sostituisci MY_PROJECT_ID nel file api_config.yaml con l'ID progetto Google Cloud. Ad esempio:
      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Tieni presente che il valore del campo apis.name in questo file corrisponde esattamente al nome completo dell'API nel file .proto. In caso contrario, il deployment non funzionerà. Il servizio Bookstore è definito in bookstore.proto all'interno del pacchetto endpoints.examples.bookstore. Il nome completo dell'API è endpoints.examples.bookstore.Bookstore, proprio come appare nel file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore

Per ulteriori informazioni, consulta la sezione Configurazione di Endpoints.

esegui il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione di Endpoints, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Service Infrastructure, La piattaforma di servizi di base di Google, utilizzata da Endpoints e e altri servizi per creare e gestire API e servizi.

  1. Assicurati di trovarti nella directory in cui si trovano i file api_descriptor.pb e api_config.yaml.
  2. Conferma che il progetto predefinito a riga di comando gcloud attualmente in uso è il progetto Google Cloud che vuoi eseguire il deployment della configurazione di Endpoints. Convalida l'ID progetto restituito dal seguente comando per assicurarti che il servizio non venga creato nel progetto sbagliato.
    gcloud config list project
    

    Se devi modificare il progetto predefinito, esegui questo comando:

    gcloud config set project YOUR_PROJECT_ID
    
  3. Esegui il deployment del file proto descriptor e del file di configurazione utilizzando l'interfaccia a riga di comando Google Cloud:
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml
    

    Durante la creazione e la configurazione del servizio, Service Management genera le informazioni al terminale. Al termine del deployment, verrà visualizzato un messaggio simile a viene visualizzato quanto segue:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID è la configurazione univoca del servizio Endpoints ID creato dal deployment. Ad esempio:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
    

    Nell'esempio precedente, 2017-02-13r0 è l'ID configurazione del servizio e bookstore.endpoints.example-project.cloud.goog è il nome del servizio. L'ID configurazione del servizio è costituito da una data seguita da un numero di revisione. Se esegui il deployment della configurazione di Endpoints sempre nello stesso giorno, il numero di revisione viene incrementato o l'ID configurazione.

Controllo dei servizi richiesti in corso...

Come minimo, Endpoints ed ESP richiedono l'attivazione dei seguenti servizi Google:
Nome Titolo
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control
endpoints.googleapis.com Google Cloud Endpoints

Nella maggior parte dei casi, il comando gcloud endpoints services deploy attiva questi servizi obbligatori. Tuttavia, il comando gcloud viene completato correttamente, ma non attiva i servizi richiesti nelle seguenti circostanze:

  • Se hai utilizzato un'applicazione di terze parti, come Terraform, includono questi servizi.

  • Hai eseguito il deployment della configurazione di Endpoints in una Progetto Google Cloud in cui questi servizi sono stati espressamente disabilitati.

Utilizza il seguente comando per verificare che i servizi richiesti siano abilitati:

gcloud services list

Se non vedi elencati i servizi richiesti, abilitali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Abilita anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare ENDPOINTS_SERVICE_NAME, puoi:

  • Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoints nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è visualizzato nella colonna Nome servizio.

  • Per OpenAPI, ENDPOINTS_SERVICE_NAME è il valore specificato nel campo host della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è il valore specificato nel campo name della configurazione degli endpoint gRPC.

Per ulteriori informazioni sui comandi gcloud, consulta Servizi gcloud.

Se ricevi un messaggio di errore, consulta Risoluzione dei problemi di deployment della configurazione di Endpoints.

Per ulteriori informazioni, consulta Eseguire il deployment della configurazione di Endpoints.

Creazione delle credenziali per il servizio

Per fornire la gestione della tua API, sia ESP che ESPv2 richiedono i servizi in Infrastruttura di servizi. Per chiamare questi servizi, ESP ed ESPv2 devono utilizzare token di accesso. Quando esegui il deployment di ESP o ESPv2 in ambienti Google Cloud, come GKE o Compute Engine, ESP ed ESPv2 ottengono l'accesso tramite il servizio di metadati di Google Cloud.

Quando esegui il deployment di ESP o ESPv2 in un ambiente non Google Cloud, ad esempio come desktop locale, un cluster Kubernetes on-premise o un altro devi fornire un file JSON dell'account di servizio. che contiene una chiave privata. ESP ed ESPv2 utilizzano l'account di servizio per generare token di accesso per chiamare i servizi di cui ha bisogno per gestire l'API.

Puoi utilizzare la console Google Cloud o Google Cloud CLI per creare l'account di servizio e il file della chiave privata:

Console

  1. Nella console Google Cloud, apri la pagina Account di servizio.

    Vai alla pagina Account di servizio

  2. Fai clic su Seleziona un progetto.
  3. Seleziona il progetto in cui è stata creata l'API e fai clic su Apri.
  4. Fai clic su + Crea account di servizio.
  5. Nel campo Nome account di servizio, inserisci il nome del servizio. .
  6. Fai clic su Crea.
  7. Fai clic su Continua.
  8. Fai clic su Fine.
  9. Fai clic sull'indirizzo email dell'account di servizio appena creato.
  10. Fai clic su Chiavi.
  11. Fai clic su Aggiungi chiave, quindi su Crea nuova chiave.
  12. Fai clic su Crea. Sul computer viene scaricato un file della chiave JSON.

    Assicurati di archiviare il file della chiave in modo sicuro, perché può essere utilizzato per di autenticarsi con il proprio account di servizio. Puoi spostare e rinominare questo file come desideri.

  13. Fai clic su Chiudi.

gcloud

  1. Inserisci quanto segue per visualizzare gli ID progetto per i tuoi progetti Google Cloud:

    gcloud projects list
  2. Sostituisci PROJECT_ID nel seguente comando per impostare il valore predefinito progetto a quello in cui si trova l'API:

    gcloud config set project PROJECT_ID
  3. Assicurati che Google Cloud CLI (gcloud) sia autorizzato ad accedere al tuo di dati e servizi su Google Cloud:

    gcloud auth login

    Se hai più di un account, assicurati di scegliere quello che si trova nel progetto Google Cloud in cui si trova l'API. Se esegui gcloud auth list, l'account selezionato viene visualizzato come account attivo per il progetto.

  4. Per creare un account di servizio, esegui il seguente comando e sostituisci SERVICE_ACCOUNT_NAME e My Service Account con il nome e il nome visualizzato che vuoi utilizzare:

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
       --display-name "My Service Account"

    Il comando assegna un indirizzo email per l'account di servizio nel seguente formato:

    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

    Questo indirizzo email è obbligatorio nei comandi successivi.

  5. Crea un file di chiavi per l'account di servizio:

    gcloud iam service-accounts keys create ~/service-account-creds.json \
       --iam-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti per l'accesso di questo account di servizio alle risorse.

Configurazione del servizio endpoint

ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM, mentre ESP ed ESPv2 necessitano Controller di servizi per accedervi.

Il ruolo IAM si trova nella configurazione del servizio endpoint, non nel progetto. Un progetto può avere più configurazioni di servizi endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo al servizio collegato per la configurazione del servizio endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio associato.

Cloud Trace

Chiamata ESP ed ESPv2 Cloud Trace per esportare Trace in un progetto. Questo progetto è chiamato tracciamento progetto. In ESP, il progetto di tracciamento e il progetto proprietario la configurazione del servizio endpoint è la stessa. In ESPv2, il progetto di tracciamento può essere specificato dal flag --tracing_project_id, e il valore predefinito del progetto di deployment.

ESP ed ESPv2 richiedono l'agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo al servizio collegato :

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID del progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio collegato. Per ulteriori informazioni, vedi Cosa sono i ruoli e le autorizzazioni?

Consulta: gcloud iam service-accounts per ulteriori informazioni sui comandi.

esegui il deployment del backend dell'API

Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che gestisce il backend dell'API. Questa sezione illustra la procedura per eseguire il deployment di container predefiniti per l'API di esempio e l'ESP in Kubernetes.

Fornire all'ESP le credenziali del servizio

ESP, che viene eseguito all'interno di un contenitore, deve avere accesso alle credenziali archiviate localmente nel file service-account-creds.json. Per fornire all'ESP l'accesso alle credenziali, crea un secret Kubernetes e montalo come volume Kubernetes.

Per creare il secret di Kubernetes e montare il volume:

  1. Se hai utilizzato la console Google Cloud per creare l'account di servizio, rinomina il file JSON in service-account-creds.json. Spostalo nella stessa directory in cui si trovano i file api_descriptor.pb e api_config.yaml.

  2. Crea un Secret Kubernetes con le credenziali dell'account di servizio:

     kubectl create secret generic service-account-creds
          --from-file=service-account-creds.json

    In caso di esito positivo, viene visualizzato il messaggio secret "service-account-creds" created.

Il file manifest del deployment che utilizzi per eseguire il deployment dell'API mentre ESP to Kubernetes contiene già volume secret, come mostrato nelle due sezioni seguenti del file:

volumes:
  - name: service-account-creds
    secret:
      secretName: service-account-creds
volumeMounts:
  - mountPath: /etc/nginx/creds
    name: service-account-creds
    readOnly: true

Configurazione del nome del servizio e avvio del servizio

L'ESP deve conoscere il nome del servizio per trovare la configurazione di cui hai eseguito il deployment in precedenza utilizzando il comando gcloud endpoints services deploy.

Per configurare il nome del servizio e avviarlo:

  1. Salva una copia del file manifest di deployment, k8s-grpc-bookstore.yaml, nella stessa directory di service-account-creds.json.

  2. Apri k8s-grpc-bookstore.yaml e sostituisci SERVICE_NAME con il nome del servizio Endpoints. Si tratta dello stesso nome che utilizzi configurata nel campo name del file api_config.yaml.

    containers:
      - name: esp
        image: gcr.io/endpoints-release/endpoints-runtime:1
        args: [
          "--http2_port=9000",
          "--service=SERVICE_NAME",
          "--rollout_strategy=managed",
          "--backend=grpc://127.0.0.1:8000",
          "--service_account_key=/etc/nginx/creds/service-account-creds.json"
        ]

    Opzione --rollout_strategy=managed configura ESP in modo che utilizzi l'ultima configurazione del servizio di cui è stato eseguito il deployment. Quando specifichi questa opzione, fino a 5 minuti dopo aver eseguito il deployment di una nuova configurazione del servizio, ESP rileva la modifica e inizia a utilizzarla automaticamente. Me consigliamo di specificare questa opzione anziché un ID configurazione specifico per ESP. Per maggiori dettagli sugli argomenti ESP, consulta Opzioni di avvio di ESP.

  3. Avvia il servizio per eseguirlo su Kubernetes:

    kubectl create -f k8s-grpc-bookstore.yaml

    Se viene visualizzato un messaggio di errore simile al seguente:

    The connection to the server localhost:8080 was refused - did you specify the right host or port?

    Questo indica che kubectl non è configurato correttamente. Consulta: Configura kubectl per ulteriori informazioni.

Ottenere l'indirizzo IP esterno del servizio

Per inviare richieste all'API di esempio, devi avere l'indirizzo IP esterno del servizio. Potrebbero essere necessari alcuni minuti dopo l'avvio del servizio nel contenitore prima che l'indirizzo IP esterno sia pronto.

  1. Visualizza l'indirizzo IP esterno:

    kubectl get service

  2. Prendi nota del valore per EXTERNAL-IP e salvalo in un SERVER_IP la variabile di ambiente utilizzata per l'invio di richieste all'API di esempio.

    export SERVER_IP=YOUR_EXTERNAL_IP
    

Invio di una richiesta all'API

Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in come Python.

  1. Clona il repository git in cui è ospitato il codice client gRPC:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
       

  2. Cambia la directory di lavoro:

    cd python-docs-samples/endpoints/bookstore-grpc/
      

  3. Installa le dipendenze:

    pip install virtualenv
    virtualenv env
    source env/bin/activate
    python -m pip install -r requirements.txt

  4. Invia una richiesta all'API di esempio:

    python bookstore_client.py --host SERVER_IP --port 80
    

Se non ricevi una risposta positiva, consulta Risoluzione degli errori di risposta.

Hai eseguito il deployment e il test di un'API in Endpoints.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. Elimina l'API:

    gcloud endpoints services delete SERVICE_NAME
    

    Sostituisci SERVICE_NAME con il nome dell'API.

  2. Elimina il cluster GKE:

    gcloud container clusters delete NAME --zone ZONE
    

Passaggi successivi