Memulai Endpoint untuk Kubernetes dengan ESP

Tutorial ini menunjukkan cara men-deploy contoh layanan gRPC sederhana dengan Extensible Service Proxy (ESP) ke cluster Kubernetes yang tidak berjalan di Google Cloud. Tutorial ini menggunakan contoh bookstore-grpc versi Python. Lihat bagian Langkah berikutnya untuk melihat contoh gRPC dalam bahasa lain.

Tutorial ini menggunakan image container yang telah dibuat sebelumnya dari kode contoh dan ESP, yang disimpan di Container Registry. Jika Anda tidak terbiasa dengan container, lihat referensi berikut untuk informasi selengkapnya:

Untuk ringkasan Cloud Endpoints, lihat Tentang Endpoint dan arsitektur Endpoint.

Tujuan

Gunakan daftar tugas tingkat tinggi berikut saat Anda mengerjakan tutorial. Semua tugas diperlukan agar berhasil mengirim permintaan ke API.

  1. Siapkan project Google Cloud, dan download software yang diperlukan. Lihat Sebelum memulai.
  2. Salin dan konfigurasi file dari contoh bookstore-grpc. Lihat Mengonfigurasi Cloud Endpoints.
  3. Deploy konfigurasi Endpoint untuk membuat layanan Endpoint. Lihat Men-deploy konfigurasi Endpoint.
  4. Buat kredensial untuk layanan Endpoint Anda. Lihat Membuat kredensial untuk layanan Anda.
  5. Membuat backend untuk menyalurkan API dan men-deploy API. Lihat Men-deploy backend API.
  6. Dapatkan alamat IP eksternal layanan. Lihat Mendapatkan alamat IP eksternal layanan.
  7. Mengirim permintaan ke API. Lihat Mengirim permintaan ke API.
  8. Menghindari timbulnya tagihan ke akun Google Cloud Anda. Lihat Pembersihan.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Tutorial ini mengasumsikan bahwa Anda telah menyiapkan Minikube atau cluster Kubernetes. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Kubernetes.

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  5. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  6. Catat ID project Google Cloud karena akan diperlukan nanti.
  7. Instal dan lakukan inisialisasi gcloud CLI.
  8. Update gcloud CLI dan instal komponen Endpoint. 
    gcloud components update
  9. Pastikan Google Cloud CLI (gcloud) diberi otorisasi untuk mengakses data dan layanan Anda di Google Cloud: 
    gcloud auth login
     Di tab baru yang terbuka, pilih akun.
  10. Setel project default ke project ID Anda: 
    gcloud config set project
    YOUR_PROJECT_ID

    Ganti YOUR_PROJECT_ID dengan project ID Google Cloud Anda.

    Jika Anda memiliki project Google Cloud lain, dan ingin menggunakan gcloud untuk mengelolanya, lihat Mengelola konfigurasi gcloud CLI.

  11. Instal kubectl: 
    gcloud components install kubectl
  12. Mendapatkan kredensial pengguna baru yang akan digunakan untuk Kredensial Default Aplikasi. Kredensial pengguna diperlukan untuk mengizinkan kubectl. 
    gcloud auth application-default login
  13. Di tab browser baru yang terbuka, pilih akun.
  14. Ikuti langkah-langkah di Panduan memulai gRPC Python untuk menginstal alat gRPC dan gRPC.

Mengonfigurasi Endpoint

Contoh bookstore-grpc berisi file yang perlu Anda salin secara lokal dan konfigurasi.

  1. Buat file deskriptor protobuf mandiri dari file .proto layanan Anda:
    1. Simpan salinan bookstore.proto dari repositori contoh. File ini menentukan API layanan Bookstore.
    2. Buat direktori berikut: mkdir generated_pb2
    3. Buat file deskripsi, api_descriptor.pb, menggunakan compiler buffering protokol protoc. Jalankan perintah berikut di direktori tempat Anda menyimpan bookstore.proto: 
      python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto

      Dalam perintah sebelumnya, --proto_path ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori berbeda untuk file input .proto, ubah --proto_path agar compiler menelusuri direktori tempat Anda menyimpan bookstore.proto.

  2. Buat file YAML konfigurasi gRPC API:
    1. Simpan salinan file api_config.yaml. File ini menentukan konfigurasi gRPC API untuk layanan Bookstore.
    2. Ganti MY_PROJECT_ID di file api_config.yaml dengan project ID Google Cloud Anda. Contoh: 
      #
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog

      Perlu diketahui bahwa nilai kolom apis.name dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file .proto; jika tidak, deployment tidak akan berfungsi. Layanan Bookstore ditentukan di bookstore.proto di dalam paket endpoints.examples.bookstore. Nama API yang sepenuhnya memenuhi syarat adalah endpoints.examples.bookstore.Bookstore, sama seperti yang muncul dalam file api_config.yaml.

      apis:
  - name: endpoints.examples.bookstore.Bookstore

Lihat Mengonfigurasi Endpoint untuk informasi selengkapnya.

Men-deploy konfigurasi Endpoint

Untuk men-deploy konfigurasi Endpoint, gunakan perintah gcloud endpoints services deploy. Perintah ini menggunakan Infrastruktur Layanan, platform layanan dasar Google, yang digunakan oleh Endpoint dan layanan lainnya untuk membuat serta mengelola API dan layanan.

  1. Pastikan Anda berada di direktori tempat file api_descriptor.pb dan api_config.yaml berada.
  2. Pastikan project default yang digunakan alat command line gcloud saat ini adalah project Google Cloud tempat Anda ingin men-deploy konfigurasi Endpoint. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan bahwa layanan tidak dibuat dalam project yang salah. 
    gcloud config list project

    Jika Anda perlu mengubah project default, jalankan perintah berikut:

    gcloud config set project YOUR_PROJECT_ID
  3. Deploy file proto descriptor dan file konfigurasi menggunakan Google Cloud CLI: 
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml

    Saat membuat dan mengonfigurasi layanan, Pengelolaan Layanan menghasilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan yang berikut ini akan ditampilkan:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID adalah ID konfigurasi layanan Endpoint unik yang dibuat oleh deployment. Contoh:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    Pada contoh sebelumnya, 2017-02-13r0 adalah ID konfigurasi layanan dan bookstore.endpoints.example-project.cloud.goog adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoint lagi pada hari yang sama, nomor revisinya akan bertambah di ID konfigurasi layanan.

Memeriksa layanan yang diperlukan

Setidaknya, Endpoint dan ESP mewajibkan pengaktifan layanan Google berikut:
Nama Judul
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API
endpoints.googleapis.com Endpoint Google Cloud

Dalam sebagian besar kasus, perintah gcloud endpoints services deploy akan mengaktifkan layanan yang diperlukan ini. Namun, perintah gcloud berhasil diselesaikan, tetapi tidak mengaktifkan layanan yang diperlukan dalam keadaan berikut:

  • Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.

  • Anda telah men-deploy konfigurasi Endpoint ke project Google Cloud yang ada, tempat layanan ini dinonaktifkan secara eksplisit.

Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan telah diaktifkan:

gcloud services list

Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Aktifkan juga layanan Endpoint Anda:

gcloud services enable ENDPOINTS_SERVICE_NAME

Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:

  • Setelah men-deploy konfigurasi Endpoint, buka halaman Endpoint di Konsol Cloud. Daftar kemungkinan ENDPOINTS_SERVICE_NAME ditampilkan di bawah kolom Nama layanan.

  • Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan dalam kolom host pada spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah nilai yang Anda tentukan di kolom name pada konfigurasi Endpoint gRPC Anda.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud, lihat layanan gcloud.

Jika Anda mendapatkan pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoint.

Lihat Men-deploy konfigurasi Endpoint untuk mengetahui informasi tambahan.

Membuat kredensial untuk layanan Anda

Untuk menyediakan pengelolaan bagi API Anda, ESP dan ESPv2 memerlukan layanan di Infrastruktur Layanan. Untuk memanggil layanan ini, ESP dan ESPv2 harus menggunakan token akses. Saat Anda men-deploy ESP atau ESPv2 ke lingkungan Google Cloud, seperti GKE atau Compute Engine, ESP dan ESPv2 akan mendapatkan token akses untuk Anda melalui layanan metadata Google Cloud.

Saat Anda men-deploy ESP atau ESPv2 ke lingkungan non-Google Cloud, seperti desktop lokal, cluster Kubernetes lokal, atau penyedia cloud lainnya, Anda harus menyediakan file JSON akun layanan yang berisi kunci pribadi. ESP dan ESPv2 menggunakan akun layanan untuk membuat token akses guna memanggil layanan yang diperlukan untuk mengelola API Anda.

Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk membuat akun layanan dan file kunci pribadi:

Konsol

  1. Di konsol Google Cloud, buka halaman Service Accounts .

    Buka halaman Service Accounts

  2. Klik Select a project.
  3. Pilih project tempat API Anda dibuat, lalu klik Open.
  4. Klik + Buat Akun Layanan.
  5. Di kolom Nama akun layanan, masukkan nama akun layanan Anda.
  6. Klik Create.
  7. Klik Lanjutkan.
  8. Klik Done.
  9. Klik alamat email akun layanan yang baru dibuat.
  10. Klik Kunci.
  11. Klik Tambahkan kunci, lalu klik Buat kunci baru.

  12. Klik Create. File kunci JSON akan didownload ke komputer Anda.

    Pastikan Anda menyimpan file kunci dengan aman karena file tersebut dapat digunakan untuk melakukan autentikasi sebagai akun layanan Anda. Anda dapat memindahkan dan mengganti nama file ini sesuai keinginan Anda.

  13. Klik Close.

gcloud

  1. Masukkan informasi berikut guna menampilkan project ID untuk project Google Cloud Anda:

    gcloud projects list

  2. Ganti PROJECT_ID dalam perintah berikut untuk menetapkan project default ke project tempat API Anda berada:

    gcloud config set project PROJECT_ID

  3. Pastikan Google Cloud CLI (gcloud) diberi otorisasi untuk mengakses data dan layanan Anda di Google Cloud:

    gcloud auth login

    Jika Anda memiliki lebih dari satu akun, pastikan untuk memilih akun yang ada di project Google Cloud tempat API berada. Jika Anda menjalankan gcloud auth list, akun yang dipilih akan ditampilkan sebagai akun aktif untuk project.

  4. Untuk membuat akun layanan, jalankan perintah berikut dan ganti SERVICE_ACCOUNT_NAME dan My Service Account dengan nama dan nama tampilan yang ingin Anda gunakan:

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
   --display-name "My Service Account"

    Perintah ini menetapkan alamat email untuk akun layanan dalam format berikut:

    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

    Alamat email ini diperlukan pada perintah berikutnya.

  5. Buat file kunci akun layanan:

    gcloud iam service-accounts keys create ~/service-account-creds.json \
   --iam-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Tambahkan peran IAM yang diperlukan:

Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2, serta peran IAM yang diperlukan untuk akun layanan yang disertakan untuk mengakses resource ini.

Konfigurasi Layanan Endpoint

ESP dan ESPv2 memanggil Service Control yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM, dan ESP dan ESPv2 memerlukan peran Pengontrol Layanan untuk mengaksesnya.

Peran IAM ada pada konfigurasi layanan endpoint, bukan pada project. Sebuah project mungkin memiliki beberapa konfigurasi layanan endpoint.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang untuk konfigurasi layanan endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dengan
* SERVICE_NAME adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang disertakan.

Cloud Trace

ESP dan ESPv2 memanggil layanan Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project pelacakan. Di ESP, project pelacakan dan project yang memiliki konfigurasi layanan endpoint sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id, dan ditetapkan secara default ke project deployment.

ESP dan ESPv2 memerlukan peran Agen Cloud Trace untuk mengaktifkan Cloud Trace.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terpasang:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dengan
* TRACING_PROJECT_ID adalah ID project pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang disertakan. Untuk mengetahui informasi selengkapnya, lihat Apa yang dimaksud dengan peran dan izin?

Lihat gcloud iam service-accounts untuk mengetahui informasi selengkapnya tentang perintah ini.

Men-deploy backend API

Sejauh ini Anda telah men-deploy konfigurasi layanan ke Pengelolaan Layanan, tetapi belum men-deploy kode yang menayangkan backend API. Bagian ini akan menuntun Anda dalam men-deploy container yang telah dibangun untuk contoh API dan ESP ke Kubernetes.

Menyediakan kredensial layanan kepada ESP

ESP, yang berjalan di dalam container, memerlukan akses ke kredensial yang disimpan secara lokal di file service-account-creds.json. Untuk memberi ESP akses ke kredensial, Anda membuat rahasia Kubernetes dan memasang secret Kubernetes sebagai volume Kubernetes.

Untuk membuat secret Kubernetes dan memasang volume:

  1. Jika Anda menggunakan konsol Google Cloud untuk membuat akun layanan, ganti nama file JSON menjadi service-account-creds.json. Pindahkan ke direktori yang sama tempat file api_descriptor.pb dan api_config.yaml berada.

  2. Buat rahasia Kubernetes dengan kredensial akun layanan:

     kubectl create secret generic service-account-creds
      --from-file=service-account-creds.json

    Setelah berhasil, Anda akan melihat pesan, secret "service-account-creds" created.

File manifes deployment yang Anda gunakan untuk men-deploy API dan ESP ke Kubernetes sudah berisi volume rahasia, seperti yang ditunjukkan di dua bagian file berikut:

volumes:
  - name: service-account-creds
    secret:
      secretName: service-account-creds
 
volumeMounts:
  - mountPath: /etc/nginx/creds
    name: service-account-creds
    readOnly: true

Mengonfigurasi nama layanan dan memulai layanan

ESP perlu mengetahui nama layanan untuk menemukan konfigurasi yang Anda deploy sebelumnya menggunakan perintah gcloud endpoints services deploy.

Untuk mengonfigurasi nama layanan dan memulai layanan:

  1. Simpan salinan file manifes deployment, k8s-grpc-bookstore.yaml, ke direktori yang sama dengan service-account-creds.json.

  2. Buka k8s-grpc-bookstore.yaml dan ganti SERVICE_NAME dengan nama layanan Endpoint Anda. Nama ini sama dengan nama yang Anda konfigurasikan di kolom name pada file api_config.yaml.

    containers:
  - name: esp
    image: gcr.io/endpoints-release/endpoints-runtime:1
    args: [
      "--http2_port=9000",
      "--service=SERVICE_NAME",
      "--rollout_strategy=managed",
      "--backend=grpc://127.0.0.1:8000",
      "--service_account_key=/etc/nginx/creds/service-account-creds.json"
    ]

    Opsi --rollout_strategy=managed mengonfigurasi ESP untuk menggunakan konfigurasi layanan yang terakhir di-deploy. Saat Anda menentukan opsi ini, hingga 5 menit setelah Anda men-deploy konfigurasi layanan baru, ESP akan mendeteksi perubahan tersebut dan mulai menggunakannya secara otomatis. Sebaiknya tentukan opsi ini, bukan ID konfigurasi khusus untuk digunakan ESP. Untuk detail selengkapnya tentang argumen ESP, lihat Opsi startup ESP.

  3. Mulai layanan untuk men-deploy layanan di Kubernetes:

    kubectl create -f k8s-grpc-bookstore.yaml

    Jika Anda melihat pesan error yang mirip dengan yang berikut ini:

    The connection to the server localhost:8080 was refused - did you specify the right host or port?

    Hal ini menunjukkan bahwa kubectl tidak dikonfigurasi dengan benar. Lihat Mengonfigurasi kubectl untuk mengetahui informasi selengkapnya.

Mendapatkan alamat IP eksternal layanan

Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke API contoh. Perlu waktu beberapa menit setelah Anda memulai layanan di container sebelum alamat IP eksternal siap.

  1. Lihat alamat IP eksternal: 

    kubectl get service

  2. Catat nilai untuk EXTERNAL-IP dan simpan dalam variabel lingkungan SERVER_IP seperti yang digunakan saat mengirim permintaan ke API contoh.

    export SERVER_IP=YOUR_EXTERNAL_IP

Mengirim permintaan ke API

Untuk mengirim permintaan ke API contoh, Anda dapat menggunakan klien gRPC contoh yang ditulis dalam Python.

  1. Clone repo git tempat kode klien gRPC dihosting:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Ubah direktori kerja Anda:

    cd python-docs-samples/endpoints/bookstore-grpc/

  3. Instal dependensi: 

    pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

  4. Kirim permintaan ke API contoh:

    python bookstore_client.py --host SERVER_IP --port 80

Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.

Anda baru saja men-deploy dan menguji API di Endpoint.

Pembersihan

Agar tidak dikenakan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource-nya.

  1. Hapus API:

    gcloud endpoints services delete SERVICE_NAME

    Ganti SERVICE_NAME dengan nama API Anda.

  2. Hapus cluster GKE:

    gcloud container clusters delete NAME --zone ZONE

Langkah selanjutnya