Introduzione a Endpoints per Kubernetes con ESP

OpenAPI | gRPC

Questo tutorial mostra come eseguire il deployment di un semplice servizio gRPC di esempio con Extensible Service Proxy (ESP) in un cluster Kubernetes non in esecuzione su Google Cloud. Il tutorial utilizza la versione Python dell'esempio di bookstore-grpc. Consulta la sezione Passaggi successivi per gli esempi di gRPC in altre lingue.

Il tutorial utilizza immagini container predefinite del codice campione e dell'ESP, archiviate in Container Registry. Se non hai dimestichezza con i container, consulta le seguenti risorse per saperne di più:

Per una panoramica di Cloud Endpoints, consulta la pagina Informazioni su Endpoints ed Architettura degli endpoint.

Obiettivi

Utilizza il seguente elenco di attività di alto livello mentre svolgi il tutorial. Tutte le attività sono necessarie per inviare correttamente richieste all'API.

Configura un progetto Google Cloud e scarica il software richiesto. Consulta Prima di iniziare.
Copia e configura i file dall'esempio di bookstore-grpc. Consulta la pagina Configurazione di Cloud Endpoints.
Eseguire il deployment della configurazione di Endpoints per creare un servizio Endpoints. Vedi Eseguire il deployment della configurazione di Endpoints.
Crea le credenziali per il servizio Endpoints. Vedi Creazione di credenziali per il tuo servizio.
Crea un backend per gestire l'API ed eseguirne il deployment. Vedi Deployment del backend dell'API.
Recupera l'indirizzo IP esterno del servizio. Vedi Recupero dell'indirizzo IP esterno del servizio.
Invia una richiesta all'API. Vedi Invio di una richiesta all'API.
Evita addebiti sul tuo account Google Cloud. Consulta Eseguire la pulizia.

Costi

In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:

Endpoint

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud possono essere idonei a una prova senza costi aggiuntivi.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

Questo tutorial presuppone che tu abbia già configurato Minikube o un cluster Kubernetes. Per ulteriori informazioni, consulta la documentazione di Kubernetes.

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Prendi nota dell'ID progetto Google Cloud perché sarà necessario in seguito.
Installa e inizializza gcloud CLI.
Aggiorna gcloud CLI e installa i componenti di Endpoints.
```
gcloud components update
```
Assicurati che Google Cloud CLI (gcloud) sia autorizzato ad accedere ai tuoi dati e servizi su Google Cloud:
```
gcloud auth login
```
Nella nuova scheda visualizzata, seleziona un account.
Imposta il progetto predefinito sul tuo ID progetto:
```
gcloud config set project
    YOUR_PROJECT_ID
```
Sostituisci YOUR_PROJECT_ID con l'ID del tuo progetto Google Cloud.

Se hai altri progetti Google Cloud e vuoi utilizzare gcloud per gestirli, consulta Gestione delle configurazioni di gcloud CLI.
Installa kubectl:
```
gcloud components install kubectl
```
Acquisisci nuove credenziali utente da utilizzare per Credenziali predefinite dell'applicazione. Sono necessarie le credenziali utente per autorizzare kubectl.
```
gcloud auth application-default login
```
Nella nuova scheda del browser che si apre, scegli un account.
Segui i passaggi nella guida rapida di Python per gRPC per installare gli strumenti gRPC e gRPC.

Configurazione di Endpoints

L'esempio di bookstore-grpc contiene i file che devi copiare in locale e configurare.

Crea un file descrittore autonomo di un protobuf dal file .proto del servizio:
1. Salva una copia di bookstore.proto dal repository di esempio. Questo file definisce l'API del servizio Bookstore.
2. Crea la directory seguente: mkdir generated_pb2
3. Crea il file del descrittore api_descriptor.pb utilizzando il compilatore dei buffer di protocollo protoc. Esegui questo comando nella directory in cui hai salvato bookstore.proto:
```
python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto
```
  Nel comando precedente, --proto_path è impostato sulla directory di lavoro attuale. Nel tuo ambiente di build gRPC, se utilizzi una directory diversa per i file di input .proto, modifica --proto_path in modo che il compilatore cerchi nella directory in cui hai salvato bookstore.proto.
Crea un file YAML di configurazione API gRPC:
1. Salva una copia del api_config.yamlfile. Questo file definisce la configurazione dell'API gRPC per il servizio Bookstore.
2. Sostituisci MY_PROJECT_ID nel tuo file api_config.yaml con l'ID del tuo progetto Google Cloud. Ad esempio:
```
#
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog
```
  Tieni presente che il valore del campo apis.name in questo file corrisponde esattamente al nome completo dell'API nel file .proto; altrimenti il deployment non funzionerà. Il servizio Libreria è definito in bookstore.proto all'interno del pacchetto endpoints.examples.bookstore. Il nome completo dell'API è endpoints.examples.bookstore.Bookstore, esattamente come appare nel file api_config.yaml.
```
apis:
  - name: endpoints.examples.bookstore.Bookstore
```

Per ulteriori informazioni, consulta Configurazione di Endpoints.

esegui il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione di Endpoints, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Service Infrastructure, la piattaforma di servizi di base di Google, utilizzata da Endpoints e altri servizi per creare e gestire API e servizi.

Assicurati di essere nella directory in cui si trovano i file api_descriptor.pb e api_config.yaml.
Verifica che il progetto predefinito utilizzato attualmente dallo strumento a riga di comando gcloud sia il progetto Google Cloud in cui vuoi eseguire il deployment della configurazione degli endpoint. Convalida l'ID progetto restituito dal comando seguente per assicurarti che il servizio non venga creato nel progetto sbagliato.
```
gcloud config list project
```
Se devi modificare il progetto predefinito, esegui il comando seguente:
```
gcloud config set project YOUR_PROJECT_ID
```
Esegui il deployment del file proto descriptor e del file di configurazione utilizzando Google Cloud CLI:
```
gcloud endpoints services deploy api_descriptor.pb api_config.yaml
```
Durante la creazione e la configurazione del servizio, Service Management genera informazioni nel terminale. Al termine del deployment, viene visualizzato un messaggio simile al seguente:
```
Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
```
CONFIG_ID è l'ID univoco della configurazione del servizio Endpoints creato dal deployment. Ad esempio:
```
Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
```
Nell'esempio precedente, 2017-02-13r0 è l'ID di configurazione del servizio e bookstore.endpoints.example-project.cloud.goog è il nome del servizio. L'ID di configurazione del servizio è costituito da un timestamp con un numero di revisione. Se esegui nuovamente il deployment della configurazione Endpoint, lo stesso giorno, il numero di revisione viene aumentato nell'ID configurazione del servizio.

Controllo dei servizi richiesti

Come minimo, Endpoints ed ESP richiedono l'abilitazione dei seguenti servizi Google:

Nome	Titolo
`servicemanagement.googleapis.com`	API Service Management
`servicecontrol.googleapis.com`	API Service Control
`endpoints.googleapis.com`	Google Cloud Endpoints

Nella maggior parte dei casi, il comando gcloud endpoints services deploy abilita questi servizi richiesti. Tuttavia, il comando gcloud viene completato correttamente, ma non abilita i servizi richiesti nelle seguenti circostanze:

Se hai utilizzato un'applicazione di terze parti come Terraform e non includi questi servizi.
Hai eseguito il deployment della configurazione di Endpoints in un progetto Google Cloud esistente in cui questi servizi sono stati disabilitati esplicitamente.

Utilizza il seguente comando per confermare che i servizi richiesti siano abilitati:

gcloud services list

Se i servizi richiesti non sono elencati, abilitali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
gcloud services enable endpoints.googleapis.com

Abilita anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare ENDPOINTS_SERVICE_NAME puoi:

Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoint nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME è mostrato sotto la colonna Nome servizio.
Per OpenAPI, il valore ENDPOINTS_SERVICE_NAME è quello specificato nel campo host della specifica OpenAPI. Per gRPC, il valore ENDPOINTS_SERVICE_NAME è quello specificato nel campo name della configurazione degli endpoint gRPC.

Per maggiori informazioni sui comandi gcloud, consulta la pagina relativa ai servizi gcloud.

Se viene visualizzato un messaggio di errore, consulta Risoluzione dei problemi di deployment della configurazione di Endpoints.

Per ulteriori informazioni, consulta Eseguire il deployment della configurazione di Endpoints.

Creazione di credenziali per il servizio

Per fornire la gestione della tua API, sia ESP che ESPv2 richiedono i servizi in Service Infrastructure. Per chiamare questi servizi, ESP ed ESPv2 devono utilizzare i token di accesso. Quando esegui il deployment di ESP o ESPv2 in ambienti Google Cloud, come GKE o Compute Engine, ESP ed ESPv2 ricevono token di accesso per te tramite il servizio di metadati Google Cloud.

Quando esegui il deployment di ESP o ESPv2 in un ambiente non Google Cloud, come il tuo desktop locale, un cluster Kubernetes on-premise o un altro cloud provider, devi fornire un file JSON dell'account di servizio contenente una chiave privata. ESP ed ESPv2 utilizzano l'account di servizio per generare token di accesso per chiamare i servizi necessari per gestire l'API.

Puoi utilizzare la console Google Cloud o Google Cloud CLI per creare l'account di servizio e il file di chiave privata:

Console

Nella console Google Cloud, apri la pagina Account di servizio .
Vai alla pagina Account di servizio
Fai clic su Seleziona un progetto.
Seleziona il progetto in cui è stata creata l'API e fai clic su Apri.
Fai clic su + Crea account di servizio.
Nel campo Nome account di servizio, inserisci il nome dell'account di servizio.
Fai clic su Crea.
Fai clic su Continua.
Fai clic su Fine.
Fai clic sull'indirizzo email dell'account di servizio appena creato.
Fai clic su Chiavi.
Fai clic su Aggiungi chiave, quindi su Crea nuova chiave.
Fai clic su Crea. Un file di chiave JSON viene scaricato sul computer.

Assicurati di archiviare il file della chiave in modo sicuro, poiché può essere utilizzato per l'autenticazione come account di servizio. Puoi spostare e rinominare questo file come preferisci.
Fai clic su Chiudi.

`gcloud`

Inserisci quanto segue per visualizzare gli ID dei tuoi progetti Google Cloud:
```
gcloud projects list
```
Sostituisci PROJECT_ID nel comando seguente per impostare il progetto predefinito su quello in cui si trova la tua API:
```
gcloud config set project PROJECT_ID
```
Importante: devi creare l'account di servizio nello stesso progetto in cui si trova l'API.
Assicurati che Google Cloud CLI (gcloud) sia autorizzato ad accedere ai tuoi dati e servizi su Google Cloud:
```
gcloud auth login
```
Se disponi di più account, assicurati di scegliere quello presente nel progetto Google Cloud in cui si trova l'API. Se esegui gcloud auth list, l'account selezionato viene mostrato come account attivo per il progetto.
Per creare un account di servizio, esegui questo comando e sostituisci SERVICE_ACCOUNT_NAME e My Service Account con il nome e il nome visualizzato che vuoi utilizzare:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
   --display-name "My Service Account"
```
Il comando assegna un indirizzo email all'account di servizio nel seguente formato:

SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Questo indirizzo email è obbligatorio nei comandi successivi.

Crea un file della chiave dell'account di servizio:

gcloud iam service-accounts keys create ~/service-account-creds.json \
   --iam-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP ed ESPv2 e i ruoli IAM richiesti all'account di servizio collegato per accedere a queste risorse.

Configurazione servizio endpoint

ESP ed ESPv2 chiamano Service Control, che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM ed ESP ed ESPv2 devono avere il ruolo Controller di servizio per accedervi.

Il ruolo IAM si trova sulla configurazione del servizio endpoint, non sul progetto. Un progetto può avere più configurazioni di servizi endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio collegato per la configurazione del servizio endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio collegato.

Cloud Trace

ESP ed ESPv2 chiamano il servizio Cloud Trace per esportare Trace in un progetto. Questo progetto è chiamato progetto di tracciamento. In ESP, il progetto di tracciamento e il progetto proprietario della configurazione del servizio endpoint sono gli stessi. In ESPv2, il progetto di tracciamento può essere specificato con il flag --tracing_project_id e il progetto predefinito è il progetto di deployment.

ESP ed ESPv2 richiedono il ruolo Agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo all'account di servizio collegato:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è l'account di servizio collegato. Per maggiori informazioni, vedi Cosa sono i ruoli e le autorizzazioni?

Vedi gcloud iam service-accounts per ulteriori informazioni sui comandi.

esegui il deployment del backend dell'API

Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice per il backend dell'API. Questa sezione illustra come eseguire il deployment in Kubernetes dei container predefiniti per l'API di esempio e ESP.

Fornire le credenziali del servizio a ESP

ESP, che viene eseguito all'interno di un container, deve accedere alle credenziali archiviate localmente nel file service-account-creds.json. Per consentire a ESP di accedere alle credenziali, devi creare un secret Kubernetes e montare il secret Kubernetes come volume Kubernetes.

Per creare il secret Kubernetes e montare il volume:

Se hai utilizzato la console Google Cloud per creare l'account di servizio, rinomina il file JSON in service-account-creds.json. Spostalo nella stessa directory in cui si trovano i file api_descriptor.pb e api_config.yaml.
Crea un secret Kubernetes con le credenziali dell'account di servizio:
```
 kubectl create secret generic service-account-creds
      --from-file=service-account-creds.json
```
Se l'operazione riesce, viene visualizzato il messaggio secret "service-account-creds" created.

Il file manifest di deployment che utilizzi per eseguire il deployment dell'API e dell'ESP in Kubernetes contiene già il volume del secret, come mostrato nelle seguenti due sezioni del file:

volumes:
  - name: service-account-creds
    secret:
      secretName: service-account-creds

volumeMounts:
  - mountPath: /etc/nginx/creds
    name: service-account-creds
    readOnly: true

Configurazione del nome del servizio e avvio del servizio

ESP deve conoscere il nome del tuo servizio per trovare la configurazione di cui hai eseguito il deployment in precedenza utilizzando il comando gcloud endpoints services deploy.

Per configurare il nome del servizio e avviarlo:

Salva una copia del file manifest di deployment, k8s-grpc-bookstore.yaml, nella stessa directory in cui si trova service-account-creds.json.
Apri k8s-grpc-bookstore.yaml e sostituisci SERVICE_NAME con il nome del tuo servizio Endpoints. Si tratta dello stesso nome che hai configurato nel campo name del file api_config.yaml.
```
containers:
  - name: esp
    image: gcr.io/endpoints-release/endpoints-runtime:1
    args: [
      "--http2_port=9000",
      "--service=SERVICE_NAME",
      "--rollout_strategy=managed",
      "--backend=grpc://127.0.0.1:8000",
      "--service_account_key=/etc/nginx/creds/service-account-creds.json"
    ]
```
L'opzione --rollout_strategy=managed configura ESP in modo che utilizzi l'ultima configurazione del servizio di cui è stato eseguito il deployment. Quando specifichi questa opzione, fino a cinque minuti dopo il deployment di una nuova configurazione del servizio, ESP rileva la modifica e inizia automaticamente a utilizzarla. Ti consigliamo di specificare questa opzione anziché un ID di configurazione specifico per ESP. Per maggiori dettagli sugli argomenti ESP, consulta Opzioni di avvio ESP.

Nota: se utilizzi MiniKube, devi modificare il campo del servizio type da LoadBalancer a NodePort nel file di configurazione.
Nota: ti consigliamo di impostare imagePullPolicy nelle specifiche del container su Always. Ciò consentirà ai pod appena creati di eseguire sempre il pull della versione più recente di ESP. Per maggiori dettagli, leggi le best practice per la configurazione. Quando viene rilasciata una nuova versione di ESP, puoi eseguire un riavvio in sequenza di tutti i pod per assicurarti che venga utilizzata la versione più recente.
Avvia il servizio per eseguirne il deployment su Kubernetes:
```
kubectl create -f k8s-grpc-bookstore.yaml
```
Se viene visualizzato un messaggio di errore simile al seguente:
```
The connection to the server localhost:8080 was refused - did you specify the right host or port?
```
Questo indica che kubectl non è configurato correttamente. Per ulteriori informazioni, consulta Configurare kubectl.

Ottenere l'indirizzo IP esterno del servizio

Per inviare richieste all'API di esempio è necessario l'indirizzo IP esterno del servizio. Dopo l'avvio del servizio nel container, potrebbero essere necessari alcuni minuti prima che l'indirizzo IP esterno sia pronto.

Visualizza l'indirizzo IP esterno:
```
kubectl get service
```
Prendi nota del valore di EXTERNAL-IP e salvalo in una variabile di ambiente SERVER_IP come viene utilizzato per l'invio delle richieste all'API di esempio.
```
export SERVER_IP=YOUR_EXTERNAL_IP
```

Invio di una richiesta all'API

Per inviare richieste all'API di esempio, puoi utilizzare un client gRPC di esempio scritto in Python.

Clona il repository Git in cui è ospitato il codice client gRPC:

git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

Cambia la directory di lavoro:

cd python-docs-samples/endpoints/bookstore-grpc/

Installa le dipendenze:

pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

Invia una richiesta all'API di esempio:
```
python bookstore_client.py --host SERVER_IP --port 80
```
- Consulta i grafici delle attività per la tua API nella pagina Endpoint > Servizi.
  
  Vai alla pagina Servizi endpoint
  
  Potrebbero essere necessari alcuni istanti perché la richiesta venga riportata nei grafici.
- Esamina i log delle richieste per la tua API nella pagina Esplora log.
  
  Vai alla pagina Esplora log

Se non ottieni una risposta corretta, consulta la sezione Risoluzione degli errori di risposta.

Hai eseguito il deployment e il test di un'API in Endpoints.

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina l'API:
```
gcloud endpoints services delete SERVICE_NAME
```
Sostituisci SERVICE_NAME con il nome della tua API.

Elimina il cluster GKE:

gcloud container clusters delete NAME --zone ZONE

Passaggi successivi

Scopri come configurare la tua API gRPC per Endpoints.
Configura il DNS:
- Configurazione del DNS nel dominio cloud.goog.
- Verificare un nome di dominio.
Dai un'occhiata più da vicino all'app di esempio Bookstore su GitHub. Sia il client che il server sono disponibili in Python e Java.
L'esempio getting-started-grpc è disponibile su GitHub nei seguenti linguaggi:
- Java
- Python
- Ruby
- Go
- Node.js