Configurar o gRPC do Cloud Endpoints para veiculação do Knative com o ESPv2
Esta página mostra como configurar o Cloud Endpoints para o serviço do Knative. O Endpoints usa o Extensible Service Proxy V2 (ESPv2) como um gateway de API. Para fornecer gerenciamento de API para o serviço Knative, implante o contêiner ESPv2 pré-construído no serviço Knative em execução em um cluster do GKE.
Com essa configuração, o ESPv2 intercepta todas as solicitações e executa as verificações necessárias, como a autenticação, antes de invocar o serviço. Quando o serviço responde, a telemetria é coletada e relatada pelo ESPv2.
Para uma visão geral do Endpoints, consulte Sobre o Endpoints e Arquitetura do Endpoints.
Lista de tarefas
Ao seguir o tutorial, use a lista de tarefas abaixo. Todas as tarefas são necessárias para concluir este tutorial.
Crie um Google Cloud projeto e, se você não tiver implantado seu próprio serviço Knative, implante um serviço de amostra. Consulte Antes de começar.
Crie um cluster do GKE com a exibição do Knative ativada.
Implante um exemplo de gRPC do serviço de veiculação do Knative.
Crie um documento de configuração da API gRPC que descreva sua API Endpoints e configure as rotas para o serviço de veiculação do Knative. Consulte Como configurar o Endpoints.
Implante o documento de configuração da API gRPC para criar um serviço gerenciado. Consulte Como implantar a configuração do Endpoints.
Crie uma nova imagem do Docker do ESPv2 com a configuração do serviço do Endpoints. Consulte Como criar uma nova imagem do ESPv2.
Implante a nova imagem de serviço Knative do ESPv2. Consulte Como implantar a imagem ESPv2 Beta do Cloud Run.
Crie um mapeamento de domínio para o serviço de veiculação do Knative ESPv2.
Teste sua configuração em Como enviar uma solicitação para a API.
Rastrear a atividade para seus serviços. Consulte Como rastrear a atividade da API.
Custos
Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:
Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços.
Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Anote o ID do projeto, porque ele será necessário mais tarde. No restante desta página, esse ID do projeto é chamado de ESP_PROJECT_ID.
- Faça o download e instale a CLI gcloud.
Como configurar a linha de comando gcloud
Para configurar a CLI gcloud para o serviço Knative no Anthos:
Verifique se a CLI gcloud está autorizada a acessar seus dados e serviços.
Faça login.
gcloud auth login
Na nova guia do navegador que é aberta, escolha uma conta que tenha o papel de Editor ou Proprietário no projeto do Google Cloud que você criou para implantar o ESPv2 no serviço Knative.
Atualize os componentes do
gcloud
instalados:gcloud components update
Defina a plataforma como
gke
e defina a configuração de projeto padrão paragcloud
como a que você acabou de criar:gcloud config set run/platform gke
gcloud config set project ESP_PROJECT_ID
Substitua ESP_PROJECT_ID pelo ID do projeto que você criou.
Defina a zona que você quer para o novo cluster. É possível usar qualquer zona compatível com o GKE, por exemplo:
gcloud config set compute/zone ZONE
Substitua ZONE pela sua zona. Por exemplo, use
us-central1-a
. É possível usar qualquer zona compatível com o GKE.Ative as APIs do projeto a seguir, necessárias para criar um cluster, criar e publicar um contêiner no Artifact Registry:
gcloud services enable container.googleapis.com artifactregistry.googleapis.com cloudbuild.googleapis.com
Como criar um cluster do GKE com a exibição do Knative ativada
Para criar um cluster e ativá-lo para o serviço Knative no Google Cloud:
Crie um cluster novo usando o comando:
gcloud container clusters create CLUSTER_NAME \ --addons=HttpLoadBalancing,CloudRun \ --machine-type=n1-standard-4 \ --num-nodes=3
Substitua CLUSTER_NAME pelo nome do seu cluster.
Embora essas instruções não permitam que o escalonamento automático de cluster redimensione clusters para demanda, o serviço Knative no Google Cloud escalona automaticamente as instâncias no cluster.
Aguarde a conclusão da criação do cluster. Durante o processo de criação, você verá mensagens semelhantes a estas:
Creating cluster CLUSTER_NAME...done. Created [https://container.googleapis.com/v1/projects/ESP_PROJECT_ID/zones/ZONE/clusters/CLUSTER_NAME].
A saída também mostra a versão do cluster na coluna
NODE_VERSION
da saída. Por exemplo,1.15.11-gke.1
ou1.14.10-gke.27
. Anote a versão do cluster para uso posterior neste documento.Defina os padrões do
gcloud
para usar o novo cluster e o local do cluster para evitar a necessidade de especificá-los ao usar a CLI gcloud:gcloud config set run/cluster CLUSTER_NAME
gcloud config set run/cluster_location ZONE
Use o seguinte comando para ver detalhes sobre o novo cluster:
gcloud container clusters describe CLUSTER_NAME
Use o seguinte comando para buscar credenciais para o cluster:
gcloud container clusters get-credentials CLUSTER_NAME
Como implantar um serviço gRPC de amostra do Cloud Run
Para implantar o contêiner de amostra do Cloud Run for Anthos "grpc-bookstore" no cluster que você acabou de criar:
Siga as etapas no Guia de início rápido do gRPC em Python para instalar o gRPC e as ferramentas dele.
Esta amostra do servidor gRPC contém uma imagem do Docker pré-criada para o "grpc-bookstore service" do Python:
gcr.io/endpointsv2/python-grpc-bookstore-server:2
. Use o seguinte comando para implantar "grpc-bookstore" no cluster:gcloud run deploy GRPC_SERVICE \ --image=gcr.io/endpointsv2/python-grpc-bookstore-server:2 \ --platform=gke \ --connectivity=internal \ --use-http2
Observe que isso é especificado como um serviço interno para que o serviço não seja acessível externamente.
Substitua GRPC_SERVICE pelo nome do serviço. Exemplo:
gcloud run deploy grpc-bookstore \ --image=gcr.io/endpointsv2/python-grpc-bookstore-server:2 \ --platform=gke \ --connectivity=internal \ --use-http2
Quando terminar, a seguinte mensagem será exibida:
Service [grpc-bookstore] revision [grpc-bookstore-00001-nuk] has been deployed and is serving 100 percent of traffic at http://grpc-bookstore.default.svc.cluster.local
Quando você cria um serviço interno, o GKE cria um nome DNS (
grpc-bookstore.default.svc.cluster.local
neste exemplo) que só pode ser resolvido para solicitações originadas no próprio cluster, não para solicitações externas. Não é possível acessar esse DNS externamente no cluster. Consulte Serviços do Cloud Run para saber mais.Para verificar se o serviço está funcionando corretamente, implante um pod com a mesma imagem do Docker no cluster. A imagem contém o código do cliente gRPC para "grpc-bookstore" que você pode usar para testar o serviço interno.
Use o seguinte comando
kubectl
para implantar um pod no mesmo cluster que você implantou acima:kubectl run grpc --generator=run-pod/v1 \ --image=gcr.io/endpointsv2/python-grpc-bookstore-server:2
Essa imagem contém o script
bookstore_client.py
que você pode usar para fazer solicitações de cliente no cluster.Observação: para versões mais recentes do
kubectl
, o comando pode emitir o seguinte aviso:Flag --generator has been deprecated, has no effect and will be removed in the future".
Você pode ignorar esse aviso.
Receba o nome do pod "grpc-bookstore" criado no cluster quando você implantou a imagem do Docker na etapa anterior:
kubectl get pods
Você verá a saída no formulário:
NAME READY STATUS RESTARTS AGE grpc 1/1 Running 0 23h
Em que
grp
é o nome do pod "grpc-bookstore". Certifique-se de que o Status do pod esteja Em execução antes de continuar.Use o seguinte comando para fazer uma solicitação de cliente ao serviço "grpc-bookstore":
kubectl exec grpc -ti -- python3 bookstore_client.py \ --host grpc-bookstore.default.svc.cluster.local --port=80
Esse comando executa o script
bookstore_client.py
internamente no cluster para fazer uma solicitação gRPC para o serviço "grpc-bookstore" no nome do hostgrpc-bookstore.default.svc.cluster.local
.Se tudo estiver funcionando corretamente, você verá uma resposta no formulário:
ListShelves: shelves { id: 1 theme: "Fiction" } shelves { id: 2 theme: "Fantasy" }
Como configurar o Endpoints
Você precisa ter uma especificação da API gRPC que descreva a superfície do serviço de back-end e quaisquer requisitos de autenticação.
Sobre a configuração do campo de nome da especificação da API gRPC
No campo name
da especificação da API gRPC, especifique o nome do serviço do Endpoints usado para acessar o serviço do Cloud Run for Anthos. O nome do serviço do Endpoints está na forma de um nome de domínio:
API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog
Como o nome do serviço do Endpoints corresponde a um nome de domínio, o nome precisa seguir estas regras:
- Precisa conter apenas letras minúsculas, números, pontos ou traços.
- Não pode começar com um traço.
- Não pode conter um sublinhado.
Exemplo:
grpc-boostore-api.endpoints.ESP_PROJECT_ID.cloud.goog
Como criar a especificação da API gRPC
A amostra bookstore-grpc contém os arquivos necessários para fazer cópias locais e configurações.
Crie um novo diretório para a especificação da API gRPC, como
my-anthos-grpc
. Em seguida, acesse o diretório.Clone o repositório git em que o código do cliente gRPC está hospedado no novo diretório:
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Altere o diretório de trabalho:
cd python-docs-samples/endpoints/bookstore-grpc/
Esse diretório contém o arquivo bookstore.proto. Esse arquivo define a API do serviço Bookstore.
Crie um arquivo descritor protobuf autocontido a partir do seu arquivo de serviço
.proto
:Crie o diretório
generated_pb2
no seu diretório de trabalho.Crie o arquivo de descritor,
api_descriptor.pb
, usando o compilador de buffers de protocoloprotoc
. Execute o seguinte comando no diretório que contémbookstore.proto
:python3 -m grpc_tools.protoc \ --include_imports \ --include_source_info \ --proto_path=. \ --descriptor_set_out=api_descriptor.pb \ --python_out=generated_pb2 \ --grpc_python_out=generated_pb2 \ bookstore.proto
No comando anterior,
--proto_path
está definido como o diretório de trabalho atual. No ambiente da versão do gRPC, caso você use um diretório diferente para arquivos de entrada.proto
, mude--proto_path
para que o compilador pesquise o diretório em que salvoubookstore.proto
.Modifique o arquivo
api_config_anthos.yaml
no seu diretório de trabalho atual (o mesmo diretório que contémbookstore.proto
) para adicionar o seguinte conteúdo ao arquivo:type: google.api.Service config_version: 3 # # Name of the service configuration. # name: API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog # # API title to appear in the user interface (Google Cloud console). # title: Bookstore gRPC API In Cloud Run Anthors apis: - name: endpoints.examples.bookstore.Bookstore # # Create a DNS record to map your service name to IP address # endpoints: - name: API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog target: IP_ADDRESS # # Specify the backend address to route to # backend: rules: - selector: "*" address: grpc://GRPC_SERVICE.default.svc.cluster.local disable_auth: true # # API usage restrictions. # usage: rules: # ListShelves methods can be called without an API Key. - selector: endpoints.examples.bookstore.Bookstore.ListShelves allow_unregistered_calls: true
O recuo é importante para o formato yaml.
No campo
name
, especifique o nome de domínio da API Endpoints usada para acessar o serviço do Cloud Run for Anthos, no formato:API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog
Exemplo:
grpc-bookstore-api.endpoints.ESP_PROJECT_ID.cloud.goog
A seção
endpoints
registra uma entrada DNS para o serviço do Endpoints no domíniocloud.goog
, no formato:endpoints: - name: API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog target: IP_ADDRESS
IP_ADDRESS é o IP do serviço
istio-ingress
do cluster. Para determinar esse endereço IP:Acesse a página do Google Kubernetes Engine no console do Cloud:
Clique em Serviços e entrada no painel de navegação esquerdo para exibir uma lista de serviços.
Se a versão do cluster for
1.15.3-gke.19
ou superior,1.14.3-gke.12
ou superior, ou1.13.10-gke.8
ou superior, role para baixo até o serviçoistio-ingress
. Para todas as outras versões do cluster, role para baixo até o serviçoistio-ingressgateway
.Copie o endereço IP externo mostrado ao lado do Balanceador de carga, sem a configuração de porta, se houver. Por exemplo, se o IP for
XX.XXX.XX.XXX:15020
, omitir o:15020
. Ignore os outros endereços IP listados.
O campo
address
na seçãobackend
especifica o nome DNS interno do serviço "grpc-bookstore" do Cloud Run com o esquema protogrpc://
e desativa a autenticação para este serviço:address: grpc://GRPC_SERVICE.default.svc.cluster.local disable_auth: true
Exemplo:
address: grpc://grpc-bookstore.default.svc.cluster.local disable_auth: true
Isso é necessário porque a chamada do ESPv2 para o serviço Cloud Run for Anthos é feita como uma chamada interna do cluster e, portanto, a autenticação não é necessária.
Anote o valor da propriedade
title
no arquivoapi_config_authos.yaml
:title: Bookstore gRPC API In Cloud Run Anthos
O valor da propriedade
title
se tornará o nome do serviço do Endpoints depois que você implantar a configuração.Salve o documento da API gRPC.
Para mais informações sobre os campos no documento da OpenAPI exigido pelo Endpoints, consulte Como configurar o Endpoints.
Como implantar a configuração do Endpoints
Para implantar a configuração do Endpoints, use o comando gcloud endpoints services deploy. Ele utiliza a Service Management para criar um serviço gerenciado.
Para implantar a configuração do Endpoints:
Verifique se você está no diretório que contém o documento gRPC.
Faça upload da configuração e crie um serviço gerenciado:
gcloud endpoints services deploy api_descriptor.pb api_config_anthos.yaml \ --project ESP_PROJECT_ID
Isso cria um novo serviço do Endpoints com o nome especificado no campo
name
do arquivoapi_config_anthos.yaml
. O serviço do Endpoints é configurado de acordo com o documento da OpenAPI.Durante a criação e a configuração do serviço do Endpoints, o Service Management envia informações ao terminal. Quando a implantação for concluída, uma mensagem parecida com esta será exibida:
Service Configuration [CONFIG_ID] uploaded for service [API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog]
CONFIG_ID é o ID exclusivo de configuração de serviço do Endpoints criado pela implantação. Exemplo:
Service Configuration [2019-02-01r0] uploaded for service [grpc-bookstore-api.endpoints.ESP_PROJECT_ID.cloud.goog]
O código de configuração do serviço consiste em um carimbo de data e um número de revisão. Se você implantar
api_config_anthos.yaml
novamente no mesmo dia, o número de revisão aumentará no ID de configuração do serviço. É possível conferir a configuração do serviço e o histórico de implantação na página Endpoints > Serviços no console .Se você receber uma mensagem de erro, consulte Como solucionar problemas de implantação na configuração do Endpoints.
Como verificar os serviços obrigatórios
No mínimo, o Endpoints e o ESP exigem a ativação dos seguintes serviços do Google:Nome | Título |
---|---|
servicemanagement.googleapis.com |
API Service Management |
servicecontrol.googleapis.com |
API Service Control |
Na maioria dos casos, o comando gcloud endpoints services deploy
ativa os serviços necessários. No entanto, o comando gcloud
é concluído com êxito, mas não ativa os serviços necessários nas seguintes circunstâncias:
Você usou um aplicativo de terceiros, como o Terraform, e não incluiu esses serviços.
Você implantou a configuração do Endpoints em um projeto doGoogle Cloud atual em que esses serviços foram desativados explicitamente.
Use o seguinte comando para confirmar se os serviços necessários estão ativados:
gcloud services list
Se você não encontrar os serviços necessários listados, ative-os:
gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
Ative também seu serviço do Endpoints:
gcloud services enable ENDPOINTS_SERVICE_NAME
Para determinar o ENDPOINTS_SERVICE_NAME, é possível:
Após implantar a configuração de Endpoints, acesse a página Endpoints no Console do Cloud. A lista de ENDPOINTS_SERVICE_NAME possíveis é mostrada na coluna Nome do serviço.
Para a OpenAPI, o ENDPOINTS_SERVICE_NAME é o que você especificou no campo
host
da especificação do OpenAPI. Para gRPC, o ENDPOINTS_SERVICE_NAME é o que você especificou no camponame
da configuração do gRPC Endpoints.
Para mais informações sobre os comandos gcloud
, consulte serviços gcloud
.
Como criar uma nova imagem de serviço do Knative do ESPv2
Crie a configuração do serviço do Endpoints em uma nova imagem docker do ESPv2. Depois de criar essa imagem, implante-a no cluster.
Para criar a configuração do serviço em uma nova imagem docker do ESPv2:
Faça o download deste script em sua máquina local em que a CLI gcloud está instalada e execute-o como:
chmod +x gcloud_build_image
./gcloud_build_image -s API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog \ -c CONFIG_ID -p ESP_PROJECT_ID
O script usa o comando da
gcloud
para fazer o download da configuração do serviço, criar essa configuração em uma nova imagem do ESPv2 e fazer upload da nova imagem no registro de contêiner do projeto. O script usa automaticamente a versão mais recente do ESPv2, indicada pelo ESP_VERSION no nome da imagem de saída. O upload da imagem de saída é feito para:gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:ESP_VERSION-API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog-CONFIG_ID
Como implantar a imagem de fornecimento do Knative do ESPv2
Implante a imagem do serviço de prestação do Knative ESPv2 no cluster:
Implante o serviço de fornecimento Knative do ESPv2 com a nova imagem:
gcloud run deploy ESP_V2_SERVICE_NAME \ --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog-CONFIG_ID" \ --platform gke \ --use-http2 \ --project=ESP_PROJECT_ID
Em ESP_PROJECT_ID, especifique o nome que você quer usar para o serviço ESPv2. Neste exemplo, defina ESP_V2_SERVICE_NAME como
espv2
.Se você quiser configurar o Endpoints para usar opções adicionais de inicialização do ESPv2, como a de como ativar o CORS, passe os argumentos na variável de ambiente
ESPv2_ARGS
:gcloud run deploy ESP_V2_SERVICE_NAME \ --image="gcr.io/ESP_PROJECT_ID/endpoints-runtime-serverless:API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog-CONFIG_ID" \ --set-env-vars=ESPv2_ARGS=--cors_preset=basic \ --platform gke --use-http2 \ --project ESP_PROJECT_ID
Para mais informações e exemplos sobre como configurar a variável de ambiente ESPv2_ARGS, incluindo a lista de opções disponíveis e informações sobre como especificar várias opções, consulte Sinalizações do Extensible Service Proxy V2.
Como criar um mapeamento de domínio para o serviço de veiculação do Knative ESPv2
Para poder omitir o cabeçalho host
ao fazer uma solicitação, adicione um mapeamento de domínio para o serviço ESPv2:
Selecione Gerenciar domínios personalizados.
Selecione Adicionar mapeamento.
No menu suspenso, selecione Adicionar mapeamento de domínio de serviço.
No campo Selecionar um serviço para mapear do pop-up Adicionar mapeamento, selecione o serviço ESPv2.
No campo Entrar no nome de domínio, especifique o nome de domínio que você quer usar para acessar o serviço de veiculação do Knative pelo Endpoints. Por exemplo, especifique:
API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog
Em que API_NAME é o nome da API do Endpoints. Neste exemplo, você pode usar "hello-api":
grpc-bookstore-api.endpoints.ESP_PROJECT_ID.cloud.goog
Clique em Continuar. Um resumo do mapeamento é exibido.
Selecione Concluído para salvar o mapeamento.
Como enviar solicitações à API
Para enviar solicitações à API de amostra, use um cliente gRPC de amostra escrito em Python.
Verifique se você está no diretório que contém os documentos do gRPC, como
api_config_anthos.yaml
.Instale as dependências:
pip3 install virtualenv
virtualenv env
source env/bin/activate
pip3 install -r requirements.txt
Envie uma solicitação à API de amostra:
python3 bookstore_client.py --host API_NAME.endpoints.ESP_PROJECT_ID.cloud.goog --port 80
Exemplo:
python3 bookstore_client.py --host grpc-bookstore-api.endpoints.ESP_PROJECT_ID.cloud.goog --port 80
Se tudo estiver funcionando corretamente, você verá uma resposta no formulário:
ListShelves: shelves { id: 1 theme: "Fiction" } shelves { id: 2 theme: "Fantasy" }
Veja os gráficos de atividade da API na página Endpoints > Serviços.
Ir para a página Serviços do Endpoints
Pode levar alguns instantes até a solicitação aparecer nos gráficos.
Verifique os registros de solicitações da API na página "Explorador de registros".
Se não receber uma resposta bem-sucedida, consulte Como solucionar problemas em erros de resposta.
Você acaba de implantar e testar uma API no Endpoints.
Como configurar a API Endpoints para usar HTTPS
O suporte automático a TLS está desativado por padrão para o Knative serving no Google Cloud. Portanto, neste exemplo, ao acessar a API Endpoints por meio do ESPv2, você faz a chamada usando HTTP.
Você pode configurar o ESPv2 para oferecer suporte a solicitações usando HTTPS. Observe que você configura a compatibilidade com HTTPS no ESPv2, o serviço externo, não no "hello", o serviço de back-end interno.
Para oferecer suporte a HTTPS com o ESPv2, você precisa:
Tenha um domínio. Se você não tiver um domínio, poderá conseguir um do Google ou de outro fornecedor de domínio.
Crie um mapeamento de domínio para o serviço ESPv2 e atualize o registro DNS seguindo as instruções na página de mapeamento de domínios.
Se você recebeu seu domínio do Google Domains, use-o como seu servidor DNS. Caso contrário, use Cloud DNS ou um servidor DNS de sua escolha. Usar um domínio do Google Domains é a opção mais fácil.
Na especificação OpenAPI do Endpoints:
Defina o campo
name
para se referir ao seu domínio em vez de*.cloud.goog
.Remova a tag
endpoints
e as duas propriedades filho.
Para instruções completas e um tutorial, consulte Como ativar certificados HTTPS e TLS automáticos.
Rastrear a atividade da API
Confira os gráficos de atividade da API na página Endpoints > Serviço no console Google Cloud .
Ver gráficos de atividades do Endpoints
Pode levar alguns instantes até a solicitação aparecer nos gráficos.
Verifique os registros de solicitações da API na página "Visualizador de registros".
Como criar um portal do desenvolvedor para a API
É possível usar o Portal do Cloud Endpoints para criar um portal do desenvolvedor, um site que você pode usar para interagir com a API de amostra. Para saber mais, consulte a Visão geral do Portal do Cloud Endpoints.
Limpar
Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.
Consulte Como excluir uma API e as instâncias relacionadas para mais informações sobre como interromper os serviços usados neste tutorial.