Esegui la migrazione a Extensible Service Proxy 2

Extensible Service Proxy V2 (ESPv2) è un proxy basato su Envoy che consente a Cloud Endpoints di fornire funzionalità di gestione delle API. ESPv2 sostituisce l'Extensible Service Proxy (ESP) basato su NGINX.

Questo documento descrive come eseguire la migrazione di un deployment esistente dell'API Endpoints da ESP a ESPv2.

Prima di iniziare

Prima di iniziare la migrazione, tieni presente i casi d'uso non supportati e le modifiche alle API che comportano interruzioni descritte di seguito.

Casi d'uso di ESPv2 non supportati

  • L'ambiente flessibile di App Engine non è supportato

    L'ambiente flessibile di App Engine dispone di un supporto integrato per gli endpoint che è abilitato impostando endpoints_api_service nel file app.yaml dell'applicazione. Questa implementazione integrata di Endpoints supporta solo ESP; non è possibile eseguirne la migrazione a ESPv2.

    Se vuoi utilizzare ESPv2 con l'ambiente flessibile di App Engine, disattiva endpoints_api_service in app.yaml. Puoi eseguire il deployment di ESPv2 come servizio Cloud Run separato utilizzato per gestire la tua applicazione nell'ambiente flessibile di App Engine. Il deployment funziona allo stesso modo in cui ESPv2 è usato per supportare l'ambiente standard di App Engine.

  • La configurazione NGINX personalizzata non è supportata

    ESPv2 è un proxy basato su Envoy. Non può supportare la configurazione del proxy NGINX personalizzato. Se la configurazione dell'ESP utilizza i flag -n o --nginx_config, l'implementazione potrebbe fare affidamento su una configurazione NGINX personalizzata di cui non è possibile eseguire facilmente la migrazione a ESPv2.

Modifiche che provocano un errore

  • Il formato dei dati dell'intestazione X-Endpoint-API-UserInfo è stato modificato. Se la tua applicazione utilizza questa intestazione, deve essere modificata per utilizzare il nuovo formato. Per maggiori dettagli, consulta Gestire i JWT nel servizio di backend.
  • Se per una richiesta è richiesta una chiave API, ESP invia l'intestazione X-Endpoint-API-Project-ID con l'ID progetto del consumatore all'applicazione di backend. ESPv2 utilizza due diverse intestazioni,X-Endpoint-API-Consumer-Type e X-Endpoint-API-Consumer-Number, per inviare i dettagli richiesti. Per ulteriori dettagli sul servizio, consulta la documentazione di riferimento dell'infrastruttura dei servizi Consumer-Type e Consumer-Number inviati con queste intestazioni.

  • Il formato del corpo della risposta di errore HTTP è stato modificato. Quando ESPv2 rifiuta una richiesta HTTP, genera un corpo della risposta di errore in un nuovo formato. Se le tue utilizza il codice client per elaborare il corpo della risposta JSON dell'errore HTTP, il codice client deve essere aggiornato. Per ulteriori dettagli, consulta Corpo della risposta JSON dell'errore HTTP.

  • Sono disponibili nuovi flag di avvio e alcuni flag ESP sono stati deprecati o sostituiti in ESPv2. Consulta Modifiche al flag di avvio tra ESP ed ESPv2.

Migrazione delle API Endpoints per l'utilizzo di ESPv2

I passaggi di migrazione necessari per utilizzare ESPv2 con piattaforme serverless (Cloud Run, funzioni di Cloud Run, App Engine) sono diversi da quelli richiesti per le piattaforme non serverless (Google Kubernetes Engine, Compute Engine e Kubernetes).

I passaggi di migrazione richiesti per ogni tipo di piattaforma sono descritti di seguito:

Piattaforme non serverless: GKE, Compute Engine, Kubernetes

ESPv2 è un sostituto temporaneo per ESP. Per la maggior parte delle configurazioni, è sufficiente aggiornare il tag immagine Docker.

Tuttavia, potresti dover modificare i flag di avvio se hai configurato ESP con:

  • Più di una porta tramite i flag --http_port, http2_port e/o --ssl_port.
  • SSL, DNS, Client IP o un altro flag raramente utilizzato.

Sono disponibili nuovi flag di avvio per ESPv2 e alcuni flag ESP sono stati deprecati o sostituiti. Per maggiori dettagli, vedi Modifiche relative ai flag di avvio tra ESP ed ESPv2.

GKE e Kubernetes

Per eseguire la migrazione delle configurazioni di Endpoints per GKE e Kubernetes, modifica l'immagine ESP tag da :1 a :2 nel file yaml di deployment. Ad esempio:

- name: esp
  image: gcr.io/endpoints-release/endpoints-runtime:2
  args: [
    "--http_port=8081",
    "--backend=127.0.0.1:8080",
    "--service=SERVICE_NAME",
    "--rollout_strategy=managed",
  ]

Compute Engine

Sia ESP che ESPv2 vengono dispiegamento nel contenitore Docker utilizzando il comando docker run. Per eseguire la migrazione di Endpoints per Compute Engine a ESPv2, aggiorna il tag dell'immagine Docker da :1 a :2 nel comando. Ad esempio:

sudo docker run \
    --detach \
    DOCKER_ARGUMENTS \
    gcr.io/endpoints-release/endpoints-runtime:2 \
    --service=SERVICE_NAME \
    --rollout_strategy=managed \
    --backend=YOUR_API_CONTAINER_NAME:8080

Piattaforme serverless (Cloud Run, Cloud Functions, App Engine)

Per le piattaforme serverless, il deployment di ESPv2 viene eseguito come servizio Cloud Run per gestire l'applicazione in esecuzione su Cloud Run, Cloud Function o App Engine. Per eseguire la migrazione di Endpoints a ESPv2, devi creare la configurazione esistente del servizio Endpoints in una nuova immagine Docker ESPv2, quindi eseguire il deployment dell'immagine nel servizio Cloud Run ESPv2.

I passaggi di deployment per ESP e ESPv2 sono identici, ad eccezione dei seguenti dettagli:

  • Il tag immagine deve essere modificato da :1 a :2 in ESPv2 quando esegui il deployment di ESPv2 in Cloud Run. Ad esempio:

    gcloud run deploy CLOUD_RUN_SERVICE_NAME \
    --image="gcr.io/endpoints-release/endpoints-runtime-serverless:2" \
    --allow-unauthenticated \
    --platform managed \
    --project=ESP_PROJECT_ID  
  • Lo script gcloud_build_image viene scaricato da una posizione diversa. Utilizza gcr.io/endpoints-release/endpoints-runtime-serverless:2 come immagine di base.

  • Una variabile di ambiente viene utilizzata per specificare i flag di avvio. Il nome della variabile per ESP è ESP_ARGS. Il nome di ESPv2 è ESPv2_ARGS. Vedi Opzioni di avvio di Extensible Service Proxy V2 per ulteriori informazioni sull'impostazione di ESPv2_ARGS e sui flag di avvio disponibili.

Modifiche al flag di avvio tra ESP ed ESPv2

Come per Extensible Service Proxy, puoi specificare i flag di configurazione quando esegui il deployment dei servizi ESPv2. Con il passaggio dall'ESP basato su NGINX all'ESPv2 basato su Envoy, alcuni flag sono stati ritirati o sostituiti e ne sono stati aggiunti di nuovi. Questa sezione utilizza tre tabelle per descrivere le modifiche:

  • La tabella 1 descrive i nuovi flag che sostituiscono quelli non più supportati.
  • La tabella 2 descrive i nuovi flag.
  • La tabella 3 descrive i flag ritirati.

Flag sostituiti

Nuove segnalazioni Flag sostituiti Descrizione
--listener_port --http_port, --http2_port, --ssl_port Una singola porta di ascolto Envoy supporta http, http2 e ssl in ESPv2. Non è necessario specificare porte separate.
--ssl_server_cert_path --ssl_port Quando viene utilizzato --ssl_server_cert_path, ESPv2 utilizza i certificati dei file server.key e server.crt. Con ESPv2 puoi specificare percorsi dei certificati del server diversi da /etc/nginx/ssl. Questo flag sostituisce --ssl_port in ESP, che utilizza i certificati dei percorsi dei file /etc/nginx/ssl/nginx.key e /etc/nginx/ssl/nginx.crt.
--ssl_backend_client_cert_path --tls_mutual_auth, --enable_grpc_backend_ssl, --grpc_backend_ssl_private_key_file, --grpc_backend_ssl_cert_chain_file Quando viene usato --ssl_backend_client_cert_path, ESPv2 usa i certificati di client.key e client.crt file. Con ESPv2, puoi specificare percorsi dei certificati client diversi da /etc/nginx/ssl. Questo flag sostituisce --tls_mutual_auth in ESP, che utilizza i certificati dei percorsi dei file /etc/nginx/ssl/backend.key e /etc/nginx/ssl/backend.crt.
--ssl_backend_client_root_certs_file --grpc_backend_ssl_root_certs_file Con ESPv2, --ssl_backend_client_root_certs_file funziona per tutti i backend. Questo flag sostituisce --grpc_backend_ssl_root_certs_file in ESP, che funziona solo per i backend gRPC.
--ssl_minimum_protocol,--ssl_maximum_protocol --ssl_protocols Quando utilizzi --ssl_protocols in ESP, devi elencare tutti i protocolli SSL desiderati. In ESPv2, puoi specificare con i protocolli Min e Max.
--envoy_use_remote_address,--envoy_xff_num_trusted_hops --xff_trusted_proxy_list,--client_ip_header,--client_ip_position Envoy richiede use_remote_address e xff_num_trusted_hops per configurare l'estrazione dell'IP del client.
--dns_resolver_addresses --dns Il flag di sostituzione ha lo stesso comportamento, ma un valore predefinito diverso. L'ESP utilizza 8.8.8.8 come resolver DNS. ESPv2 utilizza il resolver DNS configurato in /etc/resolv.conf.
--service_account_key --non_gcp, --service_account_key In ESP, il flag --service_account_key consente implicitamente il deployment su piattaforme diverse da Google Cloud. Impedisce a ESP di chiamare il server di metadati dell'istanza. In ESPv2, questo comportamento implicito è suddiviso in un altro flag. Potresti dover aggiungere --non_gcp durante la migrazione, altrimenti ESPv2 non verrà avviato su piattaforme diverse da Google Cloud.

Nuovi flag

Nuovi flag Descrizione
--http_request_timeout_s Imposta il timeout per tutte le chiamate remote http/https, ad eccezione delle chiamate backend e Chiamate a Google Service Control, in pochi secondi.
--service_control_check_timeout_ms Imposta il timeout per le chiamate a Google Service Control Check in millisecondi.
--service_control_report_timeout_ms Imposta il timeout per le chiamate a Google Service Control Report.
--service_control_quota_timeout_ms Imposta il timeout per le chiamate a Quota di Google Service Control.
--service_control_check_retries Specifica il numero di tentativi per le chiamate di Controllo di Google Service Control.
--service_control_report_retries Specifica il numero di tentativi per le chiamate al report di Google Service Control.
--service_control_quota_retries Specifica il numero di nuovi tentativi per le chiamate a Google Service Control Quota.
--backend_dns_lookup_family Configurazione specifica di Envoy utilizzata per definire la famiglia di ricerca DNS per tutti i backend.
--disable_tracing Un flag complessivo utilizzato per disabilitare tutte le tracce.
--tracing_project_id Utilizzato per impostare l'ID del progetto proprietario dei dati traccia.
--tracing_incoming_context utilizzato per specificare il contesto della traccia in entrata.
--tracing_outgoing_context Utilizzato per specificare il contesto in uscita.

Flag ritirati

Flag deprecati Descrizione
--enable_websocket Websocket è attivo per impostazione predefinita in Envoy.
--experimental_proxy_backend_host_header Non supportati.
--allow_invalid_headers Non supportati. Questa è una configurazione NGINX: ignore_invalid_headers. Se una richiesta HTTP ha nomi di intestazione non validi, verrà rifiutata da ESPv2. I nomi delle intestazioni validi sono composti da lettere dell'alfabeto inglese, cifre, trattini e possibilmente trattini bassi. In ESPv2, il flag --underscores_in_headers determina se sono consentiti i trattini bassi nelle intestazioni.
--client_max_body_size Configurazione NGINX, non supportata.
--client_body_buffer_size Configurazione NGINX, non supportata.
--large_client_header_buffers Configurazione NGINX, non supportata.
--keepalive_timeout Configurazione NGINX, non supportata.
--client_body_timeout Configurazione NGINX, non supportata.
--rewrite Non supportati.
--experimental_enable_multiple_api_configs Non supportati.
--enable_backend_routing Non è necessario. Il routing di backend viene abilitato automaticamente per le piattaforme serverless.
--rollout_fetch_throttle_window_in_s Non è necessario.
--nginx_config Non supportati.

Per ulteriori dettagli sui flag di avvio di ESPv2, consulta Opzioni di avvio di Extensible Service Proxy V2. Ulteriori esempi generici e testo della guida per i flag sono disponibili nel repository GitHub.

Località JWT predefinite

Per impostazione predefinita, un JWT viene passato nell'intestazione Authorization (con prefisso "Bearer"), nell'intestazione X-Goog-Iap-Jwt-Assertion o nel parametro di query access_token. Queste località sono supportate sia da ESP che da ESPv2. Puoi anche passare un JWT nell'intestazione Authorization (senza prefisso) quando utilizzi ESP. Tuttavia, questa località non è supportata in ESPv2.

Se vuoi continuare a trasmettere i token JWT utilizzando l'intestazione Authorization (senza prefisso) dopo la migrazione a ESPv2, puoi:

x-google-jwt-locations:
- header: "Authorization"
jwt_locations:
- header: Authorization

Gestire i JWT nel servizio di backend

Quando si utilizzano JWT per eseguire l'autenticazione, ESPv2 ed ESP invia il risultato dell'autenticazione nell'intestazione X-Endpoint-API-UserInfo al l'API backend. Ti consigliamo di utilizzare questa intestazione anziché l'originale Intestazione Authorization, come l'originale L'intestazione Authorization può essere modificata nelle piattaforme serverless.

L'intestazione X-Endpoint-API-UserInfo contiene una codifica Base64Url codificata un oggetto JSON. Tuttavia, il formato è stato modificato da ESP a ESPv2.

Per ESPv2, l'intestazione X-Endpoint-API-UserInfo contiene il carattere Payload JWT originale, senza modifiche.

In ESP, l'intestazione X-Endpoint-API-UserInfo contiene il JWT e ad alcuni campi specifici aggiunti da ESP. ESP aggiunge i campi id, issuer, email e audiences all'oggetto JSON. Viene inoltre aggiunto il campo claims per includere il payload JWT originale.

# ESPv1 X-Endpoint-API-UserInfo header value
{
  "id": "extracted from 'sub' field",
  "issuer": "extracted from 'iss' field",
  "email": "extracted from 'email' field",
  # The following "audiences" is extracted from 'aud' field.
  # The 'aud' field may have multiple audiences delimited by coma. e.g. "aud: aud1,aud2".
  # but the following "audiences" is always a JSON array.
  "audiences": ["aud1", "aud2"],
  "claims": {
     Original JWT payload
   }
}

L'esempio seguente illustra le differenze, tutte decodificate in base64url.

# This is an example of the original JWT payload:
{
  &quotiss&quot: &quothttps://accounts.google.com&quot,
  &quotemail&quot: &quotabcdefg123456@gmail.com&quot,
  &quotsub&quot: &quot1234567890123456789&quot,
  &quotaud&quot: &quotxyz1.example.com,xyz2.example.com&quot,
  &quotfoo&quot: &quotfoo.foo.foo.foo&quot,
  &quotbar&quot: &quotbar.bar.bar.bar&quot,
  &quotazp&quot: &quot98765432109876543210&quot,
  &quotexp&quot: &quot1642809446&quot,
  &quotiat&quot: &quot1642805846&quot
}

# This is an example of the `X-Endpoint-API-UserInfo` header from ESPv2
# extracted from above JWT payload.
{
  &quotiss&quot: &quothttps://accounts.google.com&quot,
  &quotemail&quot: &quotabcdefg123456@gmail.com&quot,
  &quotsub&quot: &quot1234567890123456789&quot,
  &quotaud&quot: &quotxyz1.example.com,xyz2.example.com&quot,
  &quotfoo&quot: &quotfoo.foo.foo.foo&quot,
  &quotbar&quot: &quotbar.bar.bar.bar&quot,
  &quotazp&quot: &quot98765432109876543210&quot,
  &quotexp&quot: &quot1642809446&quot,
  &quotiat&quot: &quot1642805846&quot
}

# This is an example of the `X-Endpoint-API-UserInfo` header from ESP
# extracted from above JWT payload.
{
  &quotid&quot:&quot1234567890123456789&quot,
  &quotissuer&quot: &quothttps://accounts.google.com&quot,
  &quotemail&quot: &quotabcdefg123456@gmail.com&quot,
  &quotaudiences&quot: [
    &quotxyz1.example.com&quot
    &quotxyz2.example.com&quot
  ],
  &quotclaims&quot: {
    &quotiss&quot: &quothttps://accounts.google.com&quot,
    &quotemail&quot: &quotabcdefg123456@gmail.com&quot,
    &quotsub&quot: &quot1234567890123456789&quot,
    &quotaud&quot: &quotxyz1.example.com,xyz2.example.com&quot,
    &quotfoo&quot: &quotfoo.foo.foo.foo&quot,
    &quotbar&quot: &quotbar.bar.bar.bar&quot,
    &quotazp&quot: &quot98765432109876543210&quot,
    &quotexp&quot: &quot1642809446&quot,
    &quotiat&quot: &quot1642805846&quot
  }
}

Consulta Utilizzare un metodo personalizzato per autenticare gli utenti e Autenticazione tra i servizi per ulteriori informazioni sull'uso dei JWT con autenticazione.

Formato del corpo della risposta JSON di errore

Se una richiesta HTTP viene rifiutata da ESP o ESPv2, il corpo della risposta contiene un codice di stato e un messaggio di errore in formato JSON. Il formato del corpo della risposta è cambiato in ESPv2, come mostrato negli esempi seguenti:

Il corpo della risposta di errore dell'ESP

{
 "code": 5,
 "message": "Method does not exist.",
 "details": [
  {
   "@type": "type.googleapis.com/google.rpc.DebugInfo",
   "stackEntries": [],
   "detail": "service_control"
  }
 ]
}

Il corpo della risposta di errore da ESPv2

{
 "code": 400,
 "message": "Method does not exist.",
}

Esistono due differenze principali:

  • In ESPv2, il campo code contiene un codice di stato http anziché un codice di stato RPC presente in ESP.
  • Il corpo della risposta di errore in ESPv2 non contiene un campo details.

Passaggi successivi

Scopri di più su: