Bersiap untuk menyiapkan API pemilihan rute layanan dengan Envoy dan beban kerja tanpa proxy

Dokumen ini memberikan informasi tentang tugas prasyarat untuk menyiapkan Cloud Service Mesh menggunakan API pemilihan rute layanan dengan proxy Envoy atau dengan gRPC tanpa proxy sebagai platform data.

Penyiapan Cloud Service Mesh mencakup beberapa fase. Dokumen ini menjelaskan fase pertama: petunjuk untuk mempersiapkan konfigurasi Cloud Service Mesh dengan instance VM atau aplikasi gRPC tanpa proxy. Fase tambahan ini tercakup dalam panduan khusus platform yang tercantum di Melanjutkan proses penyiapan nanti dalam dokumen ini.

Sebelum membaca panduan ini, pahami dokumen berikut, yang memberikan ringkasan tentang penggunaan Cloud Service Mesh dengan API rute layanan dan Gateway API:

Prasyarat

Siapkan lingkungan Anda dengan menyelesaikan tugas-tugas berikut:

  1. Siapkan project agar sesuai dengan kebutuhan bisnis Anda.
  2. Aktifkan penagihan.
  3. Berikan izin yang diperlukan.
  4. Aktifkan Traffic Director API dan API lainnya untuk project Anda.
  5. Pastikan akun layanan memiliki izin yang memadai untuk mengakses Traffic Director API.
  6. Aktifkan Cloud DNS API dan konfigurasikan Cloud DNS.

Bagian berikut memberikan petunjuk untuk setiap tugas.

Menyiapkan project

Untuk menyiapkan dan mengelola project, lihat Membuat dan mengelola project serta dokumentasi terkait.

Aktifkan penagihan

Pastikan penagihan diaktifkan untuk project Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan, menonaktifkan, atau mengubah penagihan untuk project.

Memberikan izin IAM yang diperlukan

Anda harus memiliki izin Identity and Access Management (IAM) yang memadai untuk membuat instance VM dan mengubah jaringan guna mengonfigurasi Cloud Service Mesh. Jika memiliki peran Pemilik atau Editor project (roles/owner atau roles/editor) di project tempat Anda mengaktifkan Cloud Service Mesh, Anda akan otomatis memiliki izin yang benar.

Jika tidak, Anda harus memiliki semua peran IAM yang ditampilkan dalam tabel berikut. Jika memiliki peran ini, Anda juga memiliki izin terkait, seperti yang dijelaskan dalam dokumentasi IAM Compute Engine.

Tugas Peran yang diperlukan
Menetapkan kebijakan IAM untuk akun layanan. Service Account Admin
(roles/iam.serviceAccountAdmin)
Aktifkan Cloud Service Mesh. Service Usage Admin
(roles/serviceusage.serviceUsageAdmin)
Membuat jaringan, subnet, dan komponen load balancer. Compute Network Admin
(roles/compute.networkAdmin)
Menambahkan dan menghapus aturan firewall. Compute Security Admin
(roles/compute.securityAdmin)
Buat instance. Compute Instance Admin
(roles/compute.instanceAdmin)
Mengizinkan akses ke akun layanan. Service Account User
(roles/iam.serviceAccountUser)
Aktifkan akun layanan untuk melakukan tugas yang diperlukan. Service Account User
(roles.trafficdirector.client)

VM Compute Engine harus memiliki cakupan https://www.googleapis.com/auth/cloud-platform. Untuk mengetahui informasi selengkapnya, lihat Memecahkan masalah deployment yang menggunakan gRPC tanpa proxy.

Mengaktifkan akun layanan untuk mengakses Traffic Director API

Saat Anda menyiapkan bidang data dan menghubungkannya ke Cloud Service Mesh, klien xDS Anda, baik proxy Envoy maupun klien gRPC tanpa proxy, akan terhubung ke server xDS trafficdirector.googleapis.com. Klien xDS ini menampilkan identitas akun layanan ke server xDS untuk memastikan bahwa komunikasi antara bidang data dan bidang kontrol diberi otorisasi dengan benar.

Untuk VM Compute Engine, klien xDS menggunakan akun layanan yang ditetapkan ke VM.

Kecuali jika Anda mengubah konfigurasi, Google Cloud akan menggunakan akun layanan default Compute Engine.

Untuk memberikan akses akun layanan ke Traffic Director API, gunakan petunjuk berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman IAM & Admin.

    Buka IAM & Admin

  2. Pilih project Anda.

  3. Identifikasi akun layanan tempat Anda ingin menambahkan peran:

    • Jika akun layanan belum ada dalam daftar Anggota, akun layanan tersebut tidak memiliki peran yang ditetapkan pada akun tersebut. Klik Add, lalu masukkan alamat email akun layanan.
    • Jika akun layanan sudah ada di daftar Anggota, akun tersebut memiliki peran yang sudah ada. Pilih akun layanan, lalu klik tab Roles.

  4. Luaskan peran. Untuk akun layanan yang ingin diedit, klik Edit.

  5. Pilih peran Lainnya > Klien Traffic Director.

  6. Untuk menerapkan peran ke akun layanan, klik Simpan.

gcloud

Jalankan perintah berikut:

gcloud projects add-iam-policy-binding PROJECT \
    --member serviceAccount:SERVICE_ACCOUNT_EMAIL \
    --role=roles/trafficdirector.client

Ganti kode berikut:

  • PROJECT: masukkan gcloud config get-value project
  • SERVICE_ACCOUNT_EMAIL: email yang terkait dengan akun layanan

Mengaktifkan API yang diperlukan

Aktifkan API yang diperlukan berikut.

  • osconfig.googleapis.com
  • trafficdirector.googleapis.com
  • compute.googleapis.com
  • networkservices.googleapis.com

Untuk mengaktifkan API yang diperlukan, gunakan petunjuk berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Library API untuk project Anda.

    Buka Library API

  2. Di kolom Telusuri API & Layanan, masukkan Traffic Director.

  3. Di daftar hasil penelusuran, klik Traffic Director API. Jika Anda tidak melihat Traffic Director API tercantum, artinya Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Traffic Director API.

  4. Di halaman Traffic Director API, klik Enable.

  5. Di kolom Telusuri API & Layanan, masukkan OS Config.

  6. Di daftar hasil penelusuran, klik OS Config. Jika Anda tidak melihat OS Config API tercantum, berarti Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Traffic Director API.

  7. Di halaman OS Config API, klik Enable.

  8. Di kolom Telusuri API & Layanan, masukkan Compute.

  9. Di daftar hasil penelusuran, klik Compute Engine API. Jika Anda tidak melihat Compute Engine API tercantum, berarti Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Compute Engine API.

  10. Di halaman Compute Engine API, klik Enable.

  11. Di kolom Telusuri API & Layanan, masukkan Network Services.

  12. Dalam daftar hasil penelusuran, klik Network Services API. Jika Anda tidak melihat Network Services API tercantum, berarti Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Network Services API.

  13. Di halaman Network Services API, klik Enable.

gcloud

Jalankan perintah berikut:

gcloud services enable osconfig.googleapis.com \
trafficdirector.googleapis.com \
compute.googleapis.com \
networkservices.googleapis.com

Versi xDS

API pemilihan rute layanan mengharuskan Anda menggunakan xDS v3. Untuk informasi tentang cara mengupdate deployment dari xDS v2 ke xDS v3, lihat API bidang kontrol xDS.

Persyaratan tambahan dengan proxy Envoy

Bagian ini menjelaskan persyaratan tambahan untuk menggunakan Cloud Service Mesh dengan API perutean layanan dan proxy Envoy. Jika Anda men-deploy dengan gRPC tanpa proxy, lihat Persyaratan tambahan dengan gRPC tanpa proxy.

Cara menginstal Envoy

Selama proses deployment Cloud Service Mesh, Anda membuat template VM yang otomatis menginstal Envoy di VM tempat aplikasi Anda berjalan.

Tentang versi Envoy

Envoy harus versi 1.20.0 atau yang lebih baru agar dapat berfungsi dengan Cloud Service Mesh. Sebaiknya selalu gunakan versi Envoy terbaru untuk memastikan kerentanan keamanan yang diketahui dimitigasi.

Jika Anda memutuskan untuk men-deploy Envoy menggunakan salah satu metode otomatis kami, kami akan menangani tugas ini untuk Anda sebagai berikut:

Deployment Envoy otomatis dengan VM Compute Engine menginstal versi Envoy yang telah kami validasi agar berfungsi dengan Cloud Service Mesh. Saat VM baru dibuat menggunakan template instance, VM akan menerima versi terbaru yang telah kami validasi. Jika memiliki VM yang berjalan lama, Anda dapat menggunakan update rolling untuk mengganti VM yang ada dan memilih versi terbaru.

Untuk informasi tentang versi Envoy tertentu, lihat Histori versi. Untuk informasi tentang kerentanan keamanan, lihat Pemberitahuan Keamanan.

Persyaratan tambahan dengan gRPC tanpa proxy

Bagian ini menjelaskan persyaratan tambahan untuk menggunakan Cloud Service Mesh dengan API pemilihan rute layanan dan gRPC tanpa proxy. Jika Anda men-deploy dengan proxy Envoy, lihat Persyaratan tambahan dengan proxy Envoy.

Proses keseluruhan dengan gRPC tanpa proxy

Ikuti prosedur keseluruhan ini untuk menyiapkan aplikasi gRPC tanpa proxy di mesh layanan:

  1. Update klien gRPC Anda ke gRPC versi terbaru, dengan patch terbaru.
  2. Perbarui skema resolver nama gRPC klien saat Anda membuat saluran dan menentukan file bootstrap Cloud Service Mesh.
  3. Mengonfigurasi resource Cloud Service Mesh dan Cloud Load Balancing.

Dokumen ini memberikan informasi untuk menyelesaikan dua langkah pertama. Proses konfigurasi yang Anda gunakan untuk langkah 3 bergantung pada apakah deployment Anda menggunakan VM Compute Engine atau grup endpoint jaringan (NEG) GKE.

Versi dan bahasa gRPC yang didukung

gRPC adalah project open source dan dukungan rilisnya dijelaskan di FAQ gRPC. Sebaiknya gunakan gRPC versi terbaru untuk memastikan kerentanan keamanan yang diketahui telah dimitigasi. Hal ini juga akan memastikan bahwa aplikasi Anda memiliki akses ke fitur terbaru yang didukung oleh Cloud Service Mesh. Fitur mesh layanan yang didukung dalam berbagai implementasi dan versi gRPC tercantum di GitHub. Untuk mengetahui daftar bahasa dan fitur gRPC yang didukung dengan Cloud Service Mesh dan layanan gRPC tanpa proxy, lihat Fitur Cloud Service Mesh.

Cloud Service Mesh mempertahankan kompatibilitas dengan versi gRPC saat ini dan yang didukung serta berupaya untuk kompatibel dengan versi gRPC yang berusia kurang dari satu tahun, tunduk pada Persyaratan Layanan Google Cloud Platform.

Mengupdate klien gRPC

Update library gRPC di aplikasi Anda ke versi yang mendukung fitur yang Anda perlukan. Untuk mengetahui detailnya, lihat bagian sebelumnya.

Tambahkan name-resolver xDS sebagai dependensi ke aplikasi gRPC Anda. Persyaratan per bahasa untuk Java dan Go ditampilkan di bagian berikut. Bahasa lain tidak memiliki persyaratan tambahan.

Persyaratan Java

Di Java, jika Anda menggunakan Gradle, tambahkan dependensi grpc-xds ke file build.gradle. Ganti LATEST_GRPC_VERSION dengan versi terbaru gRPC.

dependencies {
  runtimeOnly 'io.grpc:grpc-xds:LATEST_GRPC_VERSION'
}

Jika Anda menggunakan Maven, tambahkan kode berikut ke bagian <dependencies> pom.xml. Ganti LATEST_GRPC_VERSION dengan gRPC versi terbaru.

    <dependency>
      <groupId>io.grpc</groupId>
      <artifactId>grpc-xds</artifactId>
      <version>LATEST_GRPC_VERSION</version>
      <scope>runtime</scope>
    </dependency>

Persyaratan Go

Jika Anda menggunakan Go, impor paket xds Go.

Menetapkan resolver nama gRPC untuk menggunakan xds

Tetapkan atau ubah aplikasi gRPC Anda untuk menggunakan skema resolusi nama xds di URI target, bukan DNS atau skema resolver lainnya. Anda dapat melakukannya dengan menggunakan awalan xds:/// dalam nama target saat membuat saluran gRPC. Load balancing untuk klien gRPC dilakukan per saluran.

Sertakan nama layanan yang digunakan di URI target dalam konfigurasi Cloud Service Mesh. Misalnya, di Java, Anda membuat saluran menggunakan struktur ini, dengan nama layanan helloworld:

ManagedChannelBuilder.forTarget("xds:///helloworld[:PORT_NUMBER]")

Membuat dan mengonfigurasi file bootstrap

Skema resolver xds memberi tahu aplikasi gRPC untuk terhubung ke Cloud Service Mesh guna mendapatkan informasi konfigurasi untuk layanan target. Oleh karena itu, lakukan hal berikut:

  • Buat file bootstrap, seperti yang ditunjukkan dalam contoh berikut. File ini memberi tahu gRPC untuk terhubung ke server xDS (Cloud Service Mesh) guna mendapatkan konfigurasi untuk layanan tertentu.
  • Tentukan variabel lingkungan bernama GRPC_XDS_BOOTSTRAP, dengan nama file bootstrap sebagai nilai variabel lingkungan.

Petunjuk penyiapan memiliki contoh yang menunjukkan cara membuat file bootstrap. Untuk memudahkan Anda, Anda dapat menggunakan generator bootstrap gRPC Cloud Service Mesh versi terbaru.

File bootstrap yang berisi informasi yang diperlukan untuk terhubung ke Cloud Service Mesh harus disertakan bersama aplikasi. Contoh file bootstrap terlihat seperti ini:

{
  "xds_servers": [
    {
      "server_uri": "trafficdirector.googleapis.com:443",
      "channel_creds": [
        {
          "type": "google_default"
        }
      ],
      "server_features": ["xds_v3"]
    }
  ],
  "node": {
    "id": "projects/123456789012/networks/default/nodes/b7f9c818-fb46-43ca-8662-d3bdbcf7ec18",
    "metadata": {
      "TRAFFICDIRECTOR_NETWORK_NAME": "default"
    },
    "locality": {
      "zone": "us-central1-a"
    }
  }
}

Tabel berikut menjelaskan kolom dalam file bootstrap.

Kolom Nilai dan deskripsi
xds_servers Daftar server xDS. gRPC hanya menggunakan server pertama dalam daftar.
server_uri Tentukan minimal satu. gRPC mencoba terhubung hanya ke server xDS pertama dalam daftar xds_servers. Nilai defaultnya adalah trafficdirector.googleapis.com:443.
channel_creds Kredensial yang akan digunakan dengan server xDS.
type Gunakan nilai google_default. Untuk mengetahui informasi selengkapnya tentang cara mendapatkan kredensial, lihat Memulai autentikasi.
server_features Daftar fitur yang didukung oleh server, seperti dukungan xDS v3. Nilai defaultnya kosong.
node Informasi tentang klien yang terhubung ke server xDS.
id

id harus dalam format berikut seperti yang ditunjukkan dalam contoh sebelumnya:

projects/PROJECT_NUMBER/networks/NETWORK_NAME/nodes/ID

Berikan string unik sebagai nilai ID. Hal ini membantu mengidentifikasi klien gRPC yang terhubung ke Cloud Service Mesh.
metadata Informasi khusus untuk server xDS.
TRAFFICDIRECTOR_MESH_NAME Jika kolom kosong atau tidak ditentukan, nilainya akan ditetapkan ke default.
locality Zona Google Cloud tempat klien gRPC berjalan.

Melanjutkan proses penyiapan

Setelah menyelesaikan prasyarat yang dijelaskan dalam dokumen ini, lanjutkan dengan salah satu dokumen berikut jika Anda mengonfigurasi Cloud Service Mesh dengan API perutean layanan: