Como se preparar para configurar APIs de roteamento de serviço com o Envoy e cargas de trabalho sem proxy
Este documento fornece informações sobre as tarefas necessárias para configurar o Cloud Service Mesh usando as APIs de roteamento de serviço com proxies Envoy ou com o gRPC sem proxy como plano de dados.
A configuração do Cloud Service Mesh inclui várias fases. Neste documento, descrevemos a primeira fase: instruções para preparar a configuração da Cloud Service Mesh com instâncias de VM ou aplicativos gRPC sem proxy. As outras fases são cobertas pelos guias específicos da plataforma listados em Continuar o processo de configuração mais adiante neste documento.
Antes de ler este guia, familiarize-se com os seguintes documentos, que fornecem uma visão geral do uso do Cloud Service Mesh com as APIs de roteamento de serviço e Gateway:
- Visão geral do Cloud Service Mesh
- Visão geral das APIs de roteamento de serviços do Cloud Service Mesh
Pré-requisitos
Prepare o ambiente local concluindo as tarefas a seguir
- Configure projetos de acordo com as necessidades da sua empresa.
- Ativar o faturamento.
- Conceder as permissões necessárias.
- Ative a API Traffic Director e outras APIs no seu projeto.
- Verifique se a conta de serviço tem permissões suficientes para acessar a API Traffic Director.
- Ative a API Cloud DNS e configure o Cloud DNS.
Nas seções a seguir, fornecemos instruções para cada tarefa.
Configurar projetos
Para configurar e gerenciar seus projetos, consulte Como criar e gerenciar projetos e a documentação relacionada.
Ativar faturamento
Verifique se o faturamento está ativado para o projeto Google Cloud . Para mais informações, consulte Ativar, desativar ou alterar o faturamento de um projeto.
Conceder as permissões necessárias do IAM
Você precisa ter permissões suficientes do Identity and Access Management (IAM) para criar instâncias de VM
e modificar uma rede para configurar o Cloud Service Mesh. Se você tem o papel de proprietário ou editor do projeto (roles/owner
ou roles/editor
) em que está ativando a Cloud Service Mesh, já tem as permissões corretas.
Caso contrário, você precisará ter todos os papéis do IAM mostrados na tabela a seguir. Se tiver esses papéis, você também terá as permissões associadas, conforme descrito na documentação do IAM do Compute Engine.
Tarefa | Papel necessário |
---|---|
Definir a política de IAM em uma conta de serviço. | Administrador da conta de serviço
( roles/iam.serviceAccountAdmin ) |
Ative o Cloud Service Mesh. | Administrador do Service Usage
( roles/serviceusage.serviceUsageAdmin )
|
Criar redes, sub-redes e componentes do balanceador de carga. | Compute Network Admin
( roles/compute.networkAdmin ) |
Adicionar e remover regras de firewall. | Administrador de segurança do Compute
( roles/compute.securityAdmin ) |
Criar instâncias. | Administrador da instância do Compute
( roles/compute.instanceAdmin ) |
Permite acesso a contas de serviço. | Usuário da conta de serviço
( roles/iam.serviceAccountUser ) |
Ative a conta de serviço para realizar as tarefas necessárias. | Usuário da conta de serviço
( roles.trafficdirector.client) |
As VMs do Compute Engine precisam ter o
escopo
https://www.googleapis.com/auth/cloud-platform
. Para mais informações, consulte Solução de problemas em implantações que usam o gRPC sem proxy.
Ativar a conta de serviço para acessar a API Traffic Director
Quando você configura o plano de dados e o conecta à malha de serviços do Cloud, seus
clientes xDS, sejam proxies do Envoy ou clientes gRPC sem proxy, se conectam ao servidor xDS trafficdirector.googleapis.com
. Esses
clientes xDS apresentam uma identidade de conta de serviço ao servidor xDS para garantir que
as comunicações entre o plano de dados e o plano de controle sejam devidamente autorizadas.
Para uma VM do Compute Engine, o cliente xDS usa a conta de serviço atribuída à VM.
A menos que você modifique a configuração,o Google Cloud usa a conta de serviço padrão do Compute Engine.
Para conceder à conta de serviço acesso à API Traffic Director, siga estas instruções.
Console
No console do Google Cloud , acesse a página IAM e administrador.
Selecione o projeto.
Identifique a conta de serviço em que você quer incluir um papel.
- Se a conta de serviço de ainda não estiver na lista de membros, ela não terá nenhum papel atribuído a ela. Clique em Adicionar e digite o endereço de e-mail da conta do serviço.
- Se estiver na lista de membros, a conta de serviço já terá papéis. Selecione a conta de serviço e clique na guia Papéis.
Expanda o papel. Na conta de serviço que você quer editar, clique em
Editar.Selecione Outro> papel Cliente do Traffic Director.
Para aplicar o papel à conta de serviço, clique em Salvar.
gcloud
Execute este comando:
gcloud projects add-iam-policy-binding PROJECT \ --member serviceAccount:SERVICE_ACCOUNT_EMAIL \ --role=roles/trafficdirector.client
Substitua:
PROJECT
: entergcloud config get-value project
SERVICE_ACCOUNT_EMAIL
: o e-mail associado à conta de serviço.
Ative as APIs necessárias
Ative as APIs obrigatórias a seguir.
- osconfig.googleapis.com
- trafficdirector.googleapis.com
- compute.googleapis.com
- networkservices.googleapis.com
Para ativar as APIs necessárias, siga as instruções abaixo.
Console
No console do Google Cloud , acesse a página Biblioteca de APIs do seu projeto.
No campo Pesquisar APIs e serviços, insira
Traffic Director
.Na lista de resultados da pesquisa, clique em API Traffic Director. Se ela não estiver listada, isso significa que você não tem as permissões necessárias para ativar a API Traffic Director.
Na página API Traffic Director, clique em Ativar.
No campo Pesquisar APIs e serviços, insira
OS Config
.Na lista de resultados da pesquisa, clique em Configuração do SO. Se a API OS Config não estiver listada, isso significa que você não tem as permissões necessárias para ativar a API Traffic Director.
Na página API OS Config, clique em Ativar.
No campo Pesquisar APIs e serviços, insira
Compute
.Na lista de resultados da pesquisa, clique em API Compute Engine. Se a API Compute Engine não estiver listada, isso significa que você não tem as permissões necessárias para ativá-la.
Na página API Compute Engine, clique em Ativar.
No campo Pesquisar APIs e serviços, insira
Network Services
.Na lista de resultados da pesquisa, clique em API Network Services. Se a API Network Services não estiver listada, isso significa que você não tem as permissões necessárias para ativá-la.
Na página da API Network Services, clique em Ativar.
gcloud
Execute este comando:
gcloud services enable osconfig.googleapis.com \ trafficdirector.googleapis.com \ compute.googleapis.com \ networkservices.googleapis.com
Versão do xDS
As APIs de roteamento de serviço exigem o uso da xDS v3. Para informações sobre como atualizar a implantação do xDS v2 para o xDS v3, consulte APIs do plano de controle do xDS.
Requisitos adicionais com proxies Envoy
Esta seção descreve outros requisitos para usar o Cloud Service Mesh com as APIs de roteamento de serviço e os proxies do Envoy. Se você estiver implantando com o gRPC sem proxy, consulte Requisitos adicionais com o gRPC sem proxy.
Como instalar o Envoy
Durante o processo de implantação do Cloud Service Mesh, você cria um modelo de VM que instala automaticamente o Envoy nas VMs em que seus aplicativos são executados.
Sobre as versões do Envoy
O Envoy precisa ser a versão 1.20.0 ou mais recente para funcionar com o Cloud Service Mesh. Recomendamos sempre usar a versão mais recente do Envoy para garantir que as vulnerabilidades de segurança conhecidas sejam reduzidas.
Se você decidir implantar o Envoy usando um de nossos métodos automatizados, nós cuidaremos desta tarefa para você:
A implantação automatizada do Envoy com VMs do Compute Engine instala a versão do Envoy que validamos para funcionar com a Cloud Service Mesh. Quando uma nova VM é criada com o modelo de instância, a VM recebe a versão mais recente que validamos. Se você tiver uma VM de longa duração, use uma atualização gradual para substituir suas VMs atuais e coletar a versão mais recente.
Para informações sobre versões específicas do Envoy, consulte Histórico de versões. Para informações sobre vulnerabilidades de segurança, consulte Consultores de segurança.
Requisitos adicionais com gRPC sem proxy
Esta seção descreve outros requisitos para usar a Cloud Service Mesh com as APIs de roteamento de serviço e o gRPC sem proxy. Se você estiver implantando com proxies Envoy, consulte Requisitos adicionais com proxies Envoy.
Processo geral com gRPC sem proxy
Siga este procedimento geral para configurar aplicativos gRPC sem proxy em uma malha de serviço:
- Atualize os clientes gRPC para a versão mais recente do gRPC, com o patch mais recente.
- Atualize o esquema do resolvedor de nomes do gRPC dos clientes ao criar um canal e especificar um arquivo de inicialização do Cloud Service Mesh.
- Configure os recursos do Cloud Service Mesh e do Cloud Load Balancing.
Este documento fornece informações para concluir as duas primeiras etapas. O processo de configuração usado na etapa 3 depende da implantação usar VMs do Compute Engine ou grupos de endpoints de rede do GKE (NEGs, na sigla em inglês).
Versões e linguagens do gRPC compatíveis
O gRPC é um projeto de código aberto, e a compatibilidade dele com a versão é descrita nas Perguntas frequentes do gRPC. Recomendamos que você use a versão mais recente do gRPC para garantir que as vulnerabilidades de segurança conhecidas sejam reduzidas. Isso também garante que seus aplicativos tenham acesso aos recursos mais recentes compatíveis com o Cloud Service Mesh. Os recursos da malha de serviço compatíveis com várias implementações e versões do gRPC estão listados no GitHub. Para conferir uma lista de linguagens e recursos do gRPC compatíveis com o Cloud Service Mesh e os serviços gRPC sem proxy, consulte Recursos do Cloud Service Mesh.
O Cloud Service Mesh mantém a compatibilidade com a versão atual e versões compatíveis do gRPC e esforços para serem compatíveis com versões do gRPC com menos de um ano, sujeitas aos Termos de Serviço da plataforma .
Atualizar clientes gRPC
Atualize a biblioteca gRPC no aplicativo para a versão compatível com os recursos necessários. Veja mais detalhes na seção anterior.
Adicione o resolvedor de nome xDS como uma dependência dos aplicativos gRPC. Os requisitos por linguagem para Java e Go são mostrados nas seções a seguir. Outros idiomas não têm requisitos adicionais.
Requisitos do Java
Em Java, se você estiver usando o Gradle, adicione a dependência grpc-xds
ao seu
arquivo build.gradle
. Substitua LATEST_GRPC_VERSION
pela versão mais recente do gRPC.
dependencies { runtimeOnly 'io.grpc:grpc-xds:LATEST_GRPC_VERSION' }
Se você estiver usando o Maven, adicione o seguinte à seção <dependencies>
de pom.xml. Substitua LATEST_GRPC_VERSION
pela versão mais recente do gRPC.
<dependency> <groupId>io.grpc</groupId> <artifactId>grpc-xds</artifactId> <version>LATEST_GRPC_VERSION</version> <scope>runtime</scope> </dependency>
Requisitos do Go
Se você usa o Go, importe o pacote xds Go.
Definir o resolvedor de nome do gRPC para usar xds
Defina ou altere os aplicativos gRPC para usar o esquema de resolução de nomes xds
no
URI de destino, em vez de DNS ou qualquer outro esquema de resolvedor. Para fazer isso,
use o prefixo xds:///
no nome do destino ao criar um canal do gRPC.
O balanceamento de carga para clientes gRPC é por canal.
Inclua o nome do serviço usado no URI de destino na
configuração da Cloud Service Mesh. Por exemplo, em Java, você cria o
canal usando esta estrutura, em que o nome do serviço é helloworld
:
ManagedChannelBuilder.forTarget("xds:///helloworld[:PORT_NUMBER]")
Criar e configurar um arquivo de inicialização
O esquema do resolvedor xds
instrui o aplicativo gRPC a se conectar ao
Cloud Service Mesh para receber informações de configuração do serviço
de destino. Portanto, faça o seguinte:
- Crie um arquivo de inicialização, conforme mostrado no exemplo a seguir. Esse arquivo instrui o gRPC a se conectar a um servidor xDS (Cloud Service Mesh) para receber a configuração de serviços específicos.
- Defina uma variável de ambiente chamada
GRPC_XDS_BOOTSTRAP
, com o nome do arquivo de inicialização como o valor da variável de ambiente.
As instruções de configuração têm exemplos que mostram como gerar o arquivo de inicialização. Para sua conveniência, use a versão mais recente do gerador de inicialização do gRPC da Cloud Service Mesh.
Um arquivo de inicialização contendo as informações necessárias para se conectar ao Cloud Service Mesh precisa ser incluído junto do aplicativo. Esta é uma amostra de arquivo de inicialização:
{ "xds_servers": [ { "server_uri": "trafficdirector.googleapis.com:443", "channel_creds": [ { "type": "google_default" } ], "server_features": ["xds_v3"] } ], "node": { "id": "projects/123456789012/networks/default/nodes/b7f9c818-fb46-43ca-8662-d3bdbcf7ec18", "metadata": { "TRAFFICDIRECTOR_NETWORK_NAME": "default" }, "locality": { "zone": "us-central1-a" } } }
A tabela a seguir explica os campos no arquivo de inicialização.
Campo | Valor e descrição |
---|---|
xds_servers |
Uma lista de servidores xDS. O gRPC usa apenas o primeiro na lista. |
server_uri |
Especifique pelo menos uma. O gRPC tenta se conectar apenas ao primeiro servidor xDS na lista de xds_servers . O valor padrão é
trafficdirector.googleapis.com:443 . |
channel_creds |
Credenciais para usar com o servidor xDS. |
type |
Use o valor google_default . Para mais informações sobre como as credenciais são obtidas, consulte Primeiros passos com a autenticação. |
server_features |
Uma lista de recursos compatíveis com o servidor, como suporte para xDS v3. O valor padrão é vazio. |
node |
Informações sobre o cliente que está se conectando ao servidor xDS. |
id |
O projects/PROJECT_NUMBER/networks/NETWORK_NAME/nodes/ID Forneça uma string exclusiva como o valor de |
metadata |
Informações específicas ao servidor xDS. |
TRAFFICDIRECTOR_MESH_NAME |
Se o campo estiver vazio ou não for especificado, o valor será definido como default . |
locality |
A zona do Google Cloud em que o cliente gRPC está em execução. |
Continuar o processo de configuração
Depois de concluir os pré-requisitos descritos neste documento, continue com um destes documentos se você estiver configurando a Cloud Service Mesh com as APIs de roteamento de serviço:
- Configure serviços gRPC sem proxy com um recurso
Mesh
- Configurar proxies do Envoy com serviços HTTP
- Configurar um gateway de entrada
- Configurar serviços TCP com um recurso
TCPRoute
- Configurar referências de projetos cruzados com os recursos
Mesh
eRoute
- Configurar o roteamento de TLS do gateway