Einrichten von Traffic Director mit proxylosen gRPC-Diensten vorbereiten

Dieser Leitfaden enthält eine Anleitung zur Vorbereitung der Traffic Director-Konfiguration mit proxylosen gRPC-Anwendungen.

Hinweis

Machen Sie sich mit den allgemeinen Konzepten von Traffic Director vertraut. Lesen Sie die folgenden Dokumente:

Diese Dokumente bieten eine Übersicht über die Verwendung von Traffic Director mit proxylosen gRPC-Anwendungen.

Allgemeine Vorbereitung

Bereiten Sie zuerst Ihre Umgebung vor. Führen Sie dazu die in den folgenden Abschnitten beschriebenen Aufgaben aus.

Erforderliche IAM-Berechtigungen gewähren

Sie müssen ausreichende Berechtigungen zum Erstellen von VM-Instanzen und zum Ändern eines Netzwerks haben, um Traffic Director zu konfigurieren. Wenn Sie die Rolle Inhaber oder Bearbeiter für das Projekt haben, in dem Sie Traffic Director aktivieren, erhalten Sie automatisch die richtigen Berechtigungen.

Andernfalls benötigen Sie die folgenden Compute Engine-IAM-Rollen. Mit diesen Rollen haben Sie auch die zugehörigen Berechtigungen wie in der IAM-Dokumentation für Compute Engine beschrieben.

Aufgabe Erforderliche Rolle
IAM-Richtlinie für ein Dienstkonto festlegen Dienstkontoadministrator
Ressource für globale Weiterleitungsregel abrufen Compute-Netzwerkbetrachter
Traffic Director aktivieren Service Usage-Administrator
Netzwerke, Subnetze und Load-Balancer-Komponenten erstellen Netzwerkadministrator
Firewallregeln setzen und löschen Sicherheitsadministrator
Instanzen erstellen Compute-Instanzadministrator

Die Compute Engine-VMs müssen außerdem den Bereich https://www.googleapis.com/auth/cloud-platform haben.

Traffic Director API aktivieren

Console

  1. Rufen Sie in der Cloud Console die Option "APIs & Dienste" für das Projekt auf.
    Zur Seite "API-Bibliothek"
  2. Verwenden Sie das Suchfeld, um die Traffic Director API zu finden. Wenn die Traffic Director API nicht angezeigt wird, haben Sie nicht die erforderlichen Berechtigungen zum Aktivieren der Traffic Director API.
  3. Klicken Sie auf die Traffic Director API.
  4. Klicken Sie auf der Seite mit den Informationen zur API auf Aktivieren.

gcloud

gcloud services enable trafficdirector.googleapis.com

Dienstkonto für den Zugriff auf die Traffic Director API aktivieren

Wenn Sie die Datenebene einrichten und mit Traffic Director verbinden, stellen Ihre xDS-Clients eine Verbindung zum xDS-Server trafficdirector.googleapis.com her. Diese xDS-Clients präsentieren dem xDS-Server eine Dienstkontoidentität, um die ordnungsgemäße Kommunikation zwischen der Datenebene und der Steuerungsebene zu gewährleisten.

Für eine Compute Engine-VM verwendet der xDS-Client das der VM zugewiesene Dienstkonto.

Das von Ihren xDS-Clients verwendete Dienstkonto muss die IAM-Berechtigung compute.globalForwardingRules.get auf Projektebene haben. Sie können diese Berechtigung auch erteilen, indem Sie dem Dienstkonto die Rolle compute.networkViewer zuweisen.

Console

  1. Rufen Sie in der Cloud Console die Seite IAM & Verwaltung auf.

    Zur Seite "IAM & Verwaltung"

  2. Wählen Sie Ihr Projekt aus.

  3. Bestimmen Sie das Dienstkonto, dem Sie eine Rolle hinzufügen möchten.

    • Wenn sich das Dienstkonto nicht schon in der Mitgliederliste befindet, sind ihm keine Rollen zugewiesen. Klicken Sie auf Hinzufügen und geben Sie die E-Mail-Adresse des Dienstkontos ein.
    • Wenn sich das Dienstkonto bereits in der Mitgliederliste befindet, enthält es Rollen. Wählen Sie das Dienstkonto aus und klicken Sie auf den Tab Rollen.
  4. Klicken Sie für das Dienstkonto, das Sie bearbeiten möchten, auf die Schaltfläche Bearbeiten .

  5. Wählen Sie die Rolle Compute Engine-Compute-Netzwerkbetrachter aus.

  6. Klicken Sie zum Anwenden dieser Rolle auf das Dienstkonto auf Speichern.

gcloud

Ersetzen Sie die Variable ${SERVICE_ACCOUNT_EMAIL} durch den richtigen Wert.

PROJECT=`gcloud config get-value project`
gcloud projects add-iam-policy-binding ${PROJECT} \
   --member serviceAccount:${SERVICE_ACCOUNT_EMAIL} \
   --role roles/compute.networkViewer

Führen Sie als Nächstes die folgenden Schritte aus, um proxylose gRPC-Anwendungen in einem Mesh-Netzwerk einzurichten:

  1. Aktualisieren Sie Ihre gRPC-Clients mit dem neuesten Patch auf Version 1.30.0 oder höher.
  2. Aktualisieren Sie den gRPC-Name-Resolver Ihrer Clients, wenn Sie einen Kanal erstellen, und geben Sie eine Bootstrap-Datei für Traffic Director an.
  3. Konfigurieren Sie Traffic Director- und Cloud Load Balancing-Resourcen.

Dieser Leitfaden enthält Informationen zum Ausführen der ersten beiden Schritte. Der Konfigurationsprozess, den Sie für Schritt 3 verwenden, hängt davon ab, ob Ihre Bereitstellung Compute Engine-VMs oder Google Kubernetes Engine-NEGs verwendet.

gRPC-Clients aktualisieren

Zuerst müssen Sie Ihre gRPC-Clients mit dem neuesten Patch auf Version 1.30.0 oder höher aktualisieren. Die meisten Versionen von gRPC-Servern können mit gRPC-Clients der Versionen 1.30.0 oder höher mit dem neuesten Patch interagieren, sodass Sie nicht alle gRPC-Server gleichzeitig aktualisieren müssen.

Unterstützte Sprachen und gRPC-Versionen

Ihre gRPC-Clients müssen die neueste gRPC-Version 1.30.0 oder höher mit dem neuesten Patch verwenden. Die Sprachen C++, Java, Go, Python, PHP, Ruby und C# haben xDSv2-Unterstützung und alle werden von Traffic Director unterstützt. Fügen Sie den xDS-Name-Resolver als Abhängigkeit zu Ihren gRPC-Anwendungen hinzu. Im Folgenden sind die Anforderungen pro Sprache für Java und Go aufgeführt. Für andere Sprachen gelten keine zusätzlichen Anforderungen.

Java-Anforderungen

Wenn Sie in Java Gradle verwenden, fügen Sie das Snapshot-Repository und die grpc-xds-Abhängigkeit in Ihre build.gradle-Datei ein:

repositories {
    mavenLocal()
}
dependencies {
  runtimeOnly 'io.grpc:grpc-xds:1.30.0-SNAPSHOT'
}

Wenn Sie Maven verwenden, fügen Sie Folgendes in den Abschnitt <dependencies> der Datei pom.xml ein:

    <dependency>
      <groupId>io.grpc</groupId>
      <artifactId>grpc-xds</artifactId>
      <version>1.30.0-SNAPSHOT</version>
      <scope>runtime</scope>
    </dependency>

Go-Anforderungen

Wenn Sie Go verwenden, müssen Sie das xds-Go-Paket importieren.

Der gRPC-Name-Resolver muss xds sein.

Sie müssen Ihre gRPC-Anwendungen so einrichten bzw. ändern, dass das Schema zur Namensauflösung xds im Ziel-URI anstelle von DNS oder einem anderen Resolver verwendet wird. Verwenden Sie dazu beim Erstellen eines gRPC-Kanals das Präfix xds:/// im Zielnamen. Das Load-Balancing für gRPC-Clients erfolgt jeweils pro Kanal.

Außerdem müssen Sie den Dienstnamen, der im Ziel-URI verwendet wird, in die Traffic Director-Konfiguration einfügen. In Java erstellen Sie den Kanal beispielsweise mit dieser Struktur, in der der Dienstname helloworld lautet:

ManagedChannelBuilder.forTarget("xds:///helloworld[:PORT_NUMBER]")

Bootstrap-Datei

Das Resolver-Schema xds weist die gRPC-Anwendung an, eine Verbindung zu Traffic Director herzustellen, um Konfigurationsinformationen für den Zieldienst abzurufen. Gehen Sie daher folgendermaßen vor:

  • Erstellen Sie eine Bootstrap-Datei (siehe unten). Diese Datei weist gRPC an, eine Verbindung zu einem xDS-Server (Traffic Director) herzustellen, um die Konfiguration für bestimmte Dienste abzurufen.
  • Definieren Sie eine Umgebungsvariable namens GRPC_XDS_BOOTSTRAP, wobei der Bootstrap-Dateiname als Wert der Umgebungsvariable dient.

Die Einrichtungsanleitung enthält Beispiele zum Generieren der Bootstrap-Datei.

Neben der Anwendung muss eine Bootstrap-Datei mit den erforderlichen Informationen für die Verbindung mit Traffic Director vorhanden sein. Hier ein Beispiel für eine Bootstrap-Datei:

{
  "xds_servers": [
    {
      "server_uri": "trafficdirector.googleapis.com:443",
      "channel_creds": [
        {
          "type": "google_default"
        }
      ]
    }
  ],
  "node": {
    "id": "b7f9c818-fb46-43ca-8662-d3bdbcf7ec18~10.0.0.1",
    "metadata": {
      "TRAFFICDIRECTOR_GCP_PROJECT_NUMBER": "123456789012",
      "TRAFFICDIRECTOR_NETWORK_NAME": "default"
    },
    "locality": {
      "zone": "us-central1-a"
    }
  }
}

In der folgenden Tabelle werden die Felder in der Bootstrap-Datei erläutert.

Feld Wert und Beschreibung
xds_servers Eine Liste mit xDS-Servern. gRPC verwendet nur den ersten in der Liste.
server_uri Geben Sie mindestens eins an. gRPC versucht, nur eine Verbindung zu dem ersten xDS-Server in der Liste "xds_servers" herzustellen. Der Standardwert ist trafficdirector.googleapis.com:443.
channel_creds Anmeldedaten für die Verwendung mit dem xDS-Server.
type Verwenden Sie den Wert google_default. Weitere Informationen zum Abrufen von Anmeldedaten finden Sie unter Erste Schritte bei der Authentifizierung.
node Informationen über den Client, der eine Verbindung zum xDS-Server herstellt.
id Geben Sie im Feld id einen eindeutigen String an. Dies erleichtert die Identifizierung des gRPC-Clients, der eine Verbindung zu Traffic Director herstellt.
metadata Spezifische Informationen für den xDS-Server.
TRAFFICDIRECTOR_GCP_PROJECT_NUMBER Die Projektnummer, in der Traffic Director ausgeführt wird.
TRAFFICDIRECTOR_NETWORK_NAME Ist das Feld leer oder nicht angegeben, wird der Wert auf default gesetzt.
locality Die GCP-Zone, in der der gRPC-Client ausgeführt wird.

Nächste Schritte

Nachdem Sie die in diesem Dokument beschriebene Vorbereitung abgeschlossen haben, fahren Sie mit den Anleitungen in einem der folgenden Dokumente fort: