Bersiap untuk menyiapkan API pemilihan rute layanan dengan Envoy dan workload tanpa proxy
Dokumen ini memberikan informasi tentang tugas prasyarat untuk menyiapkan Cloud Service Mesh menggunakan API perutean layanan dengan proxy Envoy atau dengan gRPC tanpa proxy sebagai bidang data.
Penyiapan Cloud Service Mesh mencakup beberapa fase. Dokumen ini menjelaskan fase pertama: petunjuk untuk mempersiapkan konfigurasi Cloud Service Mesh dengan instance VM atau aplikasi gRPC tanpa proxy. Fase tambahan dibahas dalam panduan khusus platform yang tercantum dalam Melanjutkan proses penyiapan nanti dalam dokumen ini.
Sebelum membaca panduan ini, pahami dokumen berikut, yang memberikan ringkasan penggunaan Cloud Service Mesh dengan API perutean layanan dan Gateway API:
Prasyarat
Siapkan lingkungan Anda dengan menyelesaikan tugas berikut:
- Siapkan project agar sesuai dengan kebutuhan bisnis Anda.
- Aktifkan penagihan.
- Berikan izin yang diperlukan.
- Aktifkan Traffic Director API dan API lainnya untuk project Anda.
- Pastikan akun layanan memiliki izin yang memadai untuk mengakses Traffic Director API.
- Mengaktifkan Cloud DNS API dan mengonfigurasi Cloud DNS.
Bagian berikut ini menyediakan petunjuk untuk setiap tugas.
Menyiapkan project
Untuk menyiapkan dan mengelola project Anda, baca bagian Membuat dan mengelola project dan dokumentasi terkait.
Aktifkan penagihan
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan, menonaktifkan, atau mengubah penagihan untuk project.
Memberikan izin IAM yang diperlukan
Anda harus memiliki izin Identity and Access Management (IAM) yang memadai untuk membuat instance VM dan mengubah jaringan untuk mengonfigurasi Cloud Service Mesh. Jika Anda memiliki peran Owner atau Editor project (roles/owner
atau roles/editor
) dalam project tempat Cloud Service Mesh diaktifkan, Anda otomatis memiliki izin yang benar.
Jika tidak, Anda harus memiliki semua peran IAM yang ditampilkan dalam tabel berikut. Jika memiliki peran ini, Anda juga memiliki izin terkait, seperti yang dijelaskan dalam dokumentasi IAM Compute Engine.
Tugas | Peran yang diperlukan |
---|---|
Menetapkan kebijakan IAM untuk akun layanan. | Admin Akun Layanan
( roles/iam.serviceAccountAdmin ) |
Aktifkan Cloud Service Mesh. | Admin Penggunaan Layanan
( roles/serviceusage.serviceUsageAdmin ) |
Membuat jaringan, subnet, dan komponen load balancer. | Admin Jaringan Compute
( roles/compute.networkAdmin ) |
Menambahkan dan menghapus aturan firewall. | Admin Keamanan Compute
( roles/compute.securityAdmin ) |
Membuat instance. | Admin Instance Compute
( roles/compute.instanceAdmin ) |
Mengizinkan akses ke akun layanan. | Pengguna Akun Layanan
( roles/iam.serviceAccountUser ) |
Aktifkan akun layanan untuk melakukan tugas yang diperlukan. | Pengguna Akun Layanan
( roles.trafficdirector.client) |
VM Compute Engine harus memiliki cakupan https://www.googleapis.com/auth/cloud-platform
. Untuk informasi selengkapnya, lihat
Memecahkan masalah deployment yang menggunakan gRPC tanpa proxy.
Mengaktifkan akun layanan untuk mengakses Traffic Director API
Saat Anda menyiapkan bidang data dan menghubungkannya ke Cloud Service Mesh, klien xDS Anda, baik menggunakan proxy Envoy maupun klien gRPC tanpa proxy, akan terhubung ke server xDS trafficdirector.googleapis.com
. Klien xDS ini menampilkan identitas akun layanan ke server xDS untuk memastikan bahwa komunikasi antara bidang data dan bidang kontrol diizinkan dengan benar.
Untuk VM Compute Engine, klien xDS menggunakan akun layanan yang ditetapkan ke VM.
Google Cloud akan menggunakan akun layanan default Compute Engine kecuali jika Anda mengubah konfigurasi.
Untuk memberi akun layanan akses ke Traffic Director API, gunakan petunjuk berikut.
Konsol
Di konsol Google Cloud, buka halaman IAM & Admin.
Pilih project Anda.
Identifikasi akun layanan yang ingin Anda tambahi peran:
- Jika akun layanan belum ada dalam daftar Anggota, akun tersebut tidak memiliki peran yang ditetapkan. Klik Add, lalu masukkan alamat email akun layanan.
- Jika akun layanan sudah ada dalam daftar Anggota, berarti akun tersebut memiliki peran yang sudah ada. Pilih akun layanan, lalu klik tab Peran.
Luaskan peran. Untuk akun layanan yang ingin Anda edit, klik
Edit.Pilih peran Other > Cloud Service Mesh Client.
Untuk menerapkan peran ke akun layanan, klik Simpan.
gcloud
Jalankan perintah berikut:
gcloud projects add-iam-policy-binding PROJECT \ --member serviceAccount:SERVICE_ACCOUNT_EMAIL \ --role=roles/trafficdirector.client
Ganti kode berikut:
PROJECT
: masukkangcloud config get-value project
SERVICE_ACCOUNT_EMAIL
: email yang terkait dengan akun layanan
Mengaktifkan API yang diperlukan
Aktifkan API yang diperlukan berikut ini.
- osconfig.googleapis.com
- trafficdirector.googleapis.com
- compute.googleapis.com
- networkservices.googleapis.com
Untuk mengaktifkan API yang diperlukan, gunakan petunjuk berikut.
Konsol
Di konsol Google Cloud, buka halaman API Library untuk project Anda.
Di kolom Search for APIs & Services, masukkan
Traffic Director
.Di daftar hasil penelusuran, klik Traffic Director API. Jika Anda tidak melihat Traffic Director API tercantum, artinya Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Traffic Director API.
Di halaman Traffic Director API, klik Enable.
Di kolom Search for APIs & Services, masukkan
OS Config
.Di daftar hasil penelusuran, klik OS Config. Jika OS Config API tidak tercantum, berarti Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Traffic Director API.
Di halaman OS Config API, klik Enable.
Di kolom Search for APIs & Services, masukkan
Compute
.Dalam daftar hasil penelusuran, klik Compute Engine API. Jika Compute Engine API tidak tercantum, berarti Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Compute Engine API.
Di halaman Compute Engine API, klik Enable.
Di kolom Search for APIs & Services, masukkan
Network Services
.Dalam daftar hasil penelusuran, klik Network Services API. Jika Network Services API tidak tercantum, artinya Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Network Services API.
Di halaman Network Services API, klik Enable.
gcloud
Jalankan perintah berikut:
gcloud services enable osconfig.googleapis.com \ trafficdirector.googleapis.com \ compute.googleapis.com \ networkservices.googleapis.com
Versi xDS
API perutean layanan mengharuskan Anda menggunakan xDS v3. Untuk mengetahui informasi tentang cara mengupdate deployment dari xDS v2 ke xDS v3, lihat API bidang kontrol xDS.
Persyaratan tambahan dengan proxy Envoy
Bagian ini menjelaskan persyaratan tambahan untuk menggunakan Cloud Service Mesh dengan API pemilihan rute layanan dan proxy Envoy. Jika Anda men-deploy dengan gRPC tanpa proxy, lihat Persyaratan tambahan dengan gRPC tanpa proxy.
Cara penginstalan Envoy
Selama proses deployment Cloud Service Mesh, Anda membuat template VM yang secara otomatis menginstal Envoy pada VM tempat aplikasi Anda berjalan.
Tentang versi Envoy
Envoy harus versi 1.20.0 atau yang lebih baru agar dapat berfungsi dengan Cloud Service Mesh. Sebaiknya selalu gunakan versi Envoy terbaru untuk memastikan kerentanan keamanan yang diketahui dapat dimitigasi.
Jika Anda memutuskan untuk men-deploy Envoy dengan menggunakan salah satu metode otomatis kami, kami akan menangani tugas ini untuk Anda sebagai berikut:
Deployment Envoy otomatis dengan VM Compute Engine menginstal versi Envoy yang telah kami validasi agar dapat berfungsi dengan Cloud Service Mesh. Saat VM baru dibuat menggunakan template instance, VM tersebut akan menerima versi terbaru yang telah divalidasi. Jika memiliki VM yang berjalan lama, Anda dapat menggunakan update berkelanjutan untuk mengganti VM yang ada dan memilih versi terbaru.
Untuk informasi tentang versi Envoy tertentu, lihat Histori versi. Untuk mengetahui informasi tentang kerentanan keamanan, lihat Saran Keamanan.
Persyaratan tambahan dengan gRPC tanpa proxy
Bagian ini menjelaskan persyaratan tambahan untuk menggunakan Cloud Service Mesh dengan API perutean layanan dan gRPC tanpa proxy. Jika Anda men-deploy dengan proxy Envoy, lihat Persyaratan tambahan dengan proxy Envoy.
Keseluruhan proses dengan gRPC tanpa proxy
Ikuti keseluruhan prosedur untuk menyiapkan aplikasi gRPC tanpa proxy dalam mesh layanan:
- Update klien gRPC Anda ke gRPC versi terbaru, dengan patch terbaru.
- Perbarui skema resolver nama gRPC klien Anda saat membuat saluran dan menentukan file bootstrap Cloud Service Mesh.
- Mengonfigurasi resource Cloud Service Mesh dan Cloud Load Balancing.
Dokumen ini memberikan informasi untuk menyelesaikan dua langkah pertama. Proses konfigurasi yang Anda gunakan untuk langkah 3 bergantung pada apakah deployment Anda menggunakan VM Compute Engine atau Grup endpoint jaringan (NEG) GKE.
Versi dan bahasa gRPC yang didukung
gRPC adalah project open source dan dukungan rilisnya dijelaskan dalam FAQ gRPC. Sebaiknya gunakan gRPC versi terbaru untuk memastikan bahwa kerentanan keamanan yang diketahui dapat dimitigasi. Hal ini juga memastikan bahwa aplikasi Anda memiliki akses ke fitur terbaru yang didukung oleh Cloud Service Mesh. Fitur mesh layanan yang didukung dalam berbagai implementasi dan versi gRPC tercantum di GitHub. Untuk mengetahui daftar fitur dan bahasa gRPC yang didukung dengan Cloud Service Mesh dan layanan gRPC tanpa proxy, lihat fitur Cloud Service Mesh.
Cloud Service Mesh mempertahankan kompatibilitas dengan versi gRPC yang saat ini dan didukung serta berupaya agar kompatibel dengan versi gRPC yang berusia kurang dari satu tahun, dengan tunduk pada Persyaratan Layanan Google Cloud Platform.
Mengupdate klien gRPC Anda
Update library gRPC di aplikasi Anda ke versi yang mendukung fitur yang Anda perlukan. Untuk mengetahui detailnya, lihat bagian sebelumnya.
Tambahkan name-resolver xDS sebagai dependensi ke aplikasi gRPC Anda. Persyaratan per bahasa untuk Java dan Go ditampilkan di bagian berikut. Bahasa lain tidak memiliki persyaratan tambahan.
Persyaratan Java
Di Java, jika Anda menggunakan Gradle, tambahkan dependensi grpc-xds
ke file
build.gradle
Anda. Ganti LATEST_GRPC_VERSION
dengan gRPC versi terbaru.
dependencies { runtimeOnly 'io.grpc:grpc-xds:LATEST_GRPC_VERSION' }
Jika Anda menggunakan Maven, tambahkan kode berikut ke bagian <dependencies>
pada pom.xml. Ganti LATEST_GRPC_VERSION
dengan gRPC versi terbaru.
<dependency> <groupId>io.grpc</groupId> <artifactId>grpc-xds</artifactId> <version>LATEST_GRPC_VERSION</version> <scope>runtime</scope> </dependency>
Persyaratan Go
Jika Anda menggunakan Go, impor paket xds Go.
Menetapkan resolver nama gRPC untuk menggunakan xds
Tetapkan atau ubah aplikasi gRPC Anda untuk menggunakan skema resolusi nama xds
di
URI target, bukan DNS atau skema resolver lainnya. Anda melakukannya dengan
menggunakan imbuhan xds:///
dalam nama target saat membuat saluran gRPC.
Load balancing untuk klien gRPC per saluran.
Sertakan nama layanan yang digunakan dalam URI target di konfigurasi Cloud Service Mesh. Misalnya, pada Java, Anda membuat
saluran menggunakan struktur ini, yang nama layanannya adalah helloworld
:
ManagedChannelBuilder.forTarget("xds:///helloworld[:PORT_NUMBER]")
Membuat dan mengonfigurasi file bootstrap
Skema resolver xds
memberi tahu aplikasi gRPC untuk terhubung ke Cloud Service Mesh guna mendapatkan informasi konfigurasi untuk layanan target. Oleh karena itu, lakukan hal berikut:
- Buat file bootstrap, seperti yang ditunjukkan dalam contoh berikut. File ini memberi tahu gRPC untuk terhubung ke server xDS (Cloud Service Mesh) guna mendapatkan konfigurasi untuk layanan tertentu.
- Tentukan variabel lingkungan bernama
GRPC_XDS_BOOTSTRAP
, dengan nama file bootstrap sebagai nilai variabel lingkungan.
Petunjuk penyiapan memiliki contoh yang menunjukkan cara menghasilkan file bootstrap. Untuk memudahkan, Anda dapat menggunakan generator bootstrap gRPC Cloud Service Mesh versi terbaru.
File bootstrap yang berisi informasi yang diperlukan untuk terhubung ke Cloud Service Mesh harus disertakan bersama aplikasi. Contoh file bootstrap terlihat seperti ini:
{ "xds_servers": [ { "server_uri": "trafficdirector.googleapis.com:443", "channel_creds": [ { "type": "google_default" } ], "server_features": ["xds_v3"] } ], "node": { "id": "projects/123456789012/networks/default/nodes/b7f9c818-fb46-43ca-8662-d3bdbcf7ec18", "metadata": { "TRAFFICDIRECTOR_NETWORK_NAME": "default" }, "locality": { "zone": "us-central1-a" } } }
Tabel berikut menjelaskan kolom dalam file bootstrap.
Kolom | Nilai dan deskripsi |
---|---|
xds_servers |
Daftar server xDS. gRPC hanya menggunakan yang pertama dalam daftar. |
server_uri |
Tentukan minimal satu. gRPC akan mencoba terhubung hanya ke server xDS pertama dalam daftar xds_servers . Nilai defaultnya adalah
trafficdirector.googleapis.com:443 . |
channel_creds |
Kredensial yang akan digunakan dengan server xDS. |
type |
Gunakan nilai google_default . Untuk mengetahui informasi selengkapnya tentang
cara memperoleh kredensial, lihat
Mulai menggunakan autentikasi. |
server_features |
Daftar fitur yang didukung server, seperti dukungan xDS v3. Nilai defaultnya kosong. |
node |
Informasi tentang klien yang terhubung ke server xDS. |
id |
projects/PROJECT_NUMBER/networks/NETWORK_NAME/nodes/ID Berikan string unik sebagai nilai |
metadata |
Informasi khusus untuk server xDS. |
TRAFFICDIRECTOR_MESH_NAME |
Jika kolom ini kosong atau tidak ditentukan, nilai akan ditetapkan ke default . |
locality |
Zona Google Cloud tempat klien gRPC dijalankan. |
Lanjutkan proses penyiapan
Setelah Anda menyelesaikan prasyarat yang dijelaskan dalam dokumen ini, lanjutkan dengan salah satu dokumen berikut jika Anda mengonfigurasi Cloud Service Mesh dengan API perutean layanan:
- Menyiapkan layanan gRPC tanpa proxy dengan resource
Mesh
- Menyiapkan proxy Envoy dengan layanan HTTP
- Menyiapkan gateway masuk
- Menyiapkan layanan TCP dengan resource
TCPRoute
- Menyiapkan referensi lintas project dengan resource
Mesh
danRoute
- Menyiapkan pemilihan rute TLS Gateway