Mulai menggunakan Endpoint untuk GKE dengan ESPv2

Mengonfigurasi Endpoint

Contoh bookstore-grpc berisi file yang perlu Anda salin secara lokal dan dikonfigurasi.

1. Buat file deskripsi protobuf mandiri dari file .proto layanan Anda:
   1. Simpan salinan bookstore.proto dari repositori contoh. File ini menentukan API layanan Toko Buku.
   2. Buat direktori berikut: mkdir generated_pb2
   3. Buat file deskripsi, api_descriptor.pb, menggunakan compiler buffering protokol protoc. Jalankan perintah berikut di direktori tempat Anda menyimpan bookstore.proto:

      python -m grpc_tools.protoc \
          --include_imports \
          --include_source_info \
          --proto_path=. \
          --descriptor_set_out=api_descriptor.pb \
          --python_out=generated_pb2 \
          --grpc_python_out=generated_pb2 \
          bookstore.proto

      Dalam perintah sebelumnya, --proto_path ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori yang berbeda untuk file input .proto, ubah --proto_path sehingga compiler menelusuri direktori tempat Anda menyimpan bookstore.proto.

2. Buat file YAML konfigurasi gRPC API:
   1. Simpan salinan file api_config.yaml. File ini menentukan konfigurasi gRPC API untuk layanan Toko Buku.
   2. Ganti MY_PROJECT_ID dalam file api_config.yaml dengan project ID Google Cloud Anda. Contoh:

      #
      # Name of the service configuration.
      #
      name: bookstore.endpoints.example-project-12345.cloud.goog
      

      Perhatikan bahwa nilai kolom apis.name dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file .proto; jika tidak, deployment tidak akan berfungsi. Layanan Toko Buku ditentukan dalam bookstore.proto di dalam paket endpoints.examples.bookstore. Nama API-nya yang sepenuhnya memenuhi syarat adalah endpoints.examples.bookstore.Bookstore, seperti yang muncul dalam file api_config.yaml.

      apis:
        - name: endpoints.examples.bookstore.Bookstore

Lihat Mengonfigurasi Endpoint untuk mengetahui informasi selengkapnya.

Men-deploy konfigurasi Endpoint

Untuk men-deploy konfigurasi Endpoints, Anda menggunakan perintah gcloud endpoints services deploy. Perintah ini menggunakan Service Management untuk membuat layanan terkelola.

1. Pastikan Anda berada di direktori tempat file api_descriptor.pb dan api_config.yaml berada.
2. Pastikan project default yang saat ini digunakan alat command line gcloud adalah project Google Cloud yang menjadi tujuan deployment konfigurasi Endpoints. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan layanan tidak dibuat di project yang salah.

   gcloud config list project
   

   Jika Anda perlu mengubah project default, jalankan perintah berikut:

   gcloud config set project YOUR_PROJECT_ID
   

3. Deploy file proto descriptor dan file konfigurasi menggunakan Google Cloud CLI:

   gcloud endpoints services deploy api_descriptor.pb api_config.yaml
   

   Saat membuat dan mengonfigurasi layanan, Manajemen Layanan akan menampilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan berikut akan ditampilkan:

   Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

   CONFIG_ID adalah ID konfigurasi layanan Endpoints unik yang dibuat oleh deployment. Contoh:

   Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]
   

   Pada contoh sebelumnya, 2017-02-13r0 adalah ID konfigurasi layanan dan bookstore.endpoints.example-project.cloud.goog adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoint lagi pada hari yang sama, nomor revisi akan bertambah di ID konfigurasi layanan.

Memeriksa layanan yang diperlukan

Dalam sebagian besar kasus, perintah gcloud endpoints services deploy akan mengaktifkan layanan yang diperlukan ini. Namun, perintah gcloud berhasil diselesaikan, tetapi tidak mengaktifkan layanan yang diperlukan dalam keadaan berikut:

• Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.

• Anda men-deploy konfigurasi Endpoints ke projectGoogle Cloud yang sudah ada tempat layanan ini dinonaktifkan secara eksplisit.

Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan sudah diaktifkan:

gcloud services list

Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Aktifkan juga layanan Endpoints Anda:

gcloud services enable ENDPOINTS_SERVICE_NAME

Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:

• Setelah men-deploy konfigurasi Endpoints, buka halaman Endpoints di Konsol Cloud. Daftar ENDPOINTS_SERVICE_NAME yang mungkin ditampilkan di kolom Nama layanan.

• Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom host spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom name konfigurasi gRPC Endpoints.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud, lihat layanan gcloud.

Jika Anda menerima pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoints.

Lihat Men-deploy konfigurasi Endpoints untuk mengetahui informasi tambahan.

Men-deploy backend API

Sejauh ini Anda telah men-deploy konfigurasi layanan ke Service Management, tetapi Anda belum men-deploy kode yang melayani backend API. Bagian ini akan memandu Anda membuat cluster GKE untuk menghosting backend API dan men-deploy API.

Membuat cluster container

Cluster memerlukan IP alias untuk menggunakan load balancing berbasis container. Untuk membuat cluster container dengan alias IP untuk contoh kita:

gcloud container clusters create espv2-demo-cluster \
    --enable-ip-alias \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Perintah di atas akan membuat cluster, espv2-demo-cluster, dengan subnetwork yang disediakan otomatis di zona us-central1-a.

Mengautentikasi kubectl ke cluster penampung

Untuk menggunakan kubectl guna membuat dan mengelola resource cluster, Anda harus mendapatkan kredensial cluster dan menyediakannya untuk kubectl. Untuk melakukannya, jalankan perintah berikut, dengan mengganti NAME dengan nama cluster baru Anda dan ZONE dengan zona cluster-nya.

gcloud container clusters get-credentials NAME --zone ZONE

Memeriksa izin yang diperlukan

ESP dan ESPv2 memanggil layanan Google yang menggunakan IAM untuk memverifikasi apakah identitas yang memanggil memiliki izin yang cukup untuk mengakses resource IAM yang digunakan. Identitas panggilan adalah akun layanan terlampir yang men-deploy ESP dan ESPv2.

Saat di-deploy di pod GKE, akun layanan terlampir adalah akun layanan node. Biasanya berupa akun layanan default Compute Engine. Ikuti rekomendasi izin ini untuk memilih akun layanan node yang tepat.

Jika Workload Identity digunakan, akun layanan terpisah selain akun layanan node dapat digunakan untuk berkomunikasi dengan layanan Google. Anda dapat membuat akun layanan Kubernetes agar pod dapat menjalankan ESP dan ESPv2, membuat akun layanan Google, serta mengaitkan akun layanan Kubernetes dengan akun layanan Google.

Ikuti langkah-langkah berikut untuk mengaitkan akun layanan Kubernetes dengan akun layanan Google. Akun layanan Google ini adalah akun layanan terlampir.

Jika akun layanan yang dilampirkan adalah akun layanan default Compute Engine project dan konfigurasi layanan endpoint di-deploy di project yang sama, akun layanan harus memiliki izin yang cukup untuk mengakses resource IAM, sehingga langkah penyiapan peran IAM dapat dilewati. Jika tidak, peran IAM berikut harus ditambahkan ke akun layanan yang terlampir.

Tambahkan peran IAM yang diperlukan:

Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2 serta peran IAM yang diperlukan agar akun layanan terlampir dapat mengakses resource ini.

Konfigurasi Layanan Endpoint

ESP dan ESPv2 memanggil Service Control yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM dan ESP serta ESPv2 memerlukan peran Service Controller untuk mengaksesnya.

Peran IAM ada pada konfigurasi layanan endpoint, bukan pada project. Project dapat memiliki beberapa konfigurasi layanan endpoint.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang dilampirkan untuk konfigurasi layanan endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dengan
* SERVICE_NAME adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan terlampir.

Cloud Trace

ESP dan ESPv2 memanggil layanan Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project pelacakan. Di ESP, project pelacakan dan project yang memiliki konfigurasi layanan endpoint adalah sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id, dan secara default ditetapkan ke project yang di-deploy.

ESP dan ESPv2 memerlukan peran Cloud Trace Agent untuk mengaktifkan Cloud Trace.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang dilampirkan:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dengan
* TRACING_PROJECT_ID adalah project ID pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang terpasang. Untuk mengetahui informasi selengkapnya, lihat Apa yang dimaksud dengan peran dan izin?

Mengonfigurasi kunci dan sertifikat SSL Anda

Load balancing berbasis container menggunakan HTTP2 LB yang harus dienkripsi TLS. Hal ini memerlukan deployment sertifikat TLS ke ingress GKE dan ESPv2. Anda dapat menggunakan sertifikat Anda sendiri atau menggunakan sertifikat yang ditandatangani sendiri.

1. Buat sertifikat dan kunci yang ditandatangani sendiri menggunakan openssl. Pastikan Anda memasukkan FQDN yang sama bookstore.endpoints.MY_PROJECT_ID.cloud.goog saat diminta untuk memasukkan "Nama Umum(CN)". Nama ini digunakan oleh klien untuk memverifikasi sertifikat server.

   openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
   -keyout ./server.key -out ./server.crt

2. Buat secret Kubernetes dengan kunci dan sertifikat SSL Anda. Perhatikan bahwa sertifikat disalin ke dua tempat, server.crt dan tls.crt, sebagai rahasia diberikan ke ingress GKE dan ESPv2. Ingress GKE mencari jalur sertifikat tls.crt dan ESPv2 mencari jalur sertifikat server.crt.

   kubectl create secret generic esp-ssl \
   --from-file=server.crt=./server.crt --from-file=server.key=./server.key \
   --from-file=tls.crt=./server.crt --from-file=tls.key=./server.key

Men-deploy API contoh dan ESPv2 ke cluster

Untuk men-deploy layanan gRPC sampel ke cluster agar dapat digunakan oleh klien:

1. git clone repo ini dan buka untuk mengedit file manifes deployment grpc-bookstore.yaml.
2. Ganti SERVICE_NAME dengan nama layanan Endpoints Anda untuk container ESPv2 dan ingress. Ini adalah nama yang sama yang Anda konfigurasi di kolom name dalam file api_config.yaml.
   # Copyright 2016 Google Inc.
   #
   # Licensed under the Apache License, Version 2.0 (the "License");
   # you may not use this file except in compliance with the License.
   # You may obtain a copy of the License at
   #
   #     http://www.apache.org/licenses/LICENSE-2.0
   #
   # Unless required by applicable law or agreed to in writing, software
   # distributed under the License is distributed on an "AS IS" BASIS,
   # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
   # See the License for the specific language governing permissions and
   # limitations under the License
   
   # Use this file to deploy the container for the grpc-bookstore sample
   # and the container for the Extensible Service Proxy (ESP) to
   # Google Kubernetes Engine (GKE).
   
   apiVersion: networking.k8s.io/v1beta1
   kind: Ingress
   metadata:
     name: esp-grpc-bookstore
     annotations:
       kubernetes.io/ingress.class: "gce"
       kubernetes.io/ingress.allow-http: "false"
   spec:
     tls:
     - hosts:
       - SERVICE_NAME
       secretName: esp-ssl
     backend:
       serviceName: esp-grpc-bookstore
       servicePort: 443
   ---
   apiVersion: cloud.google.com/v1
   kind: BackendConfig
   metadata:
     name: esp-grpc-bookstore
   spec:
     healthCheck:
       type: HTTP2
       requestPath: /healthz
       port: 9000
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: esp-grpc-bookstore
     annotations:
       service.alpha.kubernetes.io/app-protocols: '{"esp-grpc-bookstore":"HTTP2"}'
       cloud.google.com/neg: '{"ingress": true, "exposed_ports": {"443":{}}}'
       cloud.google.com/backend-config: '{"default": "esp-grpc-bookstore"}'
   spec:
     ports:
     # Port that accepts gRPC and JSON/HTTP2 requests over TLS.
     - port: 443
       targetPort: 9000
       protocol: TCP
       name: esp-grpc-bookstore
     selector:
       app: esp-grpc-bookstore
     type: ClusterIP
   ---
   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: esp-grpc-bookstore
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: esp-grpc-bookstore
     template:
       metadata:
         labels:
           app: esp-grpc-bookstore
       spec:
         volumes:
         - name: esp-ssl
           secret:
             secretName: esp-ssl
         containers:
         - name: esp
           image: gcr.io/endpoints-release/endpoints-runtime:2
           args: [
             "--listener_port=9000",
             "--service=SERVICE_NAME",
             "--rollout_strategy=managed",
             "--backend=grpc://127.0.0.1:8000",
             "--healthz=/healthz",
             "--ssl_server_cert_path=/etc/esp/ssl",
           ]
           ports:
             - containerPort: 9000
           volumeMounts:
           - mountPath: /etc/esp/ssl
             name:  esp-ssl
             readOnly: true
         - name: bookstore
           image: gcr.io/endpointsv2/python-grpc-bookstore-server:1
           ports:
             - containerPort: 8000
   

   Opsi --rollout_strategy=managed mengonfigurasi ESPv2 untuk menggunakan konfigurasi layanan yang di-deploy terbaru. Saat Anda menentukan opsi ini, dalam waktu satu menit setelah Anda men-deploy konfigurasi layanan baru, ESPv2 akan mendeteksi perubahan dan otomatis mulai menggunakannya. Sebaiknya tentukan opsi ini, bukan memberikan ID konfigurasi tertentu untuk digunakan ESPv2. Untuk mengetahui detail selengkapnya tentang argumen ESPv2, lihat Opsi startup ESPv2.

   Contoh:

       spec:
         containers:
         - name: esp
           image: gcr.io/endpoints-release/endpoints-runtime:2
           args: [
             "--listener_port=9000",
             "--service=bookstore.endpoints.example-project-12345.cloud.goog",
             "--rollout_strategy=managed",
             "--backend=grpc://127.0.0.1:8000"
           ]

   Men-deploy konfigurasi layanan ke Endpoints

   Jika Anda menjalankan banyak Endpoint (lebih dari 100) dalam project Google Cloud yang sama, sebaiknya pasang konfigurasi layanan untuk penampung, bukan menggunakan flag --rollout_strategy=managed untuk menarik konfigurasi layanan dari Service Management API.

   Service Management API memiliki kuota default. Jika sejumlah besar proxy ESPv2 menggunakan --rollout_strategy=managed, semuanya akan melakukan polling untuk mendapatkan konfigurasi layanan terbaru. Kumpulan instance dapat melampaui kuota dan menyebabkan kegagalan update konfigurasi layanan.

   Ikuti langkah-langkah di bawah untuk memasang konfigurasi layanan:
   1. Download konfigurasi JSON config layanan.

   curl -o "/tmp/service_config.json" -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://servicemanagement.googleapis.com/v1/services/SERVICE/configs/CONFIG_ID?view=FULL"
   

   2. Buat resource peta konfigurasi kubernetes dari konfigurasi JSON.

   kubectl create configmap service-config-configmap \
     --from-file=service_config.json:/tmp/service_config.json
   

   3. Pasang resource config map ke penampung dan gunakan tanda --service_config_path untuk menentukan jalur file config.

   Contoh:

     containers:
     - args:
       - --listener_port=8081
       - --backend=http://127.0.0.1:8080
       - --service_json_path=/etc/espv2_config/service_config.json
       - --healthz=/healthz
       image: gcr.io/endpoints-release/endpoints-runtime:2
       name: esp
       ports:
       - containerPort: 8081
         protocol: TCP
       volumeMounts:
       - mountPath: /etc/espv2_config
         name: service-config-volume
     volumes:
     - configMap:
         defaultMode: 420
         name: service-config-configmap
       name: service-config-volume
   

3. Mulai layanan:

   kubectl create -f grpc-bookstore.yaml
   

Jika Anda menerima pesan error, lihat Memecahkan Masalah Endpoint di GKE.

Mendapatkan alamat IP eksternal layanan

Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke contoh API. Mungkin perlu waktu beberapa menit setelah Anda memulai layanan di dalam penampung sebelum alamat IP eksternal siap.

1. Lihat alamat IP eksternal:

   kubectl get ingress

2. Catat nilai untuk EXTERNAL-IP dan simpan dalam variabel lingkungan SERVER_IP. Alamat IP eksternal digunakan untuk mengirim permintaan ke contoh API.

   export SERVER_IP=YOUR_EXTERNAL_IP
   

Mengirim permintaan ke API

Untuk mengirim permintaan ke API contoh, Anda dapat menggunakan contoh klien gRPC yang ditulis dalam Python.

1. Clone repositori git tempat kode klien gRPC dihosting:

   git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
      

2. Ubah direktori kerja Anda:

   cd python-docs-samples/endpoints/bookstore-grpc/
     

3. Instal dependensi:

   pip install virtualenv
   virtualenv env
   source env/bin/activate
   python -m pip install -r requirements.txt

4. Membuat CA root untuk sertifikat yang ditandatangani sendiri

   openssl x509 -in server.crt -out client.pem -outform PEM
     

5. Kirim permintaan ke API contoh:

   python bookstore_client.py --host SERVER_IP --port 443 \
   --servername bookstore.endpoints.MY_PROJECT_ID.cloud.goog --use_tls true --ca_path=client.pem
   

   • Lihat grafik aktivitas untuk API Anda di halaman Endpoints > Services.
     

     Buka halaman Endpoints Services

     Mungkin perlu waktu beberapa saat agar permintaan ditampilkan dalam grafik.

   • Lihat log permintaan untuk API Anda di halaman Logs Explorer.
     

     Buka halaman Logs Explorer

Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.

Anda baru saja men-deploy dan menguji API di Endpoints.