Inizia a utilizzare Endpoints per Kubernetes con ESP

Questo tutorial mostra come eseguire il deployment di un semplice servizio gRPC di esempio con Extensible Service Proxy (ESP) in un cluster Kubernetes che non viene eseguito suGoogle Cloud. Il tutorial utilizza la versione Python dell'esempio bookstore-grpc. Consulta la sezione Passaggi successivi per esempi di gRPC in altre lingue.

Il tutorial utilizza immagini container predefinite del codice campione e dell'ESP, archiviate in Artifact Registry. Se non hai familiarità con i container, consulta le seguenti risorse per saperne di più:

Per una panoramica di Cloud Endpoints, consulta Informazioni su Endpoints e Architettura di Endpoints.

Obiettivi

Utilizza il seguente elenco di attività di alto livello mentre segui il tutorial. Tutte le attività sono necessarie per inviare correttamente le richieste all'API.

  1. Configura un progetto Google Cloud e scarica il software richiesto. Vedi Prima di iniziare.
  2. Copia e configura i file dall'esempio bookstore-grpc. Consulta Configurazione di Cloud Endpoints.
  3. Esegui il deployment della configurazione di Endpoints per creare un servizio Endpoints. Vedi Deployment della configurazione di Endpoints.
  4. Crea le credenziali per il servizio Endpoints. Vedi Creazione delle credenziali per il tuo servizio.
  5. Crea un backend per erogare l'API e fai il deployment dell'API. Consulta Esegui il deployment del backend dell'API.
  6. Recupera l'indirizzo IP esterno del servizio. Consulta Recuperare l'indirizzo IP esterno del servizio.
  7. Invia una richiesta all'API. Consulta Invio di una richiesta all'API.
  8. Evita che al tuo account Google Cloud vengano addebitati costi. Vedi Libera spazio.

Costi

In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi utenti di Google Cloud potrebbero avere diritto a una prova senza costi.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per saperne di più, consulta Esegui la pulizia.

Prima di iniziare

Questo tutorial presuppone che tu abbia già configurato Minikube o un cluster Kubernetes. Per saperne di più, consulta la documentazione di Kubernetes.

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Prendi nota dell'ID progetto Google Cloud perché ti servirà in seguito.
  7. Installa e inizializza gcloud CLI.
  8. Aggiorna gcloud CLI e installa i componenti di Endpoints. 
    gcloud components update
  9. Assicurati che Google Cloud CLI (gcloud) sia autorizzata ad accedere ai tuoi dati e servizi su Google Cloud: 
    gcloud auth login
     Nella nuova scheda visualizzata, seleziona un account.
  10. Imposta il progetto predefinito sull'ID progetto: 
    gcloud config set project
    YOUR_PROJECT_ID

    Sostituisci YOUR_PROJECT_ID con l'ID progetto Google Cloud .

    Se hai altri progetti Google Cloud e vuoi utilizzare gcloud per gestirli, consulta Gestione delle configurazioni di gcloud CLI.

  11. Installa kubectl: 
    gcloud components install kubectl
  12. Acquisisci nuove credenziali utente da utilizzare per le Credenziali predefinite dell'applicazione. Le credenziali utente sono necessarie per autorizzare kubectl. 
    gcloud auth application-default login
  13. Nella nuova scheda del browser che si apre, scegli un account.
  14. Segui i passaggi descritti nella guida rapida di gRPC Python per installare gRPC e gli strumenti gRPC.

Configurazione di Endpoints

L'esempio bookstore-grpc contiene i file che devi copiare localmente e configurare.

  1. Create a self-contained protobuf descriptor file from your service .proto file:
    1. Save a copy of bookstore.proto from the example repository. This file defines the Bookstore service's API.
    2. Create the following directory: mkdir generated_pb2
    3. Create the descriptor file, api_descriptor.pb, by using the protoc protocol buffers compiler. Run the following command in the directory where you saved bookstore.proto: 
      python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto

      In the preceding command, --proto_path is set to the current working directory. In your gRPC build environment, if you use a different directory for .proto input files, change --proto_path so the compiler searches the directory where you saved bookstore.proto.

  2. Create a gRPC API configuration YAML file:
    1. Save a copy of the api_config.yamlfile. This file defines the gRPC API configuration for the Bookstore service.
    2. Replace MY_PROJECT_ID in your api_config.yaml file with your Google Cloud project ID. For example: 
      #
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog

      Note that the apis.name field value in this file exactly matches the fully-qualified API name from the .proto file; otherwise deployment won't work. The Bookstore service is defined in bookstore.proto inside package endpoints.examples.bookstore. Its fully-qualified API name is endpoints.examples.bookstore.Bookstore, just as it appears in the api_config.yaml file.

      apis:
  - name: endpoints.examples.bookstore.Bookstore

Per saperne di più, consulta Configurazione degli endpoint.

esegui il deployment della configurazione di Endpoints

Per eseguire il deployment della configurazione di Endpoints, utilizza il comando gcloud endpoints services deploy. Questo comando utilizza Service Infrastructure, la piattaforma di servizi di base di Google, utilizzata da Endpoints e da altri servizi per creare e gestire API e servizi.

  1. Make sure you are in the directory where the api_descriptor.pb and api_config.yaml files are located.
  2. Confirm that the default project that the gcloud command-line tool is currently using is the Google Cloud project that you want to deploy the Endpoints configuration to. Validate the project ID returned from the following command to make sure that the service doesn't get created in the wrong project. 
    gcloud config list project

    If you need to change the default project, run the following command:

    gcloud config set project YOUR_PROJECT_ID
  3. Deploy the proto descriptor file and the configuration file by using the Google Cloud CLI: 
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml

    As it is creating and configuring the service, Service Management outputs information to the terminal. When the deployment completes, a message similar to the following is displayed:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID is the unique Endpoints service configuration ID created by the deployment. For example:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    In the previous example, 2017-02-13r0 is the service configuration ID and bookstore.endpoints.example-project.cloud.goog is the service name. The service configuration ID consists of a date stamp followed by a revision number. If you deploy the Endpoints configuration again on the same day, the revision number is incremented in the service configuration ID.

Controllo dei servizi richiesti

Come minimo, Endpoints ed ESP richiedono l'abilitazione dei seguenti servizi Google:
Nome Titolo
servicemanagement.googleapis.com API Service Management
servicecontrol.googleapis.com API Service Control

Nella maggior parte dei casi, il comando gcloud endpoints services deploy attiva questi servizi richiesti. Tuttavia, il comando gcloud viene completato correttamente, ma non abilita i servizi richiesti nelle seguenti circostanze:

  • Se hai utilizzato un'applicazione di terze parti come Terraform e non includi questi servizi.

  • Hai eseguito il deployment della configurazione di Endpoints in un progettoGoogle Cloud esistente in cui questi servizi sono stati disattivati in modo esplicito.

Utilizza il seguente comando per verificare che i servizi richiesti siano abilitati:

gcloud services list

Se non vedi i servizi richiesti elencati, attivali:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Abilita anche il servizio Endpoints:

gcloud services enable ENDPOINTS_SERVICE_NAME

Per determinare il ENDPOINTS_SERVICE_NAME, puoi:

  • Dopo aver eseguito il deployment della configurazione di Endpoints, vai alla pagina Endpoints nella console Cloud. L'elenco dei possibili ENDPOINTS_SERVICE_NAME viene visualizzato nella colonna Nome servizio.

  • Per OpenAPI, ENDPOINTS_SERVICE_NAME è ciò che hai specificato nel campo host della specifica OpenAPI. Per gRPC, ENDPOINTS_SERVICE_NAME è ciò che hai specificato nel campo name della configurazione di gRPC Endpoints.

Per saperne di più sui comandi gcloud, consulta servizi gcloud.

Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi di deployment della configurazione di Endpoints.

Per ulteriori informazioni, consulta Deployment della configurazione di Endpoints.

Creazione delle credenziali per il tuo servizio

Per fornire la gestione della tua API, sia ESP che ESPv2 richiedono i servizi in Service Infrastructure. Per chiamare questi servizi, ESP ed ESPv2 devono utilizzare token di accesso. Quando esegui il deployment di ESP o ESPv2 negli ambienti Google Cloud , come GKE o Compute Engine, ESP ed ESPv2 ottengono token di accesso per te tramite il servizio di metadati Google Cloud .

Quando esegui il deployment di ESP o ESPv2 in un ambiente nonGoogle Cloud , ad esempio il tuo computer locale, un cluster Kubernetes on-premise o un altro provider cloud, devi fornire un file JSON del service account che contenga una chiave privata. ESP ed ESPv2 utilizzano il service account per generare token di accesso per chiamare i servizi necessari per gestire la tua API.

Puoi utilizzare la console Google Cloud o Google Cloud CLI per creare il account di servizio e il file della chiave privata:

Console

  1. Nella console Google Cloud , apri la pagina Service account .

    Vai alla pagina Service account

  2. Fai clic su Seleziona un progetto.
  3. Seleziona il progetto in cui è stata creata l'API e fai clic su Apri.
  4. Fai clic su + Crea account di servizio.
  5. Nel campo Nome service account, inserisci il nome del tuo service account.
  6. Fai clic su Crea.
  7. Fai clic su Continua.
  8. Fai clic su Fine.
  9. Fai clic sull'indirizzo email del account di servizio appena creato.
  10. Fai clic su Chiavi.
  11. Fai clic su Aggiungi chiave, poi su Crea nuova chiave.

  12. Fai clic su Crea. Un file della chiave JSON viene scaricato sul computer.

    Assicurati di archiviare il file della chiave in modo sicuro, perché può essere utilizzato per l'autenticazione come service account. Puoi spostare e rinominare il file come preferisci.

  13. Fai clic su Chiudi.

gcloud

  1. Inserisci quanto segue per visualizzare gli ID progetto dei tuoi progettiGoogle Cloud :

    gcloud projects list

  2. Sostituisci PROJECT_ID nel comando seguente per impostare il progetto predefinito su quello in cui si trova la tua API:

    gcloud config set project PROJECT_ID

  3. Assicurati che Google Cloud CLI (gcloud) sia autorizzata ad accedere ai tuoi dati e servizi su Google Cloud:

    gcloud auth login

    Se hai più di un account, assicurati di scegliere quello che si trova nel progetto Google Cloud in cui si trova l'API. Se esegui gcloud auth list, l'account selezionato viene visualizzato come account attivo per il progetto.

  4. Per creare un account di servizio, esegui questo comando e sostituisci SERVICE_ACCOUNT_NAME e My Service Account con il nome e il nome visualizzato che vuoi utilizzare:

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
   --display-name "My Service Account"

    Il comando assegna un indirizzo email per il account di servizio nel seguente formato:

    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

    Questo indirizzo email è obbligatorio nei comandi successivi.

  5. Crea un file della chiave del account di servizio:

    gcloud iam service-accounts keys create ~/service-account-creds.json \
   --iam-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Aggiungi i ruoli IAM richiesti:

Questa sezione descrive le risorse IAM utilizzate da ESP e ESPv2 e i ruoli IAM richiesti per l'accesso a queste risorse da parte delaccount di serviziot collegato.

Configurazione del servizio endpoint

ESP ed ESPv2 chiamano Service Control che utilizza la configurazione del servizio endpoint. La configurazione del servizio endpoint è una risorsa IAM e ESP ed ESPv2 richiedono il ruolo Service Controller per accedervi.

Il ruolo IAM si trova nella configurazione del servizio endpoint, non nel progetto. Un progetto può avere più configurazioni del servizio di endpoint.

Utilizza il seguente comando gcloud per aggiungere il ruolo al service account collegato per la configurazione del servizio endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dove
* SERVICE_NAME è il nome del servizio endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è il account di servizio collegato.

Cloud Trace

ESP ed ESPv2 chiamano il servizio Cloud Trace per esportare la traccia in un progetto. Questo progetto è chiamato progetto di tracciamento. In ESP, il progetto di tracciamento e il progetto proprietario della configurazione del servizio endpoint sono gli stessi. In ESPv2, il progetto di tracciamento può essere specificato dal flag --tracing_project_id e il valore predefinito è il progetto di deployment.

ESP ed ESPv2 richiedono il ruolo Agente Cloud Trace per abilitare Cloud Trace.

Utilizza il seguente comando gcloud per aggiungere il ruolo al service account collegato:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dove
* TRACING_PROJECT_ID è l'ID progetto di tracciamento
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com è il account di servizio collegato. Per saperne di più, consulta Che cosa sono ruoli e autorizzazioni?

Per ulteriori informazioni sui comandi, consulta gcloud iam service-accounts.

esegui il deployment del backend dell'API

Finora hai eseguito il deployment della configurazione del servizio in Service Management, ma non hai ancora eseguito il deployment del codice che gestisce il backend dell'API. Questa sezione ti guida nel deployment dei container predefiniti per l'API di esempio e ESP in Kubernetes.

Fornire al fornitore di servizi email le credenziali del servizio

ESP, che viene eseguito all'interno di un container, deve accedere alle credenziali archiviate localmente nel file service-account-creds.json. Per fornire a ESP l'accesso alle credenziali, crea un secret Kubernetes e montalo come volume Kubernetes.

Per creare il secret di Kubernetes e montare il volume:

  1. Se hai utilizzato la console Google Cloud per creare il account di servizio, rinomina il file JSON in service-account-creds.json. Sposta il file nella stessa directory in cui si trovano i file api_descriptor.pb e api_config.yaml.

  2. Crea un secret Kubernetes con le credenziali del account di servizio:

     kubectl create secret generic service-account-creds
      --from-file=service-account-creds.json

    Se l'operazione va a buon fine, viene visualizzato il messaggio secret "service-account-creds" created.

Il file manifest di deployment che utilizzi per eseguire il deployment dell'API e di ESP in Kubernetes contiene già il volume secret, come mostrato nelle due sezioni seguenti del file:

volumes:
  - name: service-account-creds
    secret:
      secretName: service-account-creds
 
volumeMounts:
  - mountPath: /etc/nginx/creds
    name: service-account-creds
    readOnly: true

Configurazione del nome del servizio e avvio del servizio

ESP deve conoscere il nome del tuo servizio per trovare la configurazione di cui hai eseguito il deployment in precedenza utilizzando il comando gcloud endpoints services deploy.

Per configurare il nome del servizio e avviarlo:

  1. Salva una copia del file manifest del deployment, k8s-grpc-bookstore.yaml, nella stessa directory di service-account-creds.json.

  2. Apri k8s-grpc-bookstore.yaml e sostituisci SERVICE_NAME con il nome del tuo servizio Endpoints. Si tratta dello stesso nome che hai configurato nel campo name del file api_config.yaml.

    containers:
  - name: esp
    image: gcr.io/endpoints-release/endpoints-runtime:1
    args: [
      "--http2_port=9000",
      "--service=SERVICE_NAME",
      "--rollout_strategy=managed",
      "--backend=grpc://127.0.0.1:8000",
      "--service_account_key=/etc/nginx/creds/service-account-creds.json"
    ]

    L'opzione --rollout_strategy=managed configura ESP in modo che utilizzi la configurazione del servizio di cui è stato eseguito il deployment più recente. Quando specifichi questa opzione, fino a 5 minuti dopo il deployment di una nuova configurazione del servizio, ESP rileva la modifica e inizia a utilizzarla automaticamente. Ti consigliamo di specificare questa opzione anziché un ID configurazione specifico da utilizzare per ESP. Per maggiori dettagli sugli argomenti ESP, consulta Opzioni di avvio di ESP.

  3. Avvia il servizio per eseguirne il deployment su Kubernetes:

    kubectl create -f k8s-grpc-bookstore.yaml

    Se viene visualizzato un messaggio di errore simile al seguente:

    The connection to the server localhost:8080 was refused - did you specify the right host or port?

    Ciò indica che kubectl non è configurato correttamente. Per saperne di più, consulta Configura kubectl.

Ottenere l'indirizzo IP esterno del servizio

Per inviare richieste all'API di esempio, devi disporre dell'indirizzo IP esterno del servizio. Potrebbero essere necessari alcuni minuti dopo l'avvio del servizio nel container prima che l'indirizzo IP esterno sia pronto.

  1. Visualizza l'indirizzo IP esterno: 

    kubectl get service

  2. Prendi nota del valore di EXTERNAL-IP e salvalo in una variabile di ambiente SERVER_IP, in quanto viene utilizzato per l'invio di richieste all'API di esempio.

    export SERVER_IP=YOUR_EXTERNAL_IP

Invio di una richiesta all'API

To send requests to the sample API, you can use a sample gRPC client written in Python.

  1. Clone the git repo where the gRPC client code is hosted:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Change your working directory:

    cd python-docs-samples/endpoints/bookstore-grpc/

  3. Install dependencies: 

    pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

  4. Send a request to the sample API:

    python bookstore_client.py --host SERVER_IP --port 80

Se non ricevi una risposta riuscita, consulta la sezione Risoluzione dei problemi relativi agli errori di risposta.

Hai eseguito il deployment e il test di un'API in Endpoints.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

  1. Elimina l'API:

    gcloud endpoints services delete SERVICE_NAME

    Sostituisci SERVICE_NAME con il nome della tua API.

  2. Elimina il cluster GKE:

    gcloud container clusters delete NAME --zone ZONE

Passaggi successivi