Memulai Endpoints for Kubernetes dengan ESP

Tutorial ini menunjukkan cara men-deploy contoh layanan gRPC sederhana dengan Extensible Service Proxy (ESP) ke cluster Kubernetes yang tidak berjalan di Google Cloud. Tutorial ini menggunakan contoh bookstore-grpc versi Python. Lihat bagian Langkah berikutnya untuk contoh gRPC dalam bahasa lain.

Tutorial ini menggunakan image container bawaan dari kode contoh dan ESP, yang disimpan di Artifact Registry. Jika Anda belum memahami container, lihat informasi selengkapnya di bawah:

Untuk ringkasan Cloud Endpoints, lihat Tentang Endpoints dan Arsitektur Endpoints.

Tujuan

Gunakan daftar tugas tingkat tinggi berikut saat Anda mengerjakan tutorial ini. Semua tugas diperlukan agar berhasil mengirim permintaan ke API.

  1. Siapkan Google Cloud project, lalu download software yang diperlukan. Lihat Sebelum memulai.
  2. Salin dan konfigurasi file dari contoh bookstore-grpc. Lihat Mengonfigurasi Cloud Endpoints.
  3. Deploy konfigurasi Endpoints untuk membuat layanan Endpoints. Lihat Men-deploy konfigurasi Endpoints.
  4. Buat kredensial untuk layanan Endpoints Anda. Lihat Membuat kredensial untuk layanan Anda.
  5. Buat backend untuk menayangkan API dan men-deploy API. Lihat Men-deploy backend API.
  6. Dapatkan alamat IP eksternal layanan. Lihat Mendapatkan alamat IP eksternal layanan.
  7. Kirim permintaan ke API. Lihat Mengirim permintaan ke API.
  8. Hindari menimbulkan biaya pada akun Google Cloud Anda. Lihat Pembersihan.

Biaya

Di dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, baca bagian Pembersihan.

Sebelum memulai

Tutorial ini mengasumsikan bahwa Anda telah menyiapkan Minikube atau cluster Kubernetes. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Kubernetes.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Catat Google Cloud project ID karena akan diperlukan nanti.
  7. Instal dan lakukan inisialisasi gcloud CLI.
  8. Update gcloud CLI dan instal komponen Endpoints. 
    gcloud components update
  9. Pastikan Google Cloud CLI (gcloud) diizinkan untuk mengakses data dan layanan Anda di Google Cloud: 
    gcloud auth login
     Di tab baru yang terbuka, pilih akun.
  10. Tetapkan project default ke project ID Anda: 
    gcloud config set project
    YOUR_PROJECT_ID

    Ganti YOUR_PROJECT_ID dengan ID project Google Cloud Anda.

    Jika Anda memiliki project Google Cloud lain, dan Anda ingin menggunakan gcloud untuk mengelolanya, lihat Mengelola konfigurasi gcloud CLI.

  11. Instal kubectl: 
    gcloud components install kubectl
  12. Dapatkan kredensial pengguna baru untuk digunakan bagi Kredensial Default Aplikasi. Kredensial pengguna diperlukan untuk memberikan otorisasi kubectl. 
    gcloud auth application-default login
  13. Di tab browser baru yang terbuka, pilih akun.
  14. Ikuti langkah-langkah di Panduan Memulai gRPC Python untuk menginstal gRPC dan alat gRPC.

Mengonfigurasi Endpoint

Contoh bookstore-grpc berisi file yang perlu Anda salin secara lokal dan dikonfigurasi.

  1. Buat file deskriptor protobuf mandiri dari file .proto layanan Anda:
    1. Simpan salinan bookstore.proto dari repositori contoh. File ini menentukan API layanan Bookstore.
    2. Buat direktori berikut: mkdir generated_pb2
    3. Buat file deskriptor, api_descriptor.pb, menggunakan compiler buffer protokol protoc. Jalankan perintah berikut di direktori tempat Anda menyimpan bookstore.proto: 
      python -m grpc_tools.protoc \
    --include_imports \
    --include_source_info \
    --proto_path=. \
    --descriptor_set_out=api_descriptor.pb \
    --python_out=generated_pb2 \
    --grpc_python_out=generated_pb2 \
    bookstore.proto

      Dalam perintah sebelumnya, --proto_path ditetapkan ke direktori kerja saat ini. Di lingkungan build gRPC, jika Anda menggunakan direktori yang berbeda untuk file input .proto, ubah --proto_path sehingga compiler menelusuri direktori tempat Anda menyimpan bookstore.proto.

  2. Buat file YAML konfigurasi gRPC API:
    1. Simpan salinan api_config.yamlfile. File ini menentukan konfigurasi gRPC API untuk layanan Bookstore.
    2. Ganti MY_PROJECT_ID di file api_config.yaml dengan project ID Google Cloud Anda. Contoh: 
      #
# Name of the service configuration.
#
name: bookstore.endpoints.example-project-12345.cloud.goog

      Perhatikan bahwa nilai kolom apis.name dalam file ini sama persis dengan nama API yang sepenuhnya memenuhi syarat dari file .proto; jika tidak, deployment tidak akan berfungsi. Layanan Bookstore ditentukan di bookstore.proto dalam paket endpoints.examples.bookstore. Nama API yang sepenuhnya memenuhi syarat adalah endpoints.examples.bookstore.Bookstore, sama seperti yang muncul dalam file api_config.yaml.

      apis:
  - name: endpoints.examples.bookstore.Bookstore

Lihat Mengonfigurasi Endpoint untuk mengetahui informasi selengkapnya.

Men-deploy konfigurasi Endpoint

Untuk men-deploy konfigurasi Endpoints, Anda menggunakan perintah gcloud endpoints services deploy. Perintah ini menggunakan Service Infrastructure, platform layanan dasar Google, yang digunakan oleh Endpoints dan layanan lain untuk membuat dan mengelola API serta layanan.

  1. Pastikan Anda berada di direktori tempat file api_descriptor.pb dan api_config.yaml berada.
  2. Pastikan project default yang saat ini digunakan oleh alat command line gcloud adalah project Google Cloud yang ingin Anda gunakan untuk men-deploy konfigurasi Endpoints. Validasi project ID yang ditampilkan dari perintah berikut untuk memastikan bahwa layanan tidak dibuat di project yang salah. 
    gcloud config list project

    Jika Anda perlu mengubah project default, jalankan perintah berikut:

    gcloud config set project YOUR_PROJECT_ID
  3. Deploy file proto descriptor dan file konfigurasi menggunakan Google Cloud CLI: 
    gcloud endpoints services deploy api_descriptor.pb api_config.yaml

    Saat membuat dan mengonfigurasi layanan, Service Management akan menampilkan informasi ke terminal. Setelah deployment selesai, pesan yang mirip dengan berikut akan ditampilkan:

    Service Configuration [CONFIG_ID] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    CONFIG_ID adalah ID konfigurasi layanan Endpoints unik yang dibuat oleh deployment. Contoh:

    Service Configuration [2017-02-13r0] uploaded for service [bookstore.endpoints.example-project.cloud.goog]

    Dalam contoh sebelumnya, 2017-02-13r0 adalah ID konfigurasi layanan dan bookstore.endpoints.example-project.cloud.goog adalah nama layanan. ID konfigurasi layanan terdiri dari stempel tanggal yang diikuti dengan nomor revisi. Jika Anda men-deploy konfigurasi Endpoints lagi pada hari yang sama, nomor revisi akan bertambah dalam ID konfigurasi layanan.

Memeriksa layanan yang diperlukan

Minimal, Endpoints dan ESP memerlukan layanan Google berikut diaktifkan:
Nama Judul
servicemanagement.googleapis.com Service Management API
servicecontrol.googleapis.com Service Control API

Dalam sebagian besar kasus, perintah gcloud endpoints services deploy mengaktifkan layanan yang diperlukan ini. Namun, perintah gcloud berhasil diselesaikan, tetapi tidak mengaktifkan layanan yang diperlukan dalam situasi berikut:

  • Jika Anda menggunakan aplikasi pihak ketiga seperti Terraform, dan Anda tidak menyertakan layanan ini.

  • Anda men-deploy konfigurasi Endpoints ke projectGoogle Cloud yang sudah ada dan layanan ini dinonaktifkan secara eksplisit di project tersebut.

Gunakan perintah berikut untuk mengonfirmasi bahwa layanan yang diperlukan sudah diaktifkan:

gcloud services list

Jika Anda tidak melihat layanan yang diperlukan tercantum, aktifkan layanan tersebut:

gcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com

Aktifkan juga layanan Endpoints Anda:

gcloud services enable ENDPOINTS_SERVICE_NAME

Untuk menentukan ENDPOINTS_SERVICE_NAME, Anda dapat:

  • Setelah men-deploy konfigurasi Endpoints, buka halaman Endpoints di Konsol Cloud. Daftar ENDPOINTS_SERVICE_NAME yang mungkin ditampilkan di kolom Nama layanan.

  • Untuk OpenAPI, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom host spesifikasi OpenAPI. Untuk gRPC, ENDPOINTS_SERVICE_NAME adalah yang Anda tentukan di kolom name konfigurasi gRPC Endpoints.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud, lihat layanan gcloud.

Jika Anda menerima pesan error, lihat Memecahkan masalah deployment konfigurasi Endpoints.

Lihat Men-deploy konfigurasi Endpoints untuk mengetahui informasi tambahan.

Membuat kredensial untuk layanan Anda

Untuk menyediakan pengelolaan API Anda, ESP dan ESPv2 memerlukan layanan di Service Infrastructure. Untuk memanggil layanan ini, ESP dan ESPv2 harus menggunakan token akses. Saat Anda men-deploy ESP atau ESPv2 ke lingkungan Google Cloud , seperti GKE atau Compute Engine, ESP dan ESPv2 akan mendapatkan token akses untuk Anda melalui layanan metadata Google Cloud .

Saat men-deploy ESP atau ESPv2 ke lingkungan non-Google Cloud , seperti desktop lokal, cluster Kubernetes lokal, atau penyedia cloud lain, Anda harus memberikan file JSON akun layanan yang berisi kunci pribadi. ESP dan ESPv2 menggunakan akun layanan untuk membuat token akses guna memanggil layanan yang diperlukan untuk mengelola API Anda.

Anda dapat menggunakan Google Cloud konsol atau Google Cloud CLI untuk membuat akun layanan dan file kunci pribadi:

Konsol

  1. Di konsol Google Cloud , buka halaman Service Accounts .

    Buka halaman Service Accounts

  2. Klik Select a project.
  3. Pilih project tempat API Anda dibuat, lalu klik Open.
  4. Klik + Create Service Account.
  5. Di kolom Service account name, masukkan nama akun layanan Anda.
  6. Klik Buat.
  7. Klik Lanjutkan.
  8. Klik Done.
  9. Klik alamat email akun layanan yang baru dibuat.
  10. Klik Kunci.
  11. Klik Tambahkan kunci, lalu klik Buat kunci baru.

  12. Klik Buat. File kunci JSON akan didownload ke komputer Anda.

    Pastikan Anda menyimpan file kunci dengan aman karena file tersebut dapat digunakan untuk melakukan autentikasi sebagai akun layanan Anda. Anda dapat memindahkan dan mengganti nama file ini sesuai keinginan Anda.

  13. Klik Close.

gcloud

  1. Masukkan perintah berikut untuk menampilkan project ID untuk project Google Cloud Anda:

    gcloud projects list

  2. Ganti PROJECT_ID dalam perintah berikut untuk menetapkan project default ke project tempat API Anda berada:

    gcloud config set project PROJECT_ID

  3. Pastikan Google Cloud CLI (gcloud) diizinkan untuk mengakses data dan layanan Anda di Google Cloud:

    gcloud auth login

    Jika Anda memiliki lebih dari satu akun, pastikan untuk memilih akun yang ada di project tempat API berada. Google Cloud Jika Anda menjalankan gcloud auth list, akun yang Anda pilih akan ditampilkan sebagai akun aktif untuk project tersebut.

  4. Untuk membuat akun layanan, jalankan perintah berikut dan ganti SERVICE_ACCOUNT_NAME dan My Service Account dengan nama dan nama tampilan yang ingin Anda gunakan:

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
   --display-name "My Service Account"

    Perintah menetapkan alamat email untuk akun layanan dalam format berikut:

    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

    Alamat email ini diperlukan dalam perintah berikutnya.

  5. Buat file kunci akun layanan:

    gcloud iam service-accounts keys create ~/service-account-creds.json \
   --iam-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Tambahkan peran IAM yang diperlukan:

Bagian ini menjelaskan resource IAM yang digunakan oleh ESP dan ESPv2 serta peran IAM yang diperlukan agar akun layanan terlampir dapat mengakses resource ini.

Konfigurasi Layanan Endpoint

ESP dan ESPv2 memanggil Kontrol Layanan yang menggunakan konfigurasi layanan endpoint. Konfigurasi layanan endpoint adalah resource IAM dan ESP serta ESPv2 memerlukan peran Service Controller untuk mengaksesnya.

Peran IAM ada di konfigurasi layanan endpoint, bukan di project. Project dapat memiliki beberapa konfigurasi layanan endpoint.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terlampir untuk konfigurasi layanan endpoint.

gcloud endpoints services add-iam-policy-binding SERVICE_NAME \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/servicemanagement.serviceController

Dengan
* SERVICE_NAME adalah nama layanan endpoint
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan terlampir.

Cloud Trace

ESP dan ESPv2 memanggil layanan Cloud Trace untuk mengekspor Trace ke project. Project ini disebut project pelacakan. Di ESP, project tracing dan project yang memiliki konfigurasi layanan endpoint adalah sama. Di ESPv2, project pelacakan dapat ditentukan oleh flag --tracing_project_id, dan secara default ditetapkan ke project yang di-deploy.

ESP dan ESPv2 memerlukan peran Cloud Trace Agent untuk mengaktifkan Cloud Trace.

Gunakan perintah gcloud berikut untuk menambahkan peran ke akun layanan yang terlampir:

gcloud projects add-iam-policy-binding TRACING_PROJECT_ID \
  --member serviceAccount:SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/cloudtrace.agent

Dengan
* TRACING_PROJECT_ID adalah project ID pelacakan
* SERVICE_ACCOUNT_NAME@DEPLOY_PROJECT_ID.iam.gserviceaccount.com adalah akun layanan yang terpasang. Untuk mengetahui informasi selengkapnya, lihat Apa yang dimaksud dengan peran dan izin?

Lihat gcloud iam service-accounts untuk mengetahui informasi selengkapnya tentang perintah.

Men-deploy backend API

Sejauh ini Anda telah men-deploy konfigurasi layanan ke Service Management, tetapi Anda belum men-deploy kode yang melayani backend API. Bagian ini akan memandu Anda men-deploy container bawaan untuk contoh API dan ESP ke Kubernetes.

Memberikan kredensial layanan kepada ESP

ESP, yang berjalan di dalam container, memerlukan akses ke kredensial yang disimpan secara lokal dalam file service-account-creds.json. Untuk memberi ESP akses ke kredensial, Anda membuat secret Kubernetes dan memasang secret Kubernetes sebagai volume Kubernetes.

Untuk membuat secret Kubernetes dan memasang volume:

  1. Jika Anda menggunakan konsol Google Cloud untuk membuat akun layanan, ganti nama file JSON menjadi service-account-creds.json. Pindahkan ke direktori yang sama tempat file api_descriptor.pb dan api_config.yaml berada.

  2. Buat secret Kubernetes dengan kredensial akun layanan:

     kubectl create secret generic service-account-creds
      --from-file=service-account-creds.json

    Jika berhasil, Anda akan melihat pesan secret "service-account-creds" created.

File manifes deployment yang Anda gunakan untuk men-deploy API dan ESP ke Kubernetes sudah berisi volume rahasia, seperti yang ditunjukkan dalam dua bagian file berikut:

volumes:
  - name: service-account-creds
    secret:
      secretName: service-account-creds
 
volumeMounts:
  - mountPath: /etc/nginx/creds
    name: service-account-creds
    readOnly: true

Mengonfigurasi nama layanan dan memulai layanan

ESP perlu mengetahui nama layanan Anda untuk menemukan konfigurasi yang Anda deploy sebelumnya menggunakan perintah gcloud endpoints services deploy.

Untuk mengonfigurasi nama layanan dan memulai layanan:

  1. Simpan salinan file manifes deployment, k8s-grpc-bookstore.yaml, ke direktori yang sama dengan service-account-creds.json.

  2. Buka k8s-grpc-bookstore.yaml dan ganti SERVICE_NAME dengan nama layanan Endpoints Anda. Ini adalah nama yang sama dengan yang Anda konfigurasi di kolom name pada file api_config.yaml.

    containers:
  - name: esp
    image: gcr.io/endpoints-release/endpoints-runtime:1
    args: [
      "--http2_port=9000",
      "--service=SERVICE_NAME",
      "--rollout_strategy=managed",
      "--backend=grpc://127.0.0.1:8000",
      "--service_account_key=/etc/nginx/creds/service-account-creds.json"
    ]

    Opsi --rollout_strategy=managed mengonfigurasi ESP untuk menggunakan konfigurasi layanan terbaru yang di-deploy. Saat Anda menentukan opsi ini, hingga 5 menit setelah Anda men-deploy konfigurasi layanan baru, ESP akan mendeteksi perubahan dan otomatis mulai menggunakannya. Sebaiknya tentukan opsi ini, bukan ID konfigurasi tertentu yang akan digunakan ESP. Untuk mengetahui detail selengkapnya tentang argumen ESP, lihat Opsi startup ESP.

  3. Mulai layanan untuk men-deploy layanan di Kubernetes:

    kubectl create -f k8s-grpc-bookstore.yaml

    Jika Anda melihat pesan error yang mirip dengan berikut ini:

    The connection to the server localhost:8080 was refused - did you specify the right host or port?

    Hal ini menunjukkan bahwa kubectl tidak dikonfigurasi dengan benar. Lihat Mengonfigurasi kubectl untuk mengetahui informasi selengkapnya.

Mendapatkan alamat IP eksternal layanan

Anda memerlukan alamat IP eksternal layanan untuk mengirim permintaan ke contoh API. Mungkin perlu waktu beberapa menit setelah Anda memulai layanan di penampung sebelum alamat IP eksternal siap.

  1. Melihat alamat IP eksternal: 

    kubectl get service

  2. Catat nilai EXTERNAL-IP dan simpan di variabel lingkungan SERVER_IP karena akan digunakan saat mengirim permintaan ke contoh API.

    export SERVER_IP=YOUR_EXTERNAL_IP

Mengirim permintaan ke API

Untuk mengirim permintaan ke contoh API, Anda dapat menggunakan contoh klien gRPC yang ditulis dalam Python.

  1. Clone repositori git tempat kode klien gRPC dihosting:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Ubah direktori kerja Anda:

    cd python-docs-samples/endpoints/bookstore-grpc/

  3. Instal dependensi: 

    pip install virtualenv
virtualenv env
source env/bin/activate
python -m pip install -r requirements.txt

  4. Kirim permintaan ke API contoh:

    python bookstore_client.py --host SERVER_IP --port 80

Jika Anda tidak mendapatkan respons yang berhasil, lihat Memecahkan masalah error respons.

Anda baru saja men-deploy dan menguji API di Endpoints.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

  1. Hapus API:

    gcloud endpoints services delete SERVICE_NAME

    Ganti SERVICE_NAME dengan nama API Anda.

  2. Hapus cluster GKE:

    gcloud container clusters delete NAME --zone ZONE

Langkah berikutnya