Inoltra gli eventi Cloud Pub/Sub a GKE

Un trigger Eventarc dichiara il tuo interesse per un determinato evento o insieme di eventi. Puoi configurare il routing degli eventi specificando i filtri per il trigger, inclusa l'origine evento, e il servizio Google Kubernetes Engine (GKE) target in esecuzione in un cluster GKE. Tieni presente che i target possono includere solo servizi in esecuzione in cluster GKE (pubblici o privati) con endpoint pubblici. Per scegliere come target i servizi nei cluster GKE con endpoint privati, indirizza gli eventi a endpoint HTTP interni.

Eventarc invia gli eventi al ricevitore di eventi in un formato CloudEvents tramite una richiesta HTTP.

Queste istruzioni mostrano come configurare il routing degli eventi al servizio GKE attivato da un eventoCloud Pub/Sub diretto; in questo caso, un messaggio pubblicato in un argomento Pub/Sub. Per maggiori dettagli, consulta l'elenco degli eventi diretti supportati.

Prima di iniziare

Devi abilitare Workload Identity Federation for GKE sul cluster GKE su cui è in esecuzione il servizio di destinazione. Workload Identity Federation for GKE è necessario per configurare correttamente il forwarder di eventi ed è il metodo consigliato per accedere ai serviziGoogle Cloud dalle applicazioni in esecuzione in GKE grazie al miglioramento delle sue proprietà di sicurezza e della sua gestibilità.

Architettura degli eventi Eventarc per i target GKE

Workload Identity Federation for GKE

Le applicazioni in esecuzione su GKE potrebbero richiedere l'accesso alle APIGoogle Cloud . Workload Identity Federation for GKE consente a un service account Kubernetes nel tuo cluster GKE di fungere da service account IAM. I pod che utilizzano il service account Kubernetes configurato si autenticano automaticamente come service account IAM quando accedono alle API Google Cloud . L'utilizzo di Workload Identity Federation for GKE ti consente di assegnare l'autorizzazione e identità distinte e granulari per ogni applicazione nel tuo cluster. Tieni presente che devono essere concesse autorizzazioni specifiche al service account del trigger Eventarc. In questo documento, vedi i passaggi per creare un service account.

Per saperne di più su come attivare e configurare Workload Identity Federation for GKE sui cluster GKE, consulta Utilizzare Workload Identity Federation for GKE.

Forwarder di eventi

Il forwarder di eventi di Eventarc estrae nuovi eventi da Eventarc e li inoltra alla destinazione GKE. Questo componente funge da mediatore tra il livello di trasporto Pub/Sub e il servizio GKE. Funziona sui servizi esistenti e supporta anche i servizi di segnalazione (inclusi quelli non esposti al di fuori del cluster completamente gestito), semplificando la configurazione e la manutenzione. A livello di networking, per ricevere eventi in un servizio GKE, non è necessario aprire il servizio al traffico esterno, in quanto tutti gli eventi vengono inviati da un'origine che si trova all'interno dello stesso cluster GKE.

Tieni presente che il ciclo di vita dell'inoltro di eventi è gestito da Eventarc e che, se lo elimini accidentalmente, Eventarc lo ripristinerà.

Per ogni trigger che punta a una destinazione GKE, il forwarder di eventi (un pod gke-forwarder configurato in modo specifico) esegue le seguenti operazioni:

  1. Utilizza l'API Pub/Sub per aprire una connessione StreamingPull al trasportatore di trigger (un argomento e una sottoscrizione Pub/Sub) e riceve gli eventi non appena diventano disponibili.

  2. Trasforma gli eventi nel formato CloudEvents corretto, li codifica e li invia come richiesta HTTP POST al servizio GKE target.

L'agente di servizio Eventarc ha bisogno dell'autorizzazione per eseguire e aggiornare regolarmente l'istanza gke-forwarder. Questa autorizzazione deve essere concessa una volta per progetto. Per i dettagli, consulta la sezione Abilitare le destinazioni GKE di questo documento.

Prepararsi a creare un trigger

Per ogni trigger che ha come target un servizio GKE, Eventarc crea un componente di inoltro degli eventi. Eventarc richiede le autorizzazioni per installare il componente e gestire le risorse nel cluster GKE. Prima di creare un trigger Eventarc per le destinazioni GKE, assicurati di completare le seguenti attività.

Console

  1. Nella console Google Cloud , nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud .

    Vai al selettore dei progetti

  2. Abilita le API Eventarc, Eventarc Publishing, Google Kubernetes Engine e Resource Manager.

    Abilita le API

  3. Se applicabile, abilita l'API relativa agli eventi diretti. Ad esempio, per gli eventi Cloud Pub/Sub , abilita l'APICloud Pub/Sub .

  4. Se non ne hai già uno, crea un service account gestito dall'utente, poi concedigli i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per il servizio target.

    1. Nella console Google Cloud , vai alla pagina Crea service account.

      Vai a Crea service account

    2. Seleziona il progetto.

    3. Nel campo Nome service account, inserisci un nome. La console Google Cloud compila il campo ID service account in base a questo nome.

      Nel campo Descrizione service account, inserisci una descrizione. Ad esempio, Service account for event trigger.

    4. Fai clic su Crea e continua.

    5. Per fornire l'accesso appropriato, nell'elenco Seleziona un ruolo, seleziona i ruoli Identity and Access Management (IAM) richiesti da concedere al service account. Per maggiori informazioni, consulta Ruoli e autorizzazioni per i target GKE.

      Per altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.

    6. Fai clic su Continua.

    7. Per completare la creazione dell'account, fai clic su Fine.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Abilita le API Eventarc, Eventarc Publishing, Google Kubernetes Engine e Resource Manager.

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    container.googleapis.com \
    cloudresourcemanager.googleapis.com

  3. Se applicabile, abilita l'API relativa agli eventi diretti. Ad esempio, per gli Cloud Pub/Sub eventi, attiva pubsub.googleapis.com.

  4. Se non ne hai già uno, crea un service account gestito dall'utente, poi concedigli i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per la destinazione GKE target.

    1. Crea il service account:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Sostituisci SERVICE_ACCOUNT_NAME con il nome del service account. Deve contenere da 6 a 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini. Una volta creato un account di servizio, non puoi modificarne il nome.

    2. Concedi i ruoli o le autorizzazioni IAM (Identity and Access Management) richiesti. Per maggiori informazioni, consulta la sezione Ruoli e autorizzazioni per i target GKE.

Abilita le destinazioni GKE

Per consentire a Eventarc di gestire le risorse nel cluster GKE, abilita le destinazioni GKE e associa l'agente di servizio Eventarc ai ruoli richiesti.

  1. Abilita le destinazioni GKE per Eventarc:

    gcloud eventarc gke-destinations init

  2. Al prompt per associare i ruoli richiesti, inserisci y.

    Sono associati i seguenti ruoli:

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

Crea un trigger

Puoi creare un trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud .

Console

  1. Nella Google Cloud console, vai alla pagina Trigger di Eventarc.

    Vai ai trigger

  2. Fai clic su Crea trigger.
  3. Digita un Nome trigger.

    Questo è l'ID del trigger e deve iniziare con una lettera. Può contenere fino a 63 lettere minuscole, numeri o trattini.

  4. Per Tipo di trigger, seleziona Origini Google.
  5. Nell'elenco Provider di eventi, seleziona Cloud Pub/Sub.

    Tieni presente che il nome del fornitore di eventi utilizzato nella Google Cloud documentazione associata potrebbe non avere un prefisso di Cloud o Google Cloud. Ad esempio, nella console, Memorystore for Redis è indicato come Google Cloud Memorystore for Redis.

  6. Nell'elenco Tipo di evento, seleziona google.cloud.pubsub.topic.v1.messagePublished tra gli eventi Diretti.
  7. Nell'elenco Seleziona un argomento Cloud Pub/Sub, seleziona un argomento o accetta il valore predefinito Nessuno in modo che venga creato un nuovo argomento.
  8. Nell'elenco Regione, seleziona la stessa regione del servizioGoogle Cloud che genera eventi.

    Per saperne di più, consulta Località Eventarc.

  9. Seleziona l'account di servizio che richiamerà il tuo servizio o flusso di lavoro.

    In alternativa, puoi creare un nuovo account di servizio.

    Specifica l'indirizzo email del account di servizio Identity and Access Management (IAM) associato al trigger e a cui hai precedentemente concesso ruoli specifici richiesti da Eventarc.

  10. Nell'elenco Destinazione evento, seleziona Kubernetes Engine.
  11. Seleziona un servizio.

    Il nome del servizio che riceve gli eventi per l'attivatore. Il servizio deve trovarsi nello stesso progetto del trigger e riceverà gli eventi come richieste HTTP POST inviate al percorso URL principale (/), ogni volta che l'evento viene generato.

  12. Se vuoi, puoi specificare il percorso dell'URL del servizio a cui inviare la richiesta in entrata.

    Questo è il percorso relativo nel servizio di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio: /, /route, route, route/subroute.

  13. (Facoltativo) Per aggiungere un'etichetta, puoi fare clic su Aggiungi etichetta. Le etichette sono coppie chiave/valore che ti aiutano a organizzare le tue risorseGoogle Cloud . Per saperne di più, vedi Che cosa sono le etichette?
  14. Fai clic su Crea.

    15. Una volta creato un trigger, i filtri dell'origine eventi non possono essere modificati. Crea invece un nuovo trigger ed elimina quello precedente. Per saperne di più, consulta Gestire i trigger.

gcloud

Puoi creare un trigger eseguendo un comando gcloud eventarc triggers create insieme ai flag obbligatori e facoltativi.

Messaggi Pub/Sub (argomento esistente)

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --transport-topic=projects/PROJECT_ID/topics/TOPIC_ID \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Sostituisci quanto segue:

  • TRIGGER: l'ID dell'attivatore o un identificatore completo
  • LOCATION: la posizione del trigger Eventarc. In alternativa, puoi impostare la proprietà eventarc/location, ad esempio gcloud config set eventarc/location us-central1.

    I trigger Pub/Sub per Eventarc sono disponibili solo nelle località a una sola regione e non puoi creare un trigger Eventarc globale. Per saperne di più, consulta Località Eventarc.

  • DESTINATION_GKE_CLUSTER: il nome del cluster GKE in cui è in esecuzione il servizio GKE di destinazione che riceve gli eventi.
  • DESTINATION_GKE_LOCATION: (facoltativo) la regione Compute Engine del cluster GKE in cui è in esecuzione il servizio GKE di destinazione. Se non specificato, si presume che il cluster sia un cluster regionale e si trovi nella stessa regione del trigger.
  • DESTINATION_GKE_NAMESPACE: (facoltativo) lo spazio dei nomi in cui è in esecuzione il servizio GKE di destinazione. Se non specificato, viene utilizzato lo spazio dei nomi default.
  • DESTINATION_GKE_SERVICE: il nome del servizio GKE che riceve gli eventi per il trigger. Il servizio può trovarsi in una qualsiasi delle località supportate da GKE e non deve trovarsi nella stessa località del trigger. Tuttavia, il servizio deve trovarsi nello stesso progetto del trigger e riceverà gli eventi come richieste HTTP POST inviate al percorso URL principale (/), ogni volta che l'evento viene generato.
  • DESTINATION_GKE_PATH: (facoltativo) il percorso relativo che specifichi nel servizio GKE di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio: /, /route, route, route/subroute.
  • PROJECT_ID: il tuo ID progetto Google Cloud .
  • TOPIC_ID: l'ID dell'argomento Pub/Sub esistente. L'argomento deve trovarsi nello stesso progetto del trigger.
  • SERVICE_ACCOUNT_NAME: il nome del service account gestito dall'utente.

Note:

  • Il flag --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" è obbligatorio e non può essere modificato. Per un tipo di evento diverso, devi creare un nuovo trigger.
  • Ogni attivatore può avere più filtri evento, separati da virgole in un unico --event-filters=[ATTRIBUTE=VALUE,...] flag, oppure puoi ripetere il flag per aggiungere altri filtri. Solo gli eventi che corrispondono a tutti i filtri vengono inviati alla destinazione. I caratteri jolly e le espressioni regolari non sono supportati.
  • Il flag --transport-topic viene utilizzato per specificare l'ID dell'argomento Pub/Sub esistente o il relativo identificatore completo.
  • Per impostazione predefinita, gli abbonamenti Pub/Sub creati per Eventarc vengono mantenuti indipendentemente dall'attività e non scadono. Per modificare la durata dell'inattività, consulta Gestire gli abbonamenti.

Esempio:

gcloud eventarc triggers create helloworld-trigger \
    --destination-gke-cluster=gke-events-cluster \
    --destination-gke-location=us-central1-a \
    --destination-gke-namespace=default \
    --destination-gke-service=helloworld \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --transport-topic=projects/${PROJECT_ID}/topics/${TOPIC_ID} \
    --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Questo comando crea un trigger denominato helloworld-trigger per l'argomento Pub/Sub identificato da projects/${PROJECT_ID}/topics/${TOPIC_ID}.

Messaggi Pub/Sub (nuovo argomento)

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Sostituisci quanto segue:

  • TRIGGER: l'ID dell'attivatore o un identificatore completo
  • LOCATION: la posizione del trigger Eventarc. In alternativa, puoi impostare la proprietà eventarc/location, ad esempio gcloud config set eventarc/location us-central1.

    I trigger Pub/Sub per Eventarc sono disponibili solo in località a una sola regione e non puoi creare un trigger Eventarc globale. Per maggiori informazioni, vedi Località Eventarc.

  • DESTINATION_GKE_CLUSTER: il nome del cluster GKE in cui è in esecuzione il servizio GKE di destinazione che riceve gli eventi.
  • DESTINATION_GKE_LOCATION: (facoltativo) la regione Compute Engine del cluster GKE in cui è in esecuzione il servizio GKE di destinazione. Se non specificato, si presume che il cluster sia un cluster regionale e si trovi nella stessa regione del trigger.
  • DESTINATION_GKE_NAMESPACE: (facoltativo) lo spazio dei nomi in cui è in esecuzione il servizio GKE di destinazione. Se non specificato, viene utilizzato lo spazio dei nomi default.
  • DESTINATION_GKE_SERVICE: il nome del servizio GKE che riceve gli eventi per il trigger. Il servizio può trovarsi in una qualsiasi delle località supportate da GKE e non deve trovarsi nella stessa località del trigger. Tuttavia, il servizio deve trovarsi nello stesso progetto del trigger e riceverà gli eventi come richieste HTTP POST inviate al percorso URL principale (/), ogni volta che l'evento viene generato.
  • DESTINATION_GKE_PATH: (facoltativo) il percorso relativo che specifichi nel servizio GKE di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio: /, /route, route, route/subroute.
  • SERVICE_ACCOUNT_NAME: il nome del service account gestito dall'utente.
  • PROJECT_ID: il tuo ID progetto Google Cloud .

Note:

  • Il flag --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" è obbligatorio e non può essere modificato. Per un tipo di evento diverso, devi creare un nuovo trigger.
  • Ogni attivatore può avere più filtri evento, separati da virgole in un unico --event-filters=[ATTRIBUTE=VALUE,...] flag, oppure puoi ripetere il flag per aggiungere altri filtri. Solo gli eventi che corrispondono a tutti i filtri vengono inviati alla destinazione. I caratteri jolly e le espressioni regolari non sono supportati.
  • Per impostazione predefinita, gli abbonamenti Pub/Sub creati per Eventarc vengono mantenuti indipendentemente dall'attività e non scadono. Per modificare la durata dell'inattività, consulta Gestire gli abbonamenti.

Esempio:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-gke-cluster=gke-events-cluster \
    --destination-gke-location=us-central1-a \
    --destination-gke-namespace=default \
    --destination-gke-service=helloworld \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Vengono creati un nuovo argomento Pub/Sub e un trigger denominato helloworld-trigger.

Terraform

Puoi creare un trigger per una destinazione GKE utilizzando Terraform. Per maggiori dettagli, vedi Creare un trigger utilizzando Terraform.

Elenca un trigger

Puoi confermare la creazione di un trigger elencando i trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud .

Console

  1. Nella Google Cloud console, vai alla pagina Trigger di Eventarc.

    Vai ai trigger

    Questa pagina elenca i trigger in tutte le posizioni e include dettagli come nomi, regioni, fornitori di eventi, destinazioni e altro ancora.

  2. Per filtrare i trigger:

    1. Fai clic su Filtro o sul campo Trigger del filtro.
    2. Nell'elenco Proprietà, seleziona un'opzione per filtrare i trigger.

    Puoi selezionare una singola proprietà o utilizzare l'operatore logico OR per aggiungere altre proprietà.

  3. Per ordinare i trigger, fai clic su Ordina accanto a un'intestazione di colonna supportata.

gcloud

Esegui questo comando per elencare i trigger:

gcloud eventarc triggers list --location=-

Questo comando elenca i trigger in tutte le posizioni e include dettagli come nomi, tipi, destinazioni e stati.

Passaggi successivi