빠른 시작: Cloud 감사 로그를 사용하여 이벤트 수신(Google Cloud CLI)
이 빠른 시작에서는 Eventarc를 사용하여 Cloud Run for Anthos가 Cloud Storage에서 이벤트를 수신하도록 설정하는 방법을 보여줍니다.
이 빠른 시작에서는 다음을 수행합니다.
- 이벤트 소스로 사용할 Cloud Storage 버킷을 만듭니다.
- Google Kubernetes Engine(GKE) 클러스터를 만들고 Cloud Run for Anthos를 사용 설정합니다.
- 대상으로 이벤트를 전달하는 이벤트 전달자 구성요소를 사용하여 Pub/Sub에서 이벤트를 가져오도록 서비스 계정을 설정합니다.
- 이벤트를 수신하는 Cloud Run for Anthos 서비스를 배포합니다.
- Eventarc에서 Cloud Run for Anthos 대상을 초기화합니다.
- 이벤트를 Cloud Storage에서 Cloud Run for Anthos 서비스로 전송하는 Eventarc GKE 트리거를 만듭니다.
- 파일을 Cloud Storage 버킷에 업로드하여 이벤트를 생성하고 Cloud Run for Anthos 로그에서 이벤트를 확인합니다.
시작하기 전에
- Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- Google Cloud CLI를 설치하고 초기화합니다.
기본 컴퓨팅 리전을 구성하라는 메시지가 표시되면
n
을 입력합니다. - gcloud 구성요소를 업데이트합니다.
gcloud components update
- Google Cloud, Cloud Build, Resource Manager, Google Kubernetes Engine API, Container Registry, Eventarc API를 사용 설정합니다.
gcloud services enable cloudapis.googleapis.com gcloud services enable cloudbuild.googleapis.com gcloud services enable cloudresourcemanager.googleapis.com gcloud services enable container.googleapis.com gcloud services enable containerregistry.googleapis.com gcloud services enable eventarc.googleapis.com
- 이 빠른 시작에서 사용되는 구성 변수를 설정합니다.
여기서 PROJECT_ID는 Google Cloud 프로젝트 ID입니다.gcloud config set project PROJECT_ID gcloud config set run/cluster events-cluster gcloud config set run/cluster_location us-central1 gcloud config set run/platform gke gcloud config set eventarc/location us-central1
- 선택사항: 다음을 입력하여 Google Cloud CLI를 사용해 구성 설정을 확인할 수 있습니다.
출력은 다음과 비슷하게 표시됩니다.gcloud config list
[eventarc] location = us-central1 [run] cluster = events-cluster cluster_location = us-central1 platform = gke
- Cloud Storage에서 Cloud Audit Logging 관리자 읽기, 데이터 읽기, 데이터 쓰기 로그 유형을 사용 설정하세요.
- 프로젝트의 IAM 정책을 읽고 파일에 저장합니다.
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
/tmp/policy.yaml
에서 정책을 수정하되, 데이터 액세스 감사 로그 구성만 추가하거나 변경합니다. EMAIL_ADDRESS를 이메일 주소로 바꿉니다.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_WRITE - logType: DATA_READ service: storage.googleapis.com bindings: - members: - user:EMAIL_ADDRESS role: roles/owner etag: BwW_bHKTV5U= version: 1
- 다음과 같이 새 IAM 정책을 씁니다.
앞의 명령어가 다른 변경사항과의 충돌을 보고할 경우 이 단계를 반복하면서 프로젝트의 IAM 정책 읽기를 시작합니다.gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
- 프로젝트의 IAM 정책을 읽고 파일에 저장합니다.
Cloud Storage 버킷 만들기
이 빠른 시작에서는 Cloud Storage를 이벤트 소스로 사용합니다. 스토리지 버킷을 만들려면 다음을 실행하세요.
gsutil mb -l us-central1 gs://events-quickstart-$(gcloud config get-value project)/
이벤트 소스가 생성되면 Cloud Run에 이벤트 수신자 서비스를 배포할 수 있습니다.
Cloud Run for Anthos가 사용 설정된 GKE 클러스터 만들기
CloudRun
, HttpLoadBalancing
, HorizontalPodAutoscaling
부가기능이 포함된 Cloud Run for Anthos용 GKE 클러스터를 만듭니다.
GKE 내에서 실행되는 애플리케이션에서 Google Cloud 서비스에 액세스하려면 워크로드 아이덴티티를 사용 설정합니다.
PROJECT_ID=$(gcloud config get-value project) gcloud beta container clusters create events-cluster \ --addons=HttpLoadBalancing,HorizontalPodAutoscaling,CloudRun \ --machine-type=n1-standard-4 \ --enable-autoscaling --min-nodes=2 --max-nodes=10 \ --no-issue-client-certificate --num-nodes=2 \ --enable-stackdriver-kubernetes \ --scopes=cloud-platform,logging-write,monitoring-write,pubsub \ --zone us-central1 \ --release-channel=rapid \ --workload-pool=$PROJECT_ID.svc.id.goog
클러스터 만들기가 완료될 때까지 기다립니다. 만드는 과정에서 표시되는 경고는 무시해도 됩니다. 클러스터가 만들어지면 다음과 유사한 출력이 표시됩니다.
Creating cluster events-cluster...done.
Created [https://container.googleapis.com/v1beta1/projects/my-project
/zones/us-central1/clusters/events-cluster].
여기서 my-project
는 Google Cloud 프로젝트 ID입니다.
그러면 my-project
에 events-cluster
라는 GKE 클러스터가 생성됩니다.
Google 서비스 계정 설정
이벤트 전달자 구성요소가 Pub/Sub에서 이벤트를 가져와 대상으로 전달할 수 있도록 사용자 제공 서비스 계정을 설정하고 해당 계정에 특정 역할을 부여합니다.
트리거를 만드는 데 사용되는
TRIGGER_GSA
라는 서비스 계정을 만듭니다.TRIGGER_GSA=eventarc-crfa-triggers gcloud iam service-accounts create $TRIGGER_GSA
서비스 계정에
pubsub.subscriber
,monitoring.metricWriter
,eventarc.eventReceiver
역할을 부여합니다.gcloud projects add-iam-policy-binding $PROJECT_ID \ --member "serviceAccount:$TRIGGER_GSA@$PROJECT_ID.iam.gserviceaccount.com" \ --role "roles/pubsub.subscriber" gcloud projects add-iam-policy-binding $PROJECT_ID \ --member "serviceAccount:$TRIGGER_GSA@$PROJECT_ID.iam.gserviceaccount.com" \ --role "roles/monitoring.metricWriter" gcloud projects add-iam-policy-binding $PROJECT_ID \ --member "serviceAccount:$TRIGGER_GSA@$PROJECT_ID.iam.gserviceaccount.com" \ --role "roles/eventarc.eventReceiver"
Cloud Run for Anthos 서비스 배포
사전 빌드된 이미지 gcr.io/cloudrun/hello
를 사용하여 이벤트를 수신 및 로깅하는 Cloud Run for Anthos 서비스를 배포합니다.
gcloud run deploy hello \ --platform=gke \ --cluster=events-cluster \ --cluster-location=us-central1 \ --namespace=default \ --image=gcr.io/cloudrun/hello
GKE 대상 사용 설정
Eventarc는 Cloud Run for Anthos 서비스를 타겟팅하는 트리거별로 Pub/Sub에서 이벤트를 가져와 대상으로 전달하는 이벤트 전달자 구성요소를 만듭니다. GKE 클러스터에서 구성요소를 만들고 리소스를 관리하려면 Eventarc 서비스 계정에 권한을 부여합니다.
Eventarc에 GKE 대상을 사용 설정합니다.
gcloud eventarc gke-destinations init
필요한 역할을 결합하라는 메시지가 표시되면
y
를 입력합니다.다음 역할이 서비스 계정에 결합됩니다.
compute.viewer
container.developer
iam.serviceAccountAdmin
Cloud 감사 로그 트리거 만들기
Cloud Storage에 파일을 업로드하면 Eventarc 트리거가 Cloud Storage의 이벤트를 hello
Cloud Run for Anthos 서비스로 전송합니다.
Cloud 감사 로그 트리거를 만듭니다.
gcloud eventarc triggers create my-gke-trigger \ --location=$TRIGGER_LOCATION \ --destination-gke-cluster="events-cluster" \ --destination-gke-location="us-central1" \ --destination-gke-namespace="default" \ --destination-gke-service="hello" \ --destination-gke-path="/" \ --event-filters="type=google.cloud.audit.log.v1.written" \ --event-filters="serviceName=storage.googleapis.com" \ --event-filters="methodName=storage.objects.create" \ --service-account=$TRIGGER_GSA@$PROJECT_ID.iam.gserviceaccount.com
그러면
my-gke-trigger
라는 트리거가 생성됩니다.트리거가 성공적으로 생성되었는지 확인하세요.
gcloud eventarc triggers list
출력은 다음과 비슷하게 표시됩니다.
NAME TYPE DESTINATION_RUN_SERVICE DESTINATION_RUN_PATH ACTIVE my-gke-trigger google.cloud.audit.log.v1.written Yes
이벤트 생성 및 확인
텍스트 파일을 Cloud Storage에 업로드하여 이벤트를 생성하고 Cloud Run for Anthos 서비스를 트리거합니다. 그런 다음 Cloud Run for Anthos 서비스 로그에서 이벤트 메시지를 볼 수 있습니다.
텍스트 파일을 Cloud Storage에 업로드합니다.
echo "Hello World" > random.txt gsutil cp random.txt gs://events-quickstart-$(gcloud config get-value project)/random.txt
업로드 시 이벤트가 생성되고 Cloud Run for Anthos에서 이벤트의 메시지를 기록합니다.
이벤트 메시지를 보려면 Cloud Run for Anthos 서비스 로그로 이동합니다.
- Cloud Run for Anthos 페이지로 이동합니다.
hello
서비스를 클릭합니다.- 로그 탭을 선택합니다.
다음과 같은 로그 항목을 찾습니다.
Hello from Cloud Run! The container started successfully and is listening for HTTP requests on $PORT Received event of type google.cloud.audit.log.v1.written.
삭제
Cloud Run에서는 서비스를 사용하지 않을 때 비용이 청구되지 않지만 Container Registry에 컨테이너 이미지를 저장하는 것이나 Eventarc 리소스, Pub/Sub 메시지, GKE 클러스터에 대해 요금이 부과될 수 있습니다.
이미지 삭제, 스토리지 버킷 삭제, GKE 클러스터 삭제를 수행할 수 있습니다.
Eventarc 트리거를 삭제하려면 다음 안내를 따르세요.
gcloud eventarc triggers delete my-gke-trigger
또는 Google Cloud 프로젝트를 삭제하여 비용 청구를 방지할 수 있습니다. 클라우드 프로젝트를 삭제하면 해당 프로젝트 내에서 사용되는 모든 리소스에 대한 청구가 중단됩니다.
gcloud projects delete PROJECT_ID_OR_NUMBER
PROJECT_ID_OR_NUMBER를 프로젝트 ID 또는 번호로 바꿉니다.