Encaminhe eventos entre projetos Google Cloud

Este tutorial mostra como usar o Eventarc para ler eventos de uma origem num projeto e encaminhá-los para um destino noutro projeto. Google Cloud Google Cloud Isto é possível através da utilização do Pub/Sub como uma camada de transporte entre projetos.

Objetivos

Neste tutorial, vai:

  1. Criar um tópico num projeto e, em seguida, publicar nesse tópico a partir de outro projeto. Isto encaminha eventos para um serviço do Cloud Run não autenticado através de um acionador do Eventarc.

  2. Use notificações do Pub/Sub para o Cloud Storage para publicar eventos do Cloud Storage de um projeto para outro. Encaminhe os eventos para um serviço do Cloud Run não autenticado através de um acionador do Eventarc.

  3. Use destinos do Cloud Logging para publicar registos de auditoria do Cloud de um projeto para outro. Encaminhe os eventos para um serviço do Cloud Run não autenticado através de um acionador do Eventarc.

Custos

Neste documento, usa os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.

Os novos Google Cloud utilizadores podem ser elegíveis para uma avaliação gratuita.

Antes de começar

As restrições de segurança definidas pela sua organização podem impedir a conclusão dos seguintes passos. Para informações de resolução de problemas, consulte o artigo Desenvolva aplicações num ambiente Google Cloud restrito.

Tenha em atenção que precisa de dois projetos para este tutorial. Os passos seguintes aplicam-se a ambos os projetos.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  12. Atualize os componentes do gcloud: 
    gcloud components update

  13. Inicie sessão com a sua conta: 
    gcloud auth login

    14. Encaminhe eventos Pub/Sub entre projetos

    Uma vez que o Pub/Sub é um serviço distribuído globalmente, pode criar um tópico num projeto, publicar nesse tópico a partir de outro projeto e, em seguida, acionar o Eventarc, que encaminha a mensagem para um serviço do Cloud Run:

    Eventos entre projetos: Cloud Pub/Sub e Eventarc

    1. Defina o Google Cloud ID do projeto para o seu segundo projeto:

      gcloud config set project PROJECT_TWO_ID

      Substitua PROJECT_TWO_ID pelo ID do seu segundo Google Cloud projeto.

    2. No segundo projeto, faça o seguinte:

      1. Ative as APIs Cloud Run e Eventarc:

        gcloud services enable run.googleapis.com eventarc.googleapis.com

      2. Predefina a localização:

        REGION=REGION

        Substitua REGION pela localização do Eventarc suportada à sua escolha. Por exemplo, us-central1.

      3. Crie um tópico do Pub/Sub:

        TOPIC=my-topic
gcloud pubsub topics create $TOPIC

      4. Implemente um serviço do Cloud Run não autenticado com uma imagem pré-criada, us-docker.pkg.dev/cloudrun/container/hello:

        gcloud run deploy hello \
    --image=us-docker.pkg.dev/cloudrun/container/hello \
    --allow-unauthenticated \
    --region=$REGION

        Quando vir o URL do serviço, a implementação está concluída.

      5. Associe o tópico ao serviço com um acionador do Eventarc:

        gcloud eventarc triggers create cross-project-trigger \
    --destination-run-service=hello \
    --destination-run-region=${REGION} \
    --location=${REGION} \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --transport-topic=projects/PROJECT_TWO_ID/topics/$TOPIC

        Esta ação cria um acionador denominado cross-project-trigger.

    3. Defina o Google Cloud ID do projeto para o seu primeiro projeto:

      gcloud config set project PROJECT_ONE_ID

      Substitua PROJECT_ONE_ID pelo ID do seu primeiro Google Cloud projeto.

    4. No primeiro projeto, publique uma mensagem no tópico do segundo projeto:

      gcloud pubsub topics publish projects/PROJECT_TWO_ID/topics/$TOPIC --message="hello"

    5. Defina o Google Cloud ID do projeto para o seu segundo projeto:

      gcloud config set project PROJECT_TWO_ID

    6. No segundo projeto, confirme que o evento gerado foi registado:

      gcloud logging read "resource.labels.service_name=hello AND jsonPayload.message:hello" --format=json

      É devolvida uma entrada de registo semelhante à seguinte:

      "message": "Received event of type google.cloud.pubsub.topic.v1.messagePublished. Event data: hello"

    Encaminhe eventos do Cloud Storage entre projetos

    Use notificações do Pub/Sub para o Cloud Storage para publicar eventos de um projeto para outro e, em seguida, encaminhar os eventos para um serviço do Cloud Run através de um acionador do Eventarc:

    Eventos entre projetos: Cloud Storage e Eventarc

    1. Defina o Google Cloud ID do projeto para o seu primeiro projeto:

      gcloud config set project PROJECT_ONE_ID

    2. Crie um contentor do Cloud Storage:

      PROJECT1=$(gcloud config get-value project)
BUCKET=$PROJECT1-cross-project
gcloud storage buckets create gs://$BUCKET --location=${REGION}

    3. Crie uma notificação Pub/Sub para o contentor no tópico do seu segundo projeto:

      gcloud storage buckets notifications create gs://$BUCKET --topic=projects/PROJECT_TWO_ID/topics/$TOPIC --payload-format=json

    4. Carregue um ficheiro para o contentor:

      echo "Hello World" > random.txt
gcloud storage cp random.txt gs://$BUCKET/random.txt

    5. Defina o Google Cloud ID do projeto para o seu segundo projeto:

      gcloud config set project PROJECT_TWO_ID

    6. No segundo projeto, confirme que o evento gerado foi registado:

      gcloud logging read "resource.labels.service_name=hello AND jsonPayload.message:random.txt" --format=json

      É devolvida uma entrada de registo semelhante à seguinte:

      Received event of type google.cloud.pubsub.topic.v1.messagePublished. Event data: {
  "kind": "storage#object",
  "id": "project1-cross-project/random.txt/1635327604259719",
  "selfLink": "https://www.googleapis.com/storage/v1/b/project1-cross-project/o/random.txt",
  "name": "random.txt",
  "bucket": "project1-cross-project",
  "generation": "1635327604259719",
[...]
}

    Encaminhe eventos dos registos de auditoria do Google Cloud entre projetos

    Os pedidos ao seu serviço podem ser acionados quando é criada uma entrada do registo de auditoria que corresponde aos critérios de filtro do acionador. (Para mais informações, consulte o artigo Determine os filtros de eventos para os registos de auditoria do Cloud.) Neste caso, quando é criada uma instância de VM do Compute Engine no seu primeiro projeto, uma entrada do registo de auditoria que corresponda aos critérios de filtro do acionador permite-lhe capturar e encaminhar um evento para um serviço do Cloud Run no segundo projeto:

    Eventos entre projetos: registos de auditoria do Cloud e Eventarc

    1. Defina o Google Cloud ID do projeto para o seu primeiro projeto:

      gcloud config set project PROJECT_ONE_ID

    2. No seu primeiro projeto, ative os tipos de registos Admin Read, Data Read e Data Write para o Compute Engine:

      Tenha em atenção que, ao nível do projeto, precisa da função de gestão de identidade e de acesso (IAM) para configurar os registos de auditoria de acesso a dados para os seus recursos.roles/owner Google Cloud

      1. Leia a política IAM do seu projeto e armazene-a num ficheiro:

        gcloud projects get-iam-policy PROJECT_ONE_ID > /tmp/policy.yaml

      2. Editar /tmp/policy.yaml, adicionando ou alterando apenas a configuração dos registos de auditoria de acesso aos dados.

        auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: compute.googleapis.com

      3. Escreva a sua nova Política IAM:

        gcloud projects set-iam-policy PROJECT_ONE_ID /tmp/policy.yaml

        Se o comando anterior comunicar um conflito com outra alteração, repita estes passos, começando por ler a política de IAM do projeto.

    3. No primeiro projeto, crie um destinatário do Cloud Logging para encaminhar os registos de auditoria do Google Cloud para o tópico no segundo projeto:

      gcloud logging sinks create cross-project-sink \
    pubsub.googleapis.com/projects/PROJECT_TWO_ID/topics/my-topic \
    --log-filter='protoPayload.methodName="beta.compute.instances.insert"'

      Deve ser devolvido um lembrete semelhante ao seguinte:

      Please remember to grant `serviceAccount:p1011272509317-375795@gcp-sa-logging.iam.gserviceaccount.com` the Pub/Sub Publisher role on the topic.

    4. Defina o Google Cloud ID do projeto para o seu segundo projeto:

      gcloud config set project PROJECT_TWO_ID

    5. No segundo projeto, conceda a função à conta de serviço:

      gcloud pubsub topics add-iam-policy-binding my-topic \
    --member=SERVICE_ACCOUNT \
    --role=roles/pubsub.publisher

      Substitua SERVICE_ACCOUNT pelo endereço de email da conta de serviço devolvido no passo anterior.

    6. Defina o Google Cloud ID do projeto para o seu primeiro projeto:

      gcloud config set project PROJECT_ONE_ID

    7. No seu primeiro projeto, crie uma instância de VM do Compute Engine.

      Se estiver a usar a Google Cloud consola para criar a instância da VM, pode aceitar as predefinições para os fins deste tutorial.

    8. Defina o Google Cloud ID do projeto para o seu segundo projeto:

      gcloud config set project PROJECT_TWO_ID

    9. No segundo projeto, confirme que o evento gerado foi registado:

      gcloud logging read "resource.labels.service_name=hello AND jsonPayload.message:beta.compute.instances.insert" --format=json

      É devolvida uma entrada de registo semelhante à seguinte:

      Received event of type google.cloud.pubsub.topic.v1.messagePublished. Eventdata: {
  "logName": "projects/workflows-atamel/logs/cloudaudit.googleapis.com%2Factivity",
  "operation": {
    "id": "operation-1635330842489-5cf5321f4f454-ecc363cd-3883c08d",
    "last": true,
    "producer": "compute.googleapis.com"
  },
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "methodName": "beta.compute.instances.insert",
  }
[...]
}

    Limpar

    Se criou um novo projeto para este tutorial, elimine o projeto. Se usou um projeto existente e quer mantê-lo sem as alterações adicionadas neste tutorial, elimine os recursos criados para o tutorial.

    Elimine o projeto

    A forma mais fácil de eliminar a faturação é eliminar o projeto que criou para o tutorial.

    Para eliminar o projeto:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

    Elimine recursos de tutoriais

    1. Elimine o serviço do Cloud Run que implementou neste tutorial:

      gcloud run services delete SERVICE_NAME

      Onde SERVICE_NAME é o nome do serviço escolhido.

      Também pode eliminar serviços do Cloud Run a partir da Google Cloud consola.

    2. Remova todas as configurações predefinidas da CLI gcloud que adicionou durante a configuração do tutorial.

      Por exemplo:

      gcloud config unset run/region

      ou

      gcloud config unset project

    3. Elimine outros Google Cloud recursos criados neste tutorial:

      • Elimine o acionador do Eventarc: 

        gcloud eventarc triggers delete TRIGGER_NAME
        Substitua TRIGGER_NAME pelo nome do seu acionador.

      • Elimine o tópico Pub/Sub: 

        gcloud pubsub topics delete TOPIC TOPIC_ID
        Substitua TOPIC_ID pelo ID do seu tópico.

      • Elimine o destino do Cloud Logging: 

        gcloud logging sinks delete SINK_NAME
        Substitua SINK_NAME pelo nome do seu destino.

    O que se segue?