Ereignisse mit Cloud Audit-Logs empfangen (gcloud-Befehlszeile)

In dieser Kurzanleitung wird gezeigt, wie Sie einen GKE-Dienst (Google Kubernetes Engine) als Ziel für den Empfang von Ereignissen aus Cloud Storage mithilfe von Eventarc einrichten.

In dieser Kurzanleitung tun Sie Folgendes:

  1. Richten Sie ein Dienstkonto ein, damit Eventarc Ereignisse abrufen und an das Ziel weiterleiten kann.
  2. Cloud Storage-Bucket als Ereignisquelle erstellen
  3. einen GKE-Cluster installieren
  4. GKE-Ziele in Eventarc initialisieren
  5. einen GKE-Dienst bereitstellen, der Ereignisse empfängt
  6. einen Eventarc-Trigger erstellen, der Ereignisse von Cloud Storage an den GKE-Dienst sendet
  7. eine Datei in den Cloud Storage-Bucket hochladen, um ein Ereignis zu generieren und das Ereignis in den GKE-Pod-Logs aufzurufen

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.
  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Install the Google Cloud CLI.
  7. To initialize the gcloud CLI, run the following command:

    gcloud init
  8. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Aktualisieren Sie die Google Cloud CLI-Komponenten:
    gcloud components update
  11. Aktivieren Sie die Eventarc, Resource Manager und Google Kubernetes Engine APIs:
    gcloud services enable eventarc.googleapis.com \
        cloudresourcemanager.googleapis.com \
        container.googleapis.com
  12. Legen Sie die in dieser Kurzanleitung verwendeten Konfigurationsvariablen fest:
    PROJECT_ID=$(gcloud config get-value project)
    TRIGGER_SA=eventarc-sa
    CLUSTER_NAME=events-cluster
    SERVICE_NAME=hello-gke
  13. Wenn Sie der Projektersteller sind, wird Ihnen die einfache Owner-Rolle (roles/owner) zugewiesen. Standardmäßig enthält diese IAM-Rolle (Identity and Access Management) die Berechtigungen, die für den vollständigen Zugriff auf die meisten Google Cloud-Ressourcen erforderlich sind. Sie können diesen Schritt überspringen.

    Wenn Sie nicht der Project Creator sind, müssen dem entsprechenden Hauptkonto die erforderlichen Berechtigungen für das Projekt erteilt werden. Ein Hauptkonto kann beispielsweise ein Google-Konto (für Endnutzer) oder ein Dienstkonto (für Anwendungen und Computing-Arbeitslasten) sein. Weitere Informationen finden Sie auf der Seite Rollen und Berechtigungen für Ihr Ereignisziel.

    Erforderliche Berechtigungen

    Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen der Kurzanleitung benötigen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

  14. Das Compute Engine-Standarddienstkonto wird nach der Aktivierung oder Verwendung eines Google Cloud-Dienstes, der Compute Engine verwendet, automatisch erstellt.

    Zu Testzwecken können Sie dieses Dienstkonto an einen Eventarc-Trigger anhängen, um die Identität des Triggers darzustellen. Beachten Sie das E-Mail-Format, das beim Erstellen eines Triggers verwendet werden muss:

    PROJECT_NUMBER-compute@developer.gserviceaccount.com
    

    Ersetzen Sie PROJECT_NUMBER durch Ihre Google Cloud-Projektnummer. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:

    gcloud projects describe PROJECT_ID --format='value(projectNumber)'

    Dem Compute Engine-Dienstkonto wird automatisch die einfache Rolle "Editor" (roles/editor) für Ihr Projekt zugewiesen. Wenn die automatischen Rollenzuweisungen jedoch deaktiviert wurden, lesen Sie die entsprechende Anleitung zu Rollen und Berechtigungen, um ein neues Dienstkonto zu erstellen und ihm die erforderlichen Rollen zuzuweisen.

  15. Weisen Sie dem Compute Engine-Standarddienstkonto die Rolle "Pub/Sub-Abonnent" (roles/pubsub.subscriber) für das Projekt zu, damit der Eventarc-Trigger Ereignisse aus Pub/Sub abrufen kann.
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
        --role=roles/pubsub.subscriber
  16. Weisen Sie dem Compute Engine-Standarddienstkonto die Rolle „Eventarc-Ereignisempfänger“ (roles/eventarc.eventReceiver) für das Projekt zu, damit der Eventarc-Trigger Ereignisse vom Ereignisanbieter empfangen kann.
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
        --role=roles/eventarc.eventReceiver
  17. Wenn Sie den Cloud Pub/Sub-Dienst-Agent am oder vor dem 8. April 2021 aktiviert haben, um authentifizierte Pub/Sub-Push-Anfragen zu unterstützen, weisen Sie dem von Google verwalteten Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) zu. Andernfalls wird diese Rolle standardmäßig zugewiesen:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountTokenCreator
  18. Aktivieren Sie für Google Cloud Storage die Logtypen für folgende Dienste: Lesen durch Administrator, Daten lesen und Daten schreiben:

    1. Lesen Sie die IAM-Richtlinie des Projekts und speichern Sie sie in einer Datei:
      gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
    2. Bearbeiten Sie die Richtlinie in /tmp/policy.yaml, wobei Sie nur die Konfiguration der Audit-Logs für den Datenzugriff hinzufügen oder ändern. Achtung: Sie müssen die Abschnitte "bindings:" und "etag:" unverändert beibehalten. Andernfalls kann das Projekt möglicherweise nicht mehr verwendet werden.
      auditConfigs:
        - auditLogConfigs:
          - logType: ADMIN_READ
          - logType: DATA_WRITE
          - logType: DATA_READ
          service: storage.googleapis.com
        bindings:
        - members:
          - user:EMAIL_ADDRESS
          role: roles/owner
        etag: BwW_bHKTV5U=
        version: 1
      Ersetzen Sie EMAIL_ADDRESS durch Ihre E-Mail-Adresse.
    3. Schreiben Sie die neue IAM-Richtlinie:
      gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
      Wenn der vorhergehende Befehl einen Konflikt mit einer anderen Änderung meldet, wiederholen Sie diese Schritte, beginnend mit dem Lesen der IAM-Richtlinie des Projekts.

Cloud Storage-Bucket erstellen

In dieser Kurzanleitung wird Cloud Storage als Ereignisquelle verwendet. Cloud Storage-Bucket erstellen:

gsutil mb -l us-central1 gs://events-quickstart-$(gcloud config get-value project)/

Nachdem die Ereignisquelle erstellt wurde, können Sie den Ereignisempfänger in GKE bereitstellen.

GKE-Cluster erstellen

Ein GKE-Cluster besteht aus mindestens einer Maschine mit der Cluster-Steuerungsebene und mehreren Worker-Maschinen, die Knoten genannt werden. Knoten sind Compute Engine-VM-Instanzen, auf denen die erforderlichen Kubernetes-Prozesse ausgeführt werden, um die Knoten in den Cluster einzubinden. In diesem Fall stellen Sie Anwendungen für Cluster bereit und die Anwendungen werden auf den Knoten ausgeführt.

Erstellen Sie einen Autopilot-Cluster mit dem Namen events-cluster:

gcloud container clusters create-auto $CLUSTER_NAME --region us-central1

Es kann einige Minuten dauern, bis der Cluster erstellt ist. Nachdem der Cluster erstellt wurde, sollte die Ausgabe in etwa so aussehen:

Creating cluster events-cluster...done.
Created [https://container.googleapis.com/v1/projects/MY_PROJECT/zones/us-central1/clusters/events-cluster].
[...]
STATUS: RUNNING

Dadurch wird ein GKE-Cluster mit dem Namen events-cluster in einem Projekt mit der Google Cloud-Projekt-ID MY_PROJECT erstellt.

GKE-Ziele aktivieren

Für jeden Trigger, der auf einen GKE-Dienst abzielt, erstellt Eventarc eine Komponente für den Ereignis-Forwarder, die Ereignisse aus Pub/Sub abruft und an das Ziel weiterleitet. Weisen Sie dem Eventarc-Dienst-Agent Berechtigungen zu, um die Komponente zu erstellen und Ressourcen im GKE-Cluster zu verwalten:

  1. Aktivieren Sie GKE-Ziele für Eventarc:

    gcloud eventarc gke-destinations init
    
  2. Geben Sie bei der Aufforderung, die erforderlichen Rollen zu binden, y ein.

    Die folgenden Rollen sind an das Dienstkonto gebunden:

    • compute.viewer
    • container.developer
    • iam.serviceAccountAdmin

GKE-Dienstziel erstellen

Stellen Sie einen GKE-Dienst bereit, der Ereignisse mit dem vordefinierten Image us-docker.pkg.dev/cloudrun/container/hello empfängt und protokolliert:

  1. Kubernetes verwendet eine YAML-Datei namens kubeconfig, um Informationen zur Clusterauthentifizierung für kubectl zu speichern. Aktualisieren Sie die Datei kubeconfig mit Anmeldedaten und Endpunktinformationen, um auf kubectl auf den GKE-Cluster zu verweisen:

    gcloud container clusters get-credentials $CLUSTER_NAME \
        --region us-central1
    
  2. Erstellen Sie ein Kubernetes-Deployment:

    kubectl create deployment $SERVICE_NAME \
        --image=us-docker.pkg.dev/cloudrun/container/hello
    
  3. Geben Sie es als Kubernetes-Dienst frei:

    kubectl expose deployment $SERVICE_NAME \
        --type ClusterIP --port 80 --target-port 8080
    

Eventarc-Trigger erstellen

Wenn Sie eine Datei in Cloud Storage hochladen, sendet der Eventarc-Trigger Ereignisse aus Cloud Storage an den GKE-Dienst hello-gke.

  1. Erstellen Sie einen Cloud-Audit-Log-Trigger:

    gcloud eventarc triggers create my-gke-trigger \
        --location="us-central1" \
        --destination-gke-cluster="events-cluster" \
        --destination-gke-location="us-central1" \
        --destination-gke-namespace="default" \
        --destination-gke-service="hello-gke" \
        --destination-gke-path="/" \
        --event-filters="type=google.cloud.audit.log.v1.written" \
        --event-filters="serviceName=storage.googleapis.com" \
        --event-filters="methodName=storage.objects.create" \
        --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com"
    

    Dadurch wird ein Trigger mit dem Namen my-gke-trigger erstellt.

  2. Prüfen Sie, ob der Trigger korrekt erstellt wurde.

    gcloud eventarc triggers list
    

    Die Ausgabe sollte in etwa so aussehen:

    NAME: my-gke-trigger
    TYPE: google.cloud.audit.log.v1.written
    DESTINATION: GKE: hello-gke
    ACTIVE: By 20:39:43
    LOCATION: us-central1
    

Ereignis erstellen und abrufen

Laden Sie eine Textdatei in Cloud Storage hoch, um ein Ereignis zu generieren und den GKE-Dienst auszulösen. Sie können sich dann die Nachricht des Ereignisses in den Pod-Logs ansehen.

  1. Laden Sie eine Datei in Cloud Storage hoch:

    echo "Hello World" > random.txt
    gsutil cp random.txt gs://events-quickstart-$(gcloud config get-value project)/random.txt

    Beim Upload wird ein Ereignis erstellt und der GKE-Pod protokolliert die Nachricht des Ereignisses.

  2. So rufen Sie die Ereignisnachricht auf:

    1. Suchen Sie die Pod-ID:

      kubectl get pods

      Die Ausgabe sollte in etwa so aussehen:

      NAME                                         READY   STATUS             RESTARTS   AGE
      hello-gke-645964f578-2mjjt                   1/1     Running            0          35s

      Kopieren Sie den NAME des Pods, der im nächsten Schritt verwendet werden soll.

    2. Prüfen Sie die Logs des Pods:

      kubectl logs NAME

      Ersetzen Sie NAME durch den Namen des Pods, den Sie kopiert haben.

    3. Suchen Sie nach einem Logeintrag wie dem folgenden:

      2022/02/24 22:23:49 Hello from Cloud Run! The container started successfully and is listening for HTTP requests on $PORT
      {"severity":"INFO","eventType":"google.cloud.audit.log.v1.written","message":"Received event of type google.cloud.audit.log.v1.written. [...]}
      

Bereinigen

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen.

Sie können:

  1. Löschen Sie den Cloud Storage-Bucket.

  2. Den Eventarc-Trigger löschen.

  3. Löschen Sie den GKE-Cluster.

Alternativ können Sie Ihr Google Cloud-Projekt löschen, um wiederkehrende Gebühren zu vermeiden. Wenn Sie Ihr Google Cloud-Projekt löschen, wird die Abrechnung für alle in diesem Projekt verwendeten Ressourcen beendet.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Wenn Sie mehrere Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

Nächste Schritte

Ereignisse mit Pub/Sub empfangen (Google Cloud CLI)