Ereignisse mit Pub/Sub-Nachrichten empfangen (gcloud-CLI)

In dieser Kurzanleitung wird gezeigt, wie Sie einen GKE-Dienst (Google Kubernetes Engine) als Ziel für den Empfang von Pub/Sub-Themenereignissen mithilfe von Eventarc einrichten.

In dieser Kurzanleitung tun Sie Folgendes:

Führen Sie vorbereitende Aufgaben wie das Aktivieren von APIs und das Einrichten eines Dienstkontos aus.
einen GKE-Cluster installieren
GKE-Ziele in Eventarc initialisieren
einen GKE-Dienst bereitstellen, der Ereignisse empfängt
einen Eventarc-Trigger erstellen, der ein Pub/Sub-Thema mit dem GKE-Dienst verbindet
Generieren Sie ein Pub/Sub-Ereignis und rufen Sie es auf.

Hinweise

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Google Cloud-Projekt erstellen oder auswählen.

Erstellen Sie ein Google Cloud-Projekt:
```
gcloud projects create PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud-Projekt, das Sie erstellen.
Wählen Sie das von Ihnen erstellte Google Cloud-Projekt aus:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch den Namen Ihres Google Cloud-Projekts.

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Google Cloud-Projekt erstellen oder auswählen.

Erstellen Sie ein Google Cloud-Projekt:
```
gcloud projects create PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud-Projekt, das Sie erstellen.
Wählen Sie das von Ihnen erstellte Google Cloud-Projekt aus:
```
gcloud config set project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch den Namen Ihres Google Cloud-Projekts.

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Aktualisieren Sie die Google Cloud CLI-Komponenten:
```
gcloud components update
```

Aktivieren Sie die Eventarc, Resource Manager und Google Kubernetes Engine APIs:

gcloud services enable eventarc.googleapis.com \
   cloudresourcemanager.googleapis.com \
   container.googleapis.com

Legen Sie die in dieser Kurzanleitung verwendeten Konfigurationsvariablen fest:

PROJECT_ID=$(gcloud config get-value project)
CLUSTER_NAME=events-cluster
SERVICE_NAME=hello-gke
LOCATION=us-central1

Wenn Sie der Projektersteller sind, wird Ihnen die einfache Owner-Rolle (roles/owner) zugewiesen. Standardmäßig enthält diese IAM-Rolle (Identity and Access Management) die Berechtigungen, die für den vollständigen Zugriff auf die meisten Google Cloud-Ressourcen erforderlich sind. Sie können diesen Schritt überspringen.

Wenn Sie nicht der Project Creator sind, müssen dem entsprechenden Hauptkonto die erforderlichen Berechtigungen für das Projekt erteilt werden. Ein Hauptkonto kann beispielsweise ein Google-Konto (für Endnutzer) oder ein Dienstkonto (für Anwendungen und Computing-Arbeitslasten) sein. Weitere Informationen finden Sie auf der Seite Rollen und Berechtigungen für Ihr Ereignisziel.
Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen der Anleitung benötigen:
- Eventarc Admin (roles/eventarc.admin)
- Kubernetes Engine-Administrator (roles/container.admin)
- Zugriffsberechtigter für Logbetrachtung (roles/logging.viewAccessor)
- Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
- Pub/Sub Publisher (roles/pubsub.publisher)
- Service Account Admin (roles/iam.serviceAccountAdmin)
- Service Account User (roles/iam.serviceAccountUser)
- Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Das Compute Engine-Standarddienstkonto wird nach der Aktivierung oder Verwendung eines Google Cloud-Dienstes, der Compute Engine verwendet, automatisch erstellt.

Zu Testzwecken können Sie dieses Dienstkonto an einen Eventarc-Trigger anhängen, um die Identität des Triggers darzustellen. Beachten Sie das E-Mail-Format, das beim Erstellen eines Triggers verwendet werden muss:
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
Ersetzen Sie PROJECT_NUMBER durch Ihre Google Cloud-Projektnummer. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
Dem Compute Engine-Dienstkonto wird automatisch die einfache Rolle "Editor" (roles/editor) für Ihr Projekt zugewiesen. Wenn die automatischen Rollenzuweisungen jedoch deaktiviert wurden, lesen Sie die entsprechende Anleitung zu Rollen und Berechtigungen, um ein neues Dienstkonto zu erstellen und ihm die erforderlichen Rollen zuzuweisen.

Achtung: Wir empfehlen, das Compute Engine-Standarddienstkonto nur zu Testzwecken zu verwenden. Für Produktionsumgebungen empfehlen wir dringend, ein neues Dienstkonto zu erstellen und ihm eine oder mehrere IAM-Rollen zuzuweisen, die die erforderlichen Mindestberechtigungen enthalten und dem Grundsatz der geringsten Berechtigung folgen.

Weisen Sie dem Compute Engine-Standarddienstkonto die Rolle "Pub/Sub-Abonnent" (roles/pubsub.subscriber) für das Projekt zu, damit der Eventarc-Trigger Ereignisse aus Pub/Sub abrufen kann.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role=roles/pubsub.subscriber
```

Wenn Sie den Cloud Pub/Sub-Dienst-Agent am oder vor dem 8. April 2021 aktiviert haben, um authentifizierte Pub/Sub-Push-Anfragen zu unterstützen, weisen Sie dem von Google verwalteten Dienstkonto die Rolle „Service Account Token Creator“ (roles/iam.serviceAccountTokenCreator) zu. Andernfalls wird diese Rolle standardmäßig zugewiesen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```

GKE-Cluster erstellen

Ein GKE-Cluster besteht aus mindestens einer Maschine mit der Cluster-Steuerungsebene und mehreren Worker-Maschinen, die Knoten genannt werden. Knoten sind Compute Engine-VM-Instanzen, auf denen die erforderlichen Kubernetes-Prozesse ausgeführt werden, um die Knoten in den Cluster einzubinden. In diesem Fall stellen Sie Anwendungen für Cluster bereit und die Anwendungen werden auf den Knoten ausgeführt.

Erstellen Sie einen Autopilot-Cluster mit dem Namen events-cluster:

gcloud container clusters create-auto $CLUSTER_NAME \
    --region $LOCATION

Es kann einige Minuten dauern, bis der Cluster erstellt ist. Nachdem der Cluster erstellt wurde, sollte die Ausgabe in etwa so aussehen:

Creating cluster events-cluster...done.
Created [https://container.googleapis.com/v1/projects/MY_PROJECT/zones/us-central1/clusters/events-cluster].
[...]
STATUS: RUNNING

Damit wird ein GKE-Cluster mit dem Namen events-cluster in einem Projekt mit der Google Cloud-Projekt-ID MY_PROJECT erstellt.

GKE-Ziele aktivieren

Für jeden Trigger, der auf einen GKE-Dienst abzielt, erstellt Eventarc eine Komponente für den Ereignis-Forwarder, die Ereignisse aus Pub/Sub abruft und an das Ziel weiterleitet. Weisen Sie dem Eventarc-Dienst-Agent Berechtigungen zu, um die Komponente zu erstellen und Ressourcen im GKE-Cluster zu verwalten:

Aktivieren Sie GKE-Ziele für Eventarc:
```
gcloud eventarc gke-destinations init
```
Geben Sie bei der Aufforderung, die erforderlichen Rollen zu binden, y ein.

Die folgenden Rollen sind an das Dienstkonto gebunden:
- compute.viewer
- container.developer
- iam.serviceAccountAdmin

GKE-Dienstziel erstellen

Stellen Sie mit dem vordefinierten Image gcr.io/cloudrun/hello einen GKE-Dienst bereit, der Ereignisse empfängt und protokolliert:

Kubernetes verwendet eine YAML-Datei namens kubeconfig, um Informationen zur Clusterauthentifizierung für kubectl zu speichern. Aktualisieren Sie die Datei kubeconfig mit den Anmeldedaten und Endpunktinformationen, um kubectl auf den GKE-Cluster zu verweisen:
```
gcloud container clusters get-credentials $CLUSTER_NAME \
    --region $LOCATION
```

Erstellen Sie ein Kubernetes-Deployment:

kubectl create deployment $SERVICE_NAME \
    --image=gcr.io/cloudrun/hello

Geben Sie es als Kubernetes-Dienst frei:

kubectl expose deployment $SERVICE_NAME \
    --type ClusterIP \
    --port 80 \
    --target-port 8080

Eventarc-Trigger erstellen

Wenn eine Nachricht im Pub/Sub-Thema veröffentlicht wird, sendet der Eventarc-Trigger Nachrichten an den GKE-Dienst hello-gke.

Erstellen Sie einen GKE-Trigger, um Pub/Sub-Nachrichten zu überwachen:

Neues Pub/Sub-Thema

gcloud eventarc triggers create gke-trigger-pubsub \
    --location="$LOCATION" \
    --destination-gke-cluster=$CLUSTER_NAME \
    --destination-gke-location=$LOCATION \
    --destination-gke-namespace=default \
    --destination-gke-service=$SERVICE_NAME \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com"

Dadurch werden ein neues Pub/Sub-Thema und ein Trigger mit dem Namen gke-trigger-pubsub für das Thema erstellt.

Vorhandenes Pub/Sub-Thema

gcloud eventarc triggers create gke-trigger-pubsub \
    --location="$LOCATION" \
    --destination-gke-cluster=$CLUSTER_NAME \
    --destination-gke-location=$LOCATION \
    --destination-gke-namespace=default \
    --destination-gke-service=$SERVICE_NAME \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --transport-topic=projects/PROJECT_ID/topics/TOPIC_ID

Ersetzen Sie Folgendes:

PROJECT_ID: Ihre Google Cloud-Projekt-ID
TOPIC_ID: die ID des vorhandenen Pub/Sub-Themas. Dadurch wird der Trigger gke-trigger-pubsub für das vorhandene Pub/Sub-Thema erstellt.

So prüfen Sie, ob der Trigger erfolgreich erstellt wurde. Es kann bis zu zwei Minuten dauern, bis der Trigger voll funktionsfähig ist.
```
 gcloud eventarc triggers list
```
Die Ausgabe sollte in etwa so aussehen:
```
NAME: gke-trigger-pubsub
TYPE: google.cloud.pubsub.topic.v1.messagePublished
DESTINATION: GKE: hello-gke
ACTIVE: Yes
LOCATION: us-central1
```

Ereignis generieren und aufrufen

Sie können ein Ereignis generieren, um den GKE-Dienst auszulösen, indem Sie eine Nachricht im Pub/Sub-Thema veröffentlichen. Sie können sich die Nachricht in den Pod-Logs ansehen.

Suchen Sie das Pub/Sub-Thema und legen Sie es als Umgebungsvariable fest:

TOPIC=$(gcloud eventarc triggers describe gke-trigger-pubsub \
    --location=us-central1 \
    --format='value(transport.pubsub.topic)')

Senden Sie eine Nachricht an das Pub/Sub-Thema, um ein Ereignis zu generieren:
```
gcloud pubsub topics publish $TOPIC --message="Hello World"
```
Der GKE-Dienst protokolliert die Nachricht des Ereignisses.

So rufen Sie die Ereignisnachricht auf:

Suchen Sie die Pod-ID:

kubectl get pods

Die Ausgabe sollte in etwa so aussehen:

NAME                                         READY   STATUS             RESTARTS   AGE
hello-gke-645964f578-2mjjt                   1/1     Running            0          35s

Kopieren Sie den NAME des Pods, der im nächsten Schritt verwendet werden soll.

Prüfen Sie die Logs des Pods:
```
kubectl logs NAME
```
Ersetzen Sie NAME durch den Namen des Pods, den Sie kopiert haben.

Suchen Sie nach einem Logeintrag wie dem folgenden:

2022/02/24 22:23:49 Hello from Cloud Run! The container started successfully and is listening for HTTP requests on $PORT
{"severity":"INFO","eventType":"google.cloud.pubsub.topic.v1.messagePublished","message":"Received event of type google.cloud.pubsub.topic.v1.messagePublished. Event data: Hello World"[...]}

Bereinigen

Während für Cloud Run keine Kosten anfallen, wenn der Dienst nicht verwendet wird, können dennoch Kosten für die Speicherung des Container-Images in Container Registry, für Eventarc-Ressourcen, Pub/Sub-Nachrichten und für den GKE-Cluster anfallen.

Sie können das Image löschen, das Pub/Sub-Thema löschen und das Pub/Sub-Abo löschen und den GKE-Cluster löschen.

So löschen Sie den Eventarc-Trigger:

gcloud eventarc triggers delete gke-trigger-pubsub

Alternativ können Sie Ihr Google Cloud-Projekt löschen, um wiederkehrende Gebühren zu vermeiden. Wenn Sie Ihr Google Cloud-Projekt löschen, wird die Abrechnung für alle in diesem Projekt verwendeten Ressourcen beendet.

Achtung:Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für diese Anleitung ein bereits bestehendes Projekt verwendet haben, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID verwenden, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, wenn Sie Projekte wiederverwenden.

gcloud projects delete PROJECT_ID_OR_NUMBER

Ersetzen Sie PROJECT_ID_OR_NUMBER durch die Projekt-ID oder Projektnummer.

Nächste Schritte

Ereignisse mit Cloud-Audit-Logs empfangen (Google Cloud CLI)