Acheminer les événements Firebase Alerts vers GKE

Un déclencheur Eventarc déclare votre intérêt pour un événement ou un ensemble d'événements spécifique. Vous pouvez configurer le routage d'événements en spécifiant des filtres pour le déclencheur, y compris la source de l'événement et le service Google Kubernetes Engine cible exécuté dans un cluster GKE. Notez que les cibles ne peuvent inclure que des services exécutés dans des clusters GKE (publics ou privés) avec des points de terminaison publics. Pour cibler des services dans des clusters GKE avec des points de terminaison privés, acheminez les événements vers des points de terminaison HTTP internes.

Eventarc fournit des événements au destinataire d'événements au format CloudEvents via une requête HTTP.

Ces instructions vous montrent comment configurer le routage d'événements vers votre service GKE déclenché par un événement Firebase Alerts direct. Pour en savoir plus, consultez la liste des événements directs compatibles.

Avant de commencer

Vous devez activer Workload Identity sur le cluster GKE sur lequel le service de destination s'exécute. Workload Identity est requis pour configurer correctement le redirecteur d'événements. Il s'agit de la méthode recommandée pour accéder aux services Google Cloud à partir d'applications exécutées dans GKE en raison de ses propriétés de sécurité renforcée et de sa facilité de gestion.

Architecture des événements Eventarc vers des cibles GKE

Workload Identity

Les applications exécutées sur GKE peuvent avoir besoin d'accéder aux API Google Cloud. Workload Identity permet à un compte de service Kubernetes de votre cluster GKE d'agir en tant que compte de service IAM. Les pods qui utilisent le compte de service Kubernetes configuré s'authentifient automatiquement en tant que compte de service IAM lorsqu'ils accèdent aux API Google Cloud. L'utilisation de Workload Identity vous permet d'attribuer des identités et des autorisations distinctes et précises pour chaque application de votre cluster. Notez que des autorisations spécifiques doivent être accordées au compte de service du déclencheur Eventarc. Dans ce document, consultez la procédure Créer un compte de service.

Pour en savoir plus sur l'activation et la configuration de Workload Identity sur vos clusters GKE, consultez la page Utiliser Workload Identity.

Redirecteur d'événements

Le redirecteur d'événement d'Eventarc extrait les nouveaux événements d'Eventarc et les transfère vers la destination GKE. Ce composant agit en tant que médiateur entre la couche de transport Pub/Sub et le service GKE. Il fonctionne avec les services existants et prend également en charge les services de signalement (y compris ceux qui ne sont pas exposés en dehors du cluster entièrement géré) tout en simplifiant la configuration et la maintenance. Au niveau de la mise en réseau, pour recevoir des événements dans un service GKE, vous n'avez pas besoin d'ouvrir le service pour le trafic externe, car tous les événements sont diffusés à partir d'une origine résidant dans le même cluster GKE.

Notez que le cycle de vie du redirecteur d'événements est géré par Eventarc. Si vous supprimez accidentellement le redirecteur d'événement, Eventarc restaurera ce composant.

Pour chaque déclencheur pointant vers une destination GKE, le redirecteur d'événements (un pod gke-forwarder spécifiquement configuré) effectue les opérations suivantes :

  1. Il utilise l'API Pub/Sub pour ouvrir une connexion StreamingPull au transporteur de déclencheur (un sujet et un abonnement Pub/Sub) et reçoit des événements dès qu'ils deviennent disponibles.

  2. Il transforme les événements au format CloudEvents approprié, les encode et les transmet sous forme de requête HTTP POST au service GKE cible.

L'agent de service Eventarc a besoin de l'autorisation d'exécuter et de mettre à jour régulièrement l'instance gke-forwarder. Cette autorisation doit être accordée une fois par projet. Pour en savoir plus, consultez ce document sur la page Activer les destinations GKE.

Préparer la création d'un déclencheur

Pour chaque déclencheur ciblant un service GKE, Eventarc crée un composant de redirecteur d'événement. Eventarc nécessite des autorisations pour installer le composant et gérer les ressources dans le cluster GKE. Avant de créer un déclencheur Eventarc pour les destinations GKE, veillez à effectuer les tâches suivantes.

Console

  1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  2. Activez les API Eventarc, Eventarc Publishing, Google Kubernetes Engine et Resource Manager.

    Activer les API

  3. Le cas échéant, activez l'API associée aux événements directs. Par exemple, pour les événements Firebase Alerts, activez l'API Firebase Alerts.

  4. Si vous n'en avez pas encore, créez un compte de service géré par l'utilisateur, puis accordez-lui les rôles et les autorisations nécessaires pour qu'Eventarc puisse gérer les événements de votre service cible.

    1. Dans la console Google Cloud, accédez à la page Créer un compte de service.

      Accéder à la page "Créer un compte de service"

    2. Sélectionnez votre projet.

    3. Dans le champ Nom du compte de service, saisissez un nom. La console Google Cloud remplit le champ ID du compte de service en fonction de ce nom.

      Dans le champ Description du compte de service, saisissez une description. Exemple : Service account for event trigger.

    4. Cliquez sur Créer et continuer.

    5. Pour fournir un accès approprié, dans la liste Sélectionner un rôle, sélectionnez les rôles IAM (Identity and Access Management) requis à attribuer à votre compte de service. Pour en savoir plus, consultez la page Rôles et autorisations pour les cibles GKE.

      Pour ajouter des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.

    6. Cliquez sur Continuer.

    7. Pour terminer la création du compte, cliquez sur OK.

gcloud

  1. Dans la console Google Cloud, activez Cloud Shell.

    Activer Cloud Shell

    En bas de la fenêtre de la console Google Cloud, une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.

  2. Activez les API Eventarc, Eventarc Publishing, Google Kubernetes Engine et Resource Manager.

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    container.googleapis.com \
    cloudresourcemanager.googleapis.com

  3. Le cas échéant, activez l'API associée aux événements directs. Par exemple, pour les événements Firebase Alerts, activez firestore.googleapis.com.

  4. Si vous n'en avez pas encore, créez un compte de service géré par l'utilisateur, puis accordez-lui les rôles et les autorisations nécessaires pour qu'Eventarc puisse gérer les événements pour votre destination GKE cible.

    1. Créez le compte de service :

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Remplacez SERVICE_ACCOUNT_NAME par le nom du compte de service. Il doit comporter entre 6 et 30 caractères alphanumériques pouvant inclure des minuscules et des tirets. Une fois le compte de service créé, vous ne pouvez pas en modifier le nom.

    2. Attribuez les rôles ou les autorisations IAM (Identity and Access Management) requis. Pour en savoir plus, consultez la page Rôles et autorisations pour les cibles GKE.

Activer les destinations GKE

Pour permettre à Eventarc de gérer les ressources du cluster GKE, activez les destinations GKE et liez l'agent de service Eventarc aux rôles requis.

  1. Activez les destinations GKE pour Eventarc :

    gcloud eventarc gke-destinations init

  2. Lorsque vous êtes invité à lier les rôles requis, saisissez y.

    Les rôles suivants sont liés :

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

Créer un déclencheur

Vous pouvez créer un déclencheur Eventarc à l'aide de Google Cloud CLI ou de la console Google Cloud.

Console

  1. Dans la console Google Cloud, accédez à la page Déclencheurs d'Eventarc.

    Accéder à la page "Déclencheurs"

  2. Cliquez sur Créer un déclencheur.
  3. Saisissez un nom de déclencheur

    Il s'agit de l'ID du déclencheur, qui doit commencer par une lettre. Il peut contenir jusqu'à 63 lettres minuscules, chiffres ou traits d'union.

  4. Pour le champ Type de déclencheur, sélectionnez Sources Google.
  5. Dans la liste Fournisseur d'événements, sélectionnez Firebase Alerts.

    Notez que le nom du fournisseur d'événements utilisé dans la documentation Google Cloud associée peut ne pas avoir le préfixe Cloud ou Google Cloud. Par exemple, sur la console, Memorystore pour Redis est appelé Google Cloud Memorystore pour Redis.

  6. Dans la liste Type d'événement, sélectionnez un type d'événement parmi les événements directs.
  7. Pour spécifier l'encodage de la charge utile de l'événement, sélectionnez application/json ou application/protobuf dans la liste Type de contenu des données d'événement.

    Notez qu'une charge utile d'événement au format JSON est supérieure à celle au format Protobuf. Cela peut avoir un impact sur la fiabilité en fonction de la destination de l'événement et de ses limites de taille. Pour en savoir plus, consultez la section Problèmes connus.

  8. Dans la liste Région, sélectionnez global (Global).

    Pour en savoir plus, consultez la page Emplacements Eventarc.

  9. Dans le champ Attribut 1, l'ID de ressource alerttype agit comme un filtre d'événement. Sélectionnez un opérateur pour ce filtre :
  10. Dans le champ Valeur d'attribut 1, sélectionnez l'une des options suivantes :
    • appDistribution.inAppFeedback : l'événement est envoyé lorsqu'un testeurs envoie des commentaires dans l'application pour une application donnée.
    • appDistribution.newTesterIosDevice : l'événement est envoyé lorsqu'un nouvel appareil de test iOS est enregistré pour une application donnée.
    • billing.planAutomatedUpdate : l'événement est envoyé lorsque le mode de facturation d'un projet Firebase est automatiquement mis à jour. Par exemple, lorsqu'un forfait est rétrogradé en raison de problèmes de paiement.
    • billing.planUpdate : l'événement est envoyé lorsque le mode de facturation d'un projet Firebase est modifié par un utilisateur. Par exemple, lorsqu'un compte de facturation est associé ou dissocié d'un projet.
    • crashlytics.missingSymbolFile : l'événement est envoyé lorsque Firebase Crashlytics détermine qu'il ne possède pas les symboles de débogage appropriés pour signaler un rapport d'erreur entrant.
    • crashlytics.newAnrIssue : l'événement est envoyé lorsqu'une application rencontre une nouvelle erreur ANR (pas pour les événements ultérieurs identiques).
    • crashlytics.newFatalIssue : l'événement est envoyé lorsqu'une application subit un nouveau plantage fatal (pas pour des événements ultérieurs identiques).
    • crashlytics.newNonfatalIssue : l'événement est envoyé lorsqu'une application rencontre une nouvelle erreur non fatale (et non pour des événements ultérieurs identiques).
    • crashlytics.regression : l'événement est envoyé lorsqu'une application rencontre un plantage pour un problème marqué comme fermé pour une version précédente de l'application.
    • crashlytics.stabilityDigest : l'événement est envoyé lorsqu'il existe une notification concernant les problèmes les plus courants dans Crashlytics.
    • crashlytics.velocity : événement envoyé lorsqu'un seul problème est responsable du plantage d'un grand nombre de sessions d'application.
    • performance.threshold : l'événement est envoyé lorsque les performances d'une métrique dépassent le seuil défini.
  11. Vous pouvez éventuellement filtrer les événements pour un ID d'application Firebase spécifique. Cliquez sur Ajouter un filtre et spécifiez l'ID de l'application.
  12. Sélectionnez le compte de service qui appellera votre service ou workflow.

    Vous pouvez également créer un nouveau compte de service.

    Cela spécifie l'adresse e-mail du compte de service Identity and Access Management (IAM) associée au déclencheur et auquel vous avez précédemment attribué les rôles spécifiques requis par Eventarc.

  13. Dans la liste Destination de l'événement, sélectionnez Kubernetes Engine.
  14. Sélectionner un service.

    Il s'agit du nom du service qui reçoit les événements du déclencheur. Le service doit se trouver dans le même projet que le déclencheur et recevoir des événements sous forme de requêtes HTTP POST envoyées à son chemin d'URL racine (/), à chaque déclenchement de l'événement.

  15. Vous pouvez éventuellement spécifier le Chemin de l'URL du service auquel envoyer la requête entrante.

    Il s'agit du chemin relatif sur le service de destination auquel les événements du déclencheur doivent être envoyés. Exemple : /, /route, route, route/subroute.

  16. Cliquez sur Créer.

    17. Une fois le déclencheur créé, vous ne pouvez plus modifier les filtres de source d'événement. À la place, vous devez créer un nouveau déclencheur et supprimer l'ancien. Pour en savoir plus, consultez la section Gérer les déclencheurs.

gcloud

Vous pouvez créer un déclencheur en exécutant une commande gcloud eventarc triggers create, associée aux options obligatoires et facultatives.

gcloud eventarc triggers create TRIGGER \
    --location=global \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.firebase.firebasealerts.alerts.v1.published" \
    --event-filters="alerttype=ALERT_TYPE" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"

Remplacez les éléments suivants :

  • TRIGGER : l'ID du déclencheur ou un identifiant complet.
  • DESTINATION_GKE_CLUSTER : nom du cluster GKE dans lequel le service GKE cible qui reçoit des événements est en cours d'exécution.
  • DESTINATION_GKE_LOCATION : (facultatif) région Compute Engine du cluster GKE dans lequel le service GKE de destination s'exécute. Si la valeur n'est pas spécifiée, il est supposé que le cluster est un cluster régional et qu'il se trouve dans la même région que le déclencheur.
  • DESTINATION_GKE_NAMESPACE : (facultatif) espace de noms dans lequel le service GKE de destination est exécuté. S'il n'est pas spécifié, l'espace de noms default est utilisé.
  • DESTINATION_GKE_SERVICE : nom du service GKE qui reçoit les événements du déclencheur. Le service peut se trouver dans l'un des emplacements compatibles avec GKE et ne doit pas nécessairement se trouver au même emplacement que le déclencheur. Cependant, le service doit se trouver dans le même projet que le déclencheur et recevoir des événements sous forme de requêtes HTTP POST envoyées à son chemin d'URL racine (/), à chaque déclenchement de l'événement.
  • DESTINATION_GKE_PATH : (facultatif) chemin d'accès relatif que vous spécifiez sur le service GKE de destination auquel les événements du déclencheur doivent être envoyés. Par exemple : /, /route, route, route/subroute.
  • ALERT_TYPE : le type d'alerte Firebase et peut être l'une des valeurs suivantes :
    • appDistribution.inAppFeedback : l'événement est envoyé lorsqu'un testeurs envoie des commentaires dans l'application pour une application donnée.
    • appDistribution.newTesterIosDevice : l'événement est envoyé lorsqu'un nouvel appareil de test iOS est enregistré pour une application donnée.
    • billing.planAutomatedUpdate : l'événement est envoyé lorsque le mode de facturation d'un projet Firebase est automatiquement mis à jour. Par exemple, lorsqu'un forfait est rétrogradé en raison de problèmes de paiement.
    • billing.planUpdate : l'événement est envoyé lorsque le mode de facturation d'un projet Firebase est modifié par un utilisateur. Par exemple, lorsqu'un compte de facturation est associé ou dissocié d'un projet.
    • crashlytics.missingSymbolFile : l'événement est envoyé lorsque Firebase Crashlytics détermine qu'il ne possède pas les symboles de débogage appropriés pour signaler un rapport d'erreur entrant.
    • crashlytics.newAnrIssue : l'événement est envoyé lorsqu'une application rencontre une nouvelle erreur ANR (pas pour les événements ultérieurs identiques).
    • crashlytics.newFatalIssue : l'événement est envoyé lorsqu'une application subit un nouveau plantage fatal (pas pour des événements ultérieurs identiques).
    • crashlytics.newNonfatalIssue : l'événement est envoyé lorsqu'une application rencontre une nouvelle erreur non fatale (et non pour des événements ultérieurs identiques).
    • crashlytics.regression : l'événement est envoyé lorsqu'une application rencontre un plantage pour un problème marqué comme fermé pour une version précédente de l'application.
    • crashlytics.stabilityDigest : l'événement est envoyé lorsqu'il existe une notification concernant les problèmes les plus courants dans Crashlytics.
    • crashlytics.velocity : événement envoyé lorsqu'un seul problème est responsable du plantage d'un grand nombre de sessions d'application.
    • performance.threshold : l'événement est envoyé lorsque les performances d'une métrique dépassent le seuil défini.
    L'opérateur de ALERT_TYPE doit être l'un des suivants :
    • Égal à. Par exemple : --event-filters="alerttype=appDistribution.inAppFeedback"
    • Format de chemin. Par exemple, --event-filters-path-pattern="alerttype=appDistribution.*" ou --event-filters-path-pattern="alerttype=crashlytics.new*".

      Pour en savoir plus, consultez la page Comprendre les formats de chemin d'accès.

  • EVENT_DATA_CONTENT_TYPE : (facultatif) encodage de la charge utile de l'événement. Peut être défini sur application/json ou application/protobuf. L'encodage par défaut est application/json.

    Notez qu'une charge utile d'événement au format JSON est supérieure à celle au format Protobuf. Cela peut avoir un impact sur la fiabilité en fonction de la destination de l'événement et de ses limites de taille. Pour en savoir plus, consultez la section Problèmes connus.

  • SERVICE_ACCOUNT_NAME : nom de votre compte de service géré par l'utilisateur.
  • PROJECT_ID : ID de votre projet Google Cloud.

Remarques :

  • Ces options sont obligatoires :
    • --event-filters="type=google.firebase.firebasealerts.alerts.v1.published"
    • --event-filters="alerttype=ALERT_TYPE" ou --event-filters-path-pattern="alerttype=ALERT_TYPE"
  • Vous pouvez éventuellement filtrer les événements pour un ID d'application Firebase spécifique à l'aide de l'option --event-filters="appid=APP_ID" et en spécifiant une correspondance exacte.
  • Une fois le déclencheur créé, le type de filtre d'événements ne peut plus être modifié. Pour un type d'événement différent, vous devez créer un nouveau déclencheur et supprimer l'ancien.
  • L'option --service-account permet de spécifier l'adresse e-mail du compte de service IAM (Identity and Access Management) associée au déclencheur.

Exemple :

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-gke-cluster=gke-events-cluster \
    --destination-gke-location=us-central1-a \
    --destination-gke-namespace=default \
    --destination-gke-service=helloworld-events \
    --destination-gke-path=/ \
    --event-filters="type=google.firebase.firebasealerts.alerts.v1.published" \
    --event-filters="alerttype=crashlytics.velocity" \
    --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Cette commande crée un déclencheur appelé helloworld-trigger pour l'événement identifié comme google.firebase.firebasealerts.alerts.v1.published et pour un type d'alerte crashlytics.velocity.

Terraform

Vous pouvez créer un déclencheur pour une destination GKE à l'aide de Terraform. Pour en savoir plus, consultez la page Créer un déclencheur à l'aide de Terraform.

Répertorier un déclencheur

Vous pouvez confirmer la création d'un déclencheur en répertoriant les déclencheurs Eventarc à l'aide de Google Cloud CLI ou de la console Google Cloud.

Console

  1. Dans la console Google Cloud, accédez à la page Déclencheurs d'Eventarc.

    Accéder à la page "Déclencheurs"

    Cette page répertorie vos déclencheurs dans tous les emplacements et inclut des détails tels que les noms, les régions, les fournisseurs d'événements, les destinations, etc.

  2. Pour filtrer vos déclencheurs, procédez comme suit :

    1. Cliquez sur Filtrer ou sur le champ Filtrer les déclencheurs.
    2. Dans la liste Propriétés, sélectionnez une option permettant de filtrer les déclencheurs.

    Vous pouvez sélectionner une seule propriété ou utiliser l'opérateur logique OR pour ajouter d'autres propriétés.

  3. Pour trier vos déclencheurs, à côté d'un en-tête de colonne compatible, cliquez sur Trier.

gcloud

Exécutez la commande suivante pour répertorier vos déclencheurs :

gcloud eventarc triggers list --location=-

Cette commande répertorie vos déclencheurs dans tous les emplacements et inclut des détails tels que les noms, les types, les destinations et les états.

Étapes suivantes