Dirigir eventos de migración de bases de datos a GKE

Un activador de Eventarc declara tu interés en un evento o en un conjunto de eventos concretos. Puedes configurar el enrutamiento de eventos especificando filtros para el activador, incluida la fuente del evento, y el servicio de Google Kubernetes Engine (GKE) de destino que se ejecuta en un clúster de GKE. Ten en cuenta que los destinos solo pueden incluir servicios que se ejecuten en clústeres de GKE (públicos o privados) con endpoints públicos. Para orientar los servicios de los clústeres de GKE con puntos finales privados, enruta los eventos a puntos finales HTTP internos.

Eventarc envía eventos al receptor de eventos en formato CloudEvents a través de una solicitud HTTP.

En estas instrucciones se explica cómo configurar el enrutamiento de eventos a tu servicio de GKE que se activa mediante un eventoDatabase Migration directo. Para obtener más información, consulta la lista de eventos directos admitidos.

Antes de empezar

Debes habilitar Workload Identity Federation for GKE en el clúster de GKE en el que se ejecuta el servicio de destino. Para configurar correctamente el reenviador de eventos, es necesario usar Workload Identity Federation for GKE. Además, es la forma recomendada de acceder a los servicios deGoogle Cloud desde las aplicaciones que se ejecutan en GKE, ya que es fácil de gestionar y cuenta con propiedades de seguridad mejoradas.

Arquitectura de eventos de Eventarc a destinos de GKE

Workload Identity Federation para GKE

Las aplicaciones que se ejecutan en GKE pueden necesitar acceso a las APIs deGoogle Cloud . Workload Identity Federation for GKE permite que una cuenta de servicio de Kubernetes de tu clúster de GKE actúe como una cuenta de servicio de gestión de identidades y accesos. Los pods que usan la cuenta de servicio de Kubernetes configurada se autentican automáticamente como la cuenta de servicio de gestión de identidades y accesos al acceder a las APIs de Google Cloud . Workload Identity Federation para GKE te permite asignar identidades y autorizaciones distintas y detalladas a cada aplicación de tu clúster. Ten en cuenta que se deben conceder permisos específicos a la cuenta de servicio del activador de Eventarc. En este documento, consulta los pasos para crear una cuenta de servicio.

Para obtener más información sobre cómo habilitar y configurar Workload Identity Federation para GKE en tus clústeres de GKE, consulta el artículo Usar Workload Identity Federation para GKE.

Reenviador de eventos

El reenviador de eventos de Eventarc extrae eventos nuevos de Eventarc y los reenvía al destino de GKE. Este componente actúa como mediador entre la capa de transporte de Pub/Sub y el servicio de GKE. Funciona en servicios actuales y también admite servicios de señalización (incluidos los que no se exponen fuera del clúster totalmente gestionado), al tiempo que simplifica la configuración y el mantenimiento. A nivel de red, para recibir eventos en un servicio de GKE, no es necesario abrir el servicio al tráfico externo, ya que todos los eventos se envían desde un origen que reside en el mismo clúster de GKE.

Ten en cuenta que Eventarc gestiona el ciclo de vida del reenviador de eventos y que, si eliminas el reenviador de eventos por error, Eventarc restaurará este componente.

Por cada activador que apunte a un destino de GKE, el reenviador de eventos (un pod gke-forwarder configurado específicamente) hace lo siguiente:

  1. Usa la API Pub/Sub para abrir una StreamingPullconexión con el transportador de activadores (un tema y una suscripción de Pub/Sub) y recibe eventos a medida que están disponibles.

  2. Transforma los eventos al formato CloudEvents correcto, los codifica y los envía como una solicitud HTTP POST al servicio de GKE de destino.

El agente de servicio de Eventarc necesita permiso para ejecutar y actualizar periódicamente la instancia gke-forwarder. Este permiso debe concederse una vez por proyecto. Para obtener más información, consulta la sección Habilitar destinos de GKE de este documento.

Prepararse para crear un activador

Por cada activador que tenga como destino un servicio de GKE, Eventarc crea un componente de reenvío de eventos. Eventarc necesita permisos para instalar el componente y gestionar recursos en el clúster de GKE. Antes de crear un activador de Eventarc para destinos de GKE, asegúrate de completar las siguientes tareas.

Consola

  1. En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.

    Ir al selector de proyectos

  2. Habilita las APIs Eventarc, Eventarc Publishing, Google Kubernetes Engine y Resource Manager.

    Habilita las APIs

  3. Si procede, habilita la API relacionada con los eventos directos. Por ejemplo, para los eventos de Database Migration , habilita la APIDatabase Migration .

  4. Si aún no tienes una, crea una cuenta de servicio gestionada por el usuario y, a continuación, concédele los roles y permisos necesarios para que Eventarc pueda gestionar eventos de tu servicio de destino.

    1. En la Google Cloud consola, ve a la página Crear cuenta de servicio.

      Ir a Crear cuenta de servicio

    2. Selecciona el proyecto.

    3. En el campo Nombre de cuenta de servicio, escribe un nombre. La Google Cloud consola rellena el campo ID de cuenta de servicio con este nombre.

      En el campo Descripción de la cuenta de servicio, escribe una descripción. Por ejemplo, Service account for event trigger.

    4. Haz clic en Crear y continuar.

    5. Para proporcionar el acceso adecuado, en la lista Seleccionar un rol, elige los roles de gestión de identidades y accesos (IAM) que quieras conceder a tu cuenta de servicio. Para obtener más información, consulta Roles y permisos de los destinos de GKE.

      Para añadir más roles, haz clic en Añadir otro rol y añade cada rol adicional.

    6. Haz clic en Continuar.

    7. Para terminar de crear la cuenta, haga clic en Hecho.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Habilita las APIs Eventarc, Eventarc Publishing, Google Kubernetes Engine y Resource Manager.

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    container.googleapis.com \
    cloudresourcemanager.googleapis.com

  3. Si procede, habilita la API relacionada con los eventos directos. Por ejemplo, para los eventos, habilita Database Migration .datamigration.googleapis.com

  4. Si aún no tienes una, crea una cuenta de servicio gestionada por el usuario y, a continuación, concédele los roles y permisos necesarios para que Eventarc pueda gestionar eventos de tu destino de GKE.

    1. Crea la cuenta de servicio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Sustituye SERVICE_ACCOUNT_NAME por el nombre de la cuenta de servicio. Debe tener entre 6 y 30 caracteres, y puede contener caracteres alfanuméricos en minúscula y guiones. Una vez que hayas creado una cuenta de servicio, no podrás cambiar su nombre.

    2. Concede los roles o permisos de Gestión de Identidades y Accesos (IAM) necesarios. Para obtener más información, consulta Roles y permisos para destinos de GKE.

Habilitar destinos de GKE

Para permitir que Eventarc gestione recursos en el clúster de GKE, habilita los destinos de GKE y vincula el agente de servicio de Eventarc con los roles necesarios.

  1. Habilita los destinos de GKE para Eventarc:

    gcloud eventarc gke-destinations init

  2. Cuando se te pida que enlaces los roles necesarios, introduce y.

    Se han vinculado los siguientes roles:

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

Crear activador

Puedes crear un activador de Eventarc mediante la CLI de Google Cloud o a través de la Google Cloud consola.

Consola

  1. En la Google Cloud consola, ve a la página Triggers (Activadores) de Eventarc.

    Ir a Activadores

  2. Haz clic en Crear activador.
  3. Escribe un Nombre del activador.

    Es el ID del activador y debe empezar por una letra. Puede contener hasta 63 letras minúsculas, números o guiones.

  4. En Tipo de activador, selecciona Fuentes de Google.
  5. En la lista Event provider (Proveedor de eventos), seleccione Database Migration.

    Tenga en cuenta que el nombre del proveedor de eventos que se usa en la documentaciónGoogle Cloud asociada puede no tener el prefijo Cloud o Google Cloud. Por ejemplo, en la consola, Memorystore para Redis se denomina Google Cloud Memorystore para Redis.

  6. En la lista Tipo de evento, en los eventos Direct (Directos), selecciona un tipo de evento.
  7. Para especificar la codificación de la carga útil del evento, en la lista Tipo de contenido de los datos del evento, seleccione application/json o application/protobuf.

    Ten en cuenta que una carga útil de evento con formato JSON es más grande que una con formato Protobuf. Esto puede afectar a la fiabilidad en función del destino de los eventos y sus límites de tamaño. Para obtener más información, consulta Problemas conocidos.

  8. En la lista Región, selecciona la misma región que el Google Cloud servicio que genera eventos.

    Para obtener más información, consulta Ubicaciones de Eventarc.

  9. Si procede, haga clic en Añadir filtro y especifique lo siguiente:
    1. En el campo Atributo 1, en función del evento directo que haya elegido, seleccione un ID de recurso que pueda actuar como filtro de eventos.
    2. Selecciona un operador:
    3. En el campo Valor del atributo 1, en función del operador que haya elegido, escriba el valor exacto o aplique un patrón de ruta.
    4. Si se pueden aplicar más filtros de atributos, haz clic en Añadir filtro y especifica los valores correspondientes.
  10. Selecciona la cuenta de servicio que invocará tu servicio o flujo de trabajo.

    También puedes crear una cuenta de servicio.

    Especifica la dirección de correo de la cuenta de servicio de Gestión de Identidades y Accesos (IAM) asociada al activador y a la que has concedido roles específicos necesarios para Eventarc.

  11. En la lista Destino del evento, selecciona Kubernetes Engine.
  12. Selecciona un servicio.

    Es el nombre del servicio que recibe los eventos del activador. El servicio debe estar en el mismo proyecto que el activador y recibirá eventos como solicitudes HTTP POST enviadas a la ruta de la URL raíz (/) cada vez que se genere el evento.

  13. También puede especificar la ruta de URL del servicio a la que se enviará la solicitud entrante.

    Es la ruta relativa del servicio de destino al que se deben enviar los eventos del activador. Por ejemplo: /, /route, route, route/subroute.

  14. Si quieres añadir una etiqueta, puedes hacer clic en Añadir etiqueta. Las etiquetas son pares clave-valor que te ayudan a organizar tus recursosGoogle Cloud . Para obtener más información, consulta ¿Qué son las etiquetas?
  15. Haz clic en Crear.

    16. Una vez creado un activador, no se pueden modificar los filtros de origen de eventos. En su lugar, cree un nuevo activador y elimine el antiguo. Para obtener más información, consulta Gestionar activadores.

gcloud

Para crear un activador, ejecuta un comando gcloud eventarc triggers create junto con las marcas obligatorias y opcionales.

  gcloud eventarc triggers create TRIGGER \
      --location=LOCATION \
      --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
      --destination-gke-location=DESTINATION_GKE_LOCATION \
      --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
      --destination-gke-service=DESTINATION_GKE_SERVICE \
      --destination-gke-path=DESTINATION_GKE_PATH \
      --event-filters="type=EVENT_FILTER_TYPE" \
      --event-filters="COLLECTION_ID=RESOURCE_ID" \
      --event-filters-path-pattern="COLLECTION_ID=PATH_PATTERN" \
      --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
      --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"

Haz los cambios siguientes:

  • TRIGGER: el ID del activador o un identificador completo.
  • LOCATION: la ubicación del activador de Eventarc. También puedes definir la propiedad eventarc/location ; por ejemplo, gcloud config set eventarc/location us-central1.

    Para evitar problemas de rendimiento y de residencia de datos, la ubicación debe coincidir con la del Google Cloud servicio que genera los eventos. Para obtener más información, consulta Ubicaciones de Eventarc.

  • DESTINATION_GKE_CLUSTER: el nombre del clúster de GKE en el que se ejecuta el servicio de GKE de destino que recibe eventos.
  • DESTINATION_GKE_LOCATION: (opcional) la región de Compute Engine del clúster de GKE en el que se ejecuta el servicio de GKE de destino. Si no se especifica, se presupone que el clúster es un clúster regional y que está en la misma región que el activador.
  • DESTINATION_GKE_NAMESPACE: (opcional) el espacio de nombres en el que se ejecuta el servicio de GKE de destino. Si no se especifica, se usa el espacio de nombres default.
  • DESTINATION_GKE_SERVICE: el nombre del servicio de GKE que recibe los eventos del activador. El servicio puede estar en cualquiera de las ubicaciones admitidas por GKE y no tiene por qué estar en la misma ubicación que el activador. Sin embargo, el servicio debe estar en el mismo proyecto que el activador y recibirá eventos como solicitudes HTTP POST enviadas a la ruta de URL raíz (/) cada vez que se genere el evento.
  • DESTINATION_GKE_PATH: (opcional) la ruta relativa que especifiques en el servicio de GKE de destino al que se deben enviar los eventos del activador. Por ejemplo: /, /route, route, route/subroute.
  • EVENT_FILTER_TYPE: identificador del evento. Se genera un evento cuando se realiza correctamente una llamada a la API del método. En el caso de las operaciones de larga duración, el evento solo se genera al final de la operación y solo si la acción se realiza correctamente. Para ver una lista de los tipos de eventos admitidos, consulta Tipos de eventos de Google compatibles con Eventarc.
  • COLLECTION_ID (opcional): el componente resource que puede actuar como filtro de eventos y que es uno de los siguientes:
    • connectionprofile
    • migrationjob
  • RESOURCE_ID: identificador del recurso que se usa como valor de filtrado de la colección asociada. Para obtener más información, consulta ID de recurso.
  • PATH_PATTERN: el patrón de ruta que se debe aplicar al filtrar el recurso.
  • EVENT_DATA_CONTENT_TYPE: (opcional) la codificación de la carga útil del evento. Puede ser application/json o application/protobuf. La codificación predeterminada es application/json.

    Ten en cuenta que una carga útil de eventos con formato JSON es más grande que una con formato Protobuf. Esto puede afectar a la fiabilidad en función del destino de los eventos y de sus límites de tamaño. Para obtener más información, consulta Problemas conocidos.

  • SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio gestionada por el usuario.
  • PROJECT_ID: tu ID de proyecto Google Cloud .

Notas:

  • Es obligatorio usar la marca --event-filters="type=EVENT_FILTER_TYPE". Si no se define ningún otro filtro de eventos, se buscarán coincidencias de eventos de todos los recursos.
  • EVENT_FILTER_TYPE no se puede cambiar después de crearse. Para cambiar EVENT_FILTER_TYPE, crea un nuevo activador y elimina el antiguo.
  • Cada activador puede tener varios filtros de eventos separados por comas en una --event-filters=[ATTRIBUTE=VALUE,...] marca, o bien puede repetir la marca para añadir más filtros. Solo se envían al destino los eventos que coinciden con todos los filtros. No se admiten comodines ni expresiones regulares. Sin embargo, cuando se usa la marca --event-filters-path-pattern, se puede definir un patrón de ruta de recurso.
  • La marca --service-account se usa para especificar la dirección de correo de la cuenta de servicio de gestión de identidades y accesos (IAM) asociada al activador.

Ejemplo:

  gcloud eventarc triggers create helloworld-trigger \
      --location=us-central1 \
      --destination-gke-cluster=gke-events-cluster \
      --destination-gke-location=us-central1-a \
      --destination-gke-namespace=default \
      --destination-gke-service=helloworld-events \
      --destination-gke-path=/ \
      --event-filters="type=google.cloud.clouddms.migrationJob.v1.updated" \
      --event-filters-path-pattern="migrationjob=my-migrationjob-*" \
      --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Este comando crea un activador llamado helloworld-trigger para el evento identificado como google.cloud.clouddms.migrationJob.v1.updated y coincide con los eventos de los IDs migrationjob que empiezan por my-migrationjob-.

Terraform

Puedes crear un activador para un destino de GKE con Terraform. Para obtener más información, consulta el artículo sobre cómo crear un activador con Terraform.

Mostrar un activador

Para confirmar que se ha creado un activador, puedes enumerar los activadores de Eventarc con la CLI de Google Cloud o a través de la Google Cloud consola.

Consola

  1. En la Google Cloud consola, ve a la página Triggers (Activadores) de Eventarc.

    Ir a Activadores

    En esta página se muestran todos tus activadores de todas las ubicaciones, así como detalles como nombres, regiones, proveedores de eventos, destinos y más.

  2. Para filtrar tus activadores, sigue estos pasos:

    1. Haz clic en Filtrar o en el campo Activar filtros.
    2. En la lista Propiedades, seleccione una opción para filtrar los activadores.

    Puede seleccionar una sola propiedad o usar el operador lógico OR para añadir más propiedades.

  3. Para ordenar los activadores, junto al encabezado de cualquier columna admitida, haz clic en Ordenar.

gcloud

Ejecuta el siguiente comando para ver una lista de tus activadores:

gcloud eventarc triggers list --location=-

Este comando muestra los activadores de todas las ubicaciones e incluye detalles como nombres, tipos, destinos y estados.

Siguientes pasos