Este tutorial mostra como implementar um serviço do Cloud Run autenticado que recebe eventos do Cloud Storage através dos registos de auditoria do Google Cloud. Use este tutorial para implementar cargas de trabalho de produção. O acionador do Eventarc filtra eventos com base nas entradas dos registos de auditoria do Google Cloud. Para mais informações, consulte o artigo Determine os filtros de eventos para os registos de auditoria do Cloud.
Pode concluir este tutorial através da Google Cloud consola ou da CLI Google Cloud.
Objetivos
Neste tutorial, vai:
Crie um contentor do Cloud Storage para ser a origem de eventos.
Implemente um serviço de receção de eventos no Cloud Run.
Crie um acionador do Eventarc.
Gere um evento carregando um ficheiro para o contentor do Cloud Storage e veja-o nos registos do Cloud Run.
Custos
Neste documento, usa os seguintes componentes faturáveis do Google Cloud:
Para gerar uma estimativa de custos com base na sua utilização projetada,
use a calculadora de preços.
Antes de começar
As restrições de segurança definidas pela sua organização podem impedir a conclusão dos seguintes passos. Para informações de resolução de problemas, consulte o artigo Desenvolva aplicações num ambiente Google Cloud restrito.
Se for o criador do projeto, é-lhe atribuída a
função básica de proprietário
(roles/owner). Por predefinição, esta função do Identity and Access Management (IAM)
inclui as autorizações necessárias para acesso total à maioria dos Google Cloud
recursos e pode ignorar este passo.
Se não for o criador do projeto, as autorizações necessárias têm de ser concedidas no projeto ao principal adequado. Por exemplo, um principal pode ser uma Conta Google (para utilizadores finais) ou uma conta de serviço (para aplicações e cargas de trabalho de computação). Para mais informações, consulte a página Funções e autorizações do destino de eventos.
Tenha em atenção que, por predefinição, as autorizações do Cloud Build incluem autorizações para carregar e transferir artefactos do Artifact Registry.
Autorizações necessárias
Para receber as autorizações de que precisa para concluir este tutorial, peça ao seu administrador que lhe conceda as seguintes funções da IAM no seu projeto:
-
Editor do Cloud Build (
roles/cloudbuild.builds.editor) -
Administrador do Cloud Run (
roles/run.admin) -
Eventarc Admin (
roles/eventarc.admin) -
Aceder à vista de registos (
roles/logging.viewAccessor) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Administrador da conta de serviço (
roles/iam.serviceAccountAdmin) -
Utilizador da conta de serviço (
roles/iam.serviceAccountUser) -
Administrador de utilização de serviços (
roles/serviceusage.serviceUsageAdmin) -
Administrador de armazenamento (
roles/storage.admin)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Conclua os seguintes passos através da Google Cloud consola ou da CLI gcloud:
Consola
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - Para configurar o acesso aos dados que é registado nos seus registos de auditoria, ative os tipos de registos Admin Read, Data Read e Data Write para o Google Cloud Storage:
-
Na Google Cloud consola, aceda à página Contas de serviço.
- Clique em Criar conta de serviço.
-
Introduza um nome da conta de serviço a apresentar na Google Cloud consola.
A Google Cloud consola gera um ID da conta de serviço com base neste nome. Edite o ID, se necessário. Não pode alterar o ID posteriormente.
- Opcional: introduza uma descrição da conta de serviço.
-
Se não quiser definir controlos de acesso agora, clique em Concluído para terminar a criação da conta de serviço.
Para definir os controlos de acesso agora, clique em Criar e continuar e continue para o passo seguinte.
- Selecione as funções Cloud Run
Invoker e
Eventarc Event Receiver para conceder no projeto à conta de serviço associada ao seu acionador do Eventarc.
Para fins de teste, isto concede a função Cloud Run Invoker a todos os serviços e trabalhos do Cloud Run no projeto. No entanto, pode conceder a função no serviço. Para mais informações, consulte o artigo Conceda autorizações de serviço do Cloud Run.
Tenha em atenção que, se criar um acionador para um serviço do Cloud Run autenticado sem conceder a função de invocador do Cloud Run, o acionador é criado com êxito e está ativo. No entanto, o acionador não funciona como esperado e é apresentada uma mensagem semelhante à seguinte nos registos:
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - Quando terminar de adicionar funções, clique em Continuar e Concluído para terminar de criar a conta de serviço.
gcloud
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable artifactregistry.googleapis.com
cloudbuild.googleapis.com logging.googleapis.com pubsub.googleapis.com run.googleapis.com storage.googleapis.com and eventarc.googleapis.com -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable artifactregistry.googleapis.com
cloudbuild.googleapis.com logging.googleapis.com pubsub.googleapis.com run.googleapis.com storage.googleapis.com and eventarc.googleapis.com - Atualize os componentes de
gcloud:gcloud components update
- Inicie sessão com a sua conta:
gcloud auth login
- Defina as variáveis de configuração usadas neste tutorial:
export REGION=us-central1 gcloud config set run/region ${REGION} gcloud config set run/platform managed gcloud config set eventarc/location ${REGION} export SERVICE_NAME=helloworld-events
- Para configurar o acesso a dados que é registado nos seus registos de auditoria, ative os tipos de registos
ADMIN_READ,DATA_READeDATA_WRITEpara o serviçostorage.googleapis.com:- Leia a política IAM do seu projeto e armazene-a num ficheiro:
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
- Edite a sua política em
/tmp/policy.yaml, adicionando ou alterando apenas a configuração dos registos de auditoria de acesso a dados.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_WRITE - logType: DATA_READ service: storage.googleapis.com
- Escreva a sua nova Política IAM:
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
- Leia a política IAM do seu projeto e armazene-a num ficheiro:
- Crie uma conta de serviço para o projeto:
gcloud iam service-accounts create sample-service-account \ --description="A sample service account" \ --display-name="Sample service account" - Para confirmar que
sample-service-accountfoi criado, execute:gcloud iam service-accounts list
DISPLAY NAME EMAIL DISABLED Default compute service account PROJECT_NUMBER-compute@developer.gserviceaccount.com False Sample service account sample-service-account@PROJECT_ID.iam.gserviceaccount.com False
- Conceda as funções de
invocador do Cloud Run (
run.invoker) e de recetor de eventos do Eventarc (roles/eventarc.eventReceiver) no projeto à conta de serviço associada ao acionador do Eventarc:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:sample-service-account@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/run.invoker"
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:sample-service-account@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/eventarc.eventReceiver"
Substitua
PROJECT_IDpelo ID do seu Google Cloud projeto.Para fins de teste, isto concede a função Cloud Run Invoker a todos os serviços e trabalhos do Cloud Run no projeto. No entanto, pode conceder a função no serviço. Para mais informações, consulte o artigo Conceda autorizações de serviço do Cloud Run.
Tenha em atenção que, se criar um acionador para um serviço do Cloud Run autenticado sem conceder a função de invocador do Cloud Run, o acionador é criado com êxito e está ativo. No entanto, o acionador não funciona como esperado e é apresentada uma mensagem semelhante à seguinte nos registos:
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - Na Google Cloud consola, aceda à página Repositórios.
- Clique em Criar repositório.
- Configure o seu repositório:
- Introduza um Nome exclusivo.
- Em Formato, escolha Docker.
- Em Modo, escolha Padrão.
- Para Tipo de localização, escolha Região.
- Na lista Região, selecione us-central1 (Iowa).
- Aceite as outras predefinições e clique em Criar.
- Na Google Cloud consola, aceda à página Recipientes.
- Clique em Criar contentor.
- Introduza as informações do seu contentor e clique em Continuar para concluir cada passo:
- Introduza um Nome exclusivo. Por exemplo,
eventarcbucket. - Selecione Região como Tipo de localização.
- Selecione us-central1 (Iowa) como Localização.
- Selecione Padrão para a classe de armazenamento predefinida.
- Selecione Uniforme para Controlo de acesso.
- Introduza um Nome exclusivo. Por exemplo,
- Clique em Criar.
- Clone o repositório de exemplo para a sua conta do GitHub:
- No GitHub, navegue para GoogleCloudPlatform/golang-samples
- Clique em Criar ramificação.
- Se lhe for pedido, selecione a localização onde quer criar uma ramificação do repositório.
- No GitHub, navegue para GoogleCloudPlatform/java-docs-samples.
- Clique em Criar ramificação.
- Se lhe for pedido, selecione a localização onde quer criar uma ramificação do repositório.
- No GitHub, navegue para GoogleCloudPlatform/dotnet-docs-samples.
- Clique em Criar ramificação.
- Se lhe for pedido, selecione a localização onde quer criar uma ramificação do repositório.
- No GitHub, navegue para GoogleCloudPlatform/nodejs-docs-samples.
- Clique em Criar ramificação.
- Se lhe for pedido, selecione a localização onde quer criar uma ramificação do repositório.
- No GitHub, navegue para GoogleCloudPlatform/python-docs-samples.
- Clique em Criar ramificação.
- Se lhe for pedido, selecione a localização onde quer criar uma ramificação do repositório.
- Na Google Cloud consola, aceda à página Serviços.
- Clique em Criar serviço para apresentar o formulário Criar serviço.
- Selecione Implementar continuamente a partir de um repositório.
As alterações ao seu repositório do GitHub são automaticamente incorporadas em imagens de contentores no Artifact Registry e implementadas no Cloud Run.
- Clique em Configurar com o Cloud Build para abrir o formulário Configurar com o Cloud Build.
- Se lhe for pedido, ative a API Cloud Build e a API Artifact Analysis.
- Selecione GitHub como o fornecedor de repositórios.
- Se lhe for pedido, clique em Instalar o Google Cloud Build.
- Selecione o repositório do GitHub que bifurcou como o repositório.
- Clicar em Seguinte.
- No campo Ramo, introduza
^main$. - Selecione Dockerfile como o Tipo de compilação e indique a localização de origem do Dockerfile:
eventarc/audit-storage/Dockerfileou
eventarc/audit_storage/Dockerfile(Go)
- Clique em Guardar.
- No formulário Criar serviço, introduza um nome do serviço.
Por exemplo,
helloworld-events. - Selecione us-central1(Iowa) como a Região onde quer que o seu serviço esteja localizado.
- Selecione qualquer uma das opções de Ingress com base no tráfego de entrada que quer permitir no serviço Cloud Run.
- Selecione Exigir autenticação
- Clique em Criar.
- Clone o repositório do GitHub:
Go
git clone https://github.com/GoogleCloudPlatform/golang-samples.git cd golang-samples/eventarc/audit_storage
Java
git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git cd java-docs-samples/eventarc/audit-storage
.NET
git clone https://github.com/GoogleCloudPlatform/dotnet-docs-samples.git cd dotnet-docs-samples/eventarc/audit-storage
Node.js
git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git cd nodejs-docs-samples/eventarc/audit-storage
Python
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git cd python-docs-samples/eventarc/audit-storage
- Crie o contentor e carregue-o para o Cloud Build:
gcloud builds submit --tag $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/$SERVICE_NAME:v1
- Implemente a imagem do contentor no Cloud Run:
gcloud run deploy $SERVICE_NAME \ --image $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/$SERVICE_NAME:v1No comando para permitir invocações não autenticadas, introduza
n.Quando a implementação é bem-sucedida, a linha de comandos apresenta o URL do serviço.
- Na Google Cloud consola, aceda à página Acionadores.
- Clique em Criar acionador.
- Escreva um Nome do acionador.
Este é o ID do acionador e tem de começar com uma letra. Pode conter até 63 letras minúsculas, números ou hífenes.
- Selecione um Tipo de acionador:
- Originais: filtra eventos enviados por Google Cloud fornecedores (diretamente ou através de entradas dos registos de auditoria na nuvem) ou fornecedores através de mensagens do Pub/Sub.
- Terceiros: filtra eventos enviados por fornecedores de terceiros.
- Na lista Fornecedor de eventos, selecione Cloud Storage como a origem dos eventos.
- Na lista Tipo de evento, selecione storage.objects.create.
- Na lista Região, selecione us-central1 como a região a partir da qual receber eventos.
- Selecione a conta de serviço que criou. Por exemplo,
SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com. - Na lista Destino do evento, selecione Cloud Run.
- Na lista Selecionar um serviço do Cloud Run, selecione helloworld-events.
- Clique em Criar. Tenha em atenção que também pode criar um acionador do Eventarc através da página da consola do Cloud Run.
- Crie um acionador que filtre eventos do Cloud Storage e que use a conta de serviço que criou:
gcloud eventarc triggers create events-tutorial-trigger \ --destination-run-service=$SERVICE_NAME \ --destination-run-region=$REGION \ --event-filters="type=google.cloud.audit.log.v1.written" \ --event-filters="serviceName=storage.googleapis.com" \ --event-filters="methodName=storage.objects.create" \ --service-account=sample-service-account@PROJECT_ID.iam.gserviceaccount.comPROJECT_IDpelo Google Cloud ID do projeto.Onde:
type: especifica que os registos de auditoria são criados quando os critérios de filtro do acionador são cumpridos.serviceName: o serviço que escreve o registo de auditoria, que é o Cloud Storage.methodName: a operação que está a ser auditada, que éstorage.objects.create.
events-tutorial-trigger. - Para confirmar que
events-tutorial-triggerfoi criado com êxito, execute o seguinte comando:gcloud eventarc triggers list --location=$REGION
O acionador - Para gerar um evento:
Consola
- Crie um ficheiro de texto com o nome de ficheiro
random.txte o texto "Olá mundo". - Na Google Cloud consola, aceda à página Recipientes.
- Selecione o contentor de armazenamento que criou.
- No separador Objetos, clique em Carregar ficheiros e carregue o ficheiro
random.txt.
gcloud
Carregue um ficheiro de texto para o Cloud Storage:
echo "Hello World" > random.txt gcloud storage cp random.txt gs://events-tutorial-PROJECT_ID/random.txt
- Crie um ficheiro de texto com o nome de ficheiro
- Para ver a entrada do registo:
- Na Google Cloud consola, aceda à página Serviços.
- Na lista de serviços, clique no nome do serviço que criou para aceder à respetiva página de Detalhes do serviço.
- Clique no separador Registos para obter os registos de pedidos e contentores de todas as revisões deste serviço. Pode filtrar por nível de gravidade do registo.
- Procure uma entrada de registo semelhante a:
Detected change in Cloud Storage bucket: storage.googleapis.com/projects/_/buckets/BUCKET_NAME/objects/random.txt
BUCKET_NAMEé o nome do contentor do Cloud Storage. -
gcloud logging read "resource.labels.service_name=helloworld-events AND textPayload:random.txt" --format=json
- Procure uma entrada de registo semelhante a:
Detected change in Cloud Storage bucket: storage.googleapis.com/projects/_/buckets/BUCKET_NAME/objects/random.txt
BUCKET_NAMEé o nome do contentor do Cloud Storage.
Crie um repositório padrão do Artifact Registry
Crie um repositório padrão do Artifact Registry para armazenar a sua imagem de contentor.Consola
gcloud
gcloud artifacts repositories create REPOSITORY \ --repository-format=docker \ --location=$REGION
Substitua REPOSITORY por um nome exclusivo para o repositório do Artifact Registry.
Crie um contentor do Cloud Storage
Este tutorial usa o Cloud Storage como origem de eventos. Para criar um contentor de armazenamento:
Consola
gcloud
gcloud storage buckets create gs://events-tutorial-PROJECT_ID/ --location=$REGION
Depois de criar a origem de eventos, pode implementar o serviço de receção de eventos no Cloud Run.
Implemente o serviço de receção de eventos no Cloud Run
Implemente um serviço do Cloud Run que receba e registe eventos. Para implementar o serviço de recetor de eventos de exemplo:
Consola
Go
Java
.NET
Node.js
Python
gcloud
Agora que implementou o serviço de receção de eventos denominado
helloworld-events no Cloud Run, pode
configurar o acionador.
Crie um acionador do Eventarc
O acionador do Eventarc envia eventos do contentor do Cloud Storage para o serviço do Cloud Run.helloworld-events
Consola
gcloud
events-tutorial-trigger está listado com um objetivo de helloworld-events.
Gere e veja um evento
Consola
gcloud
Implementou com êxito um serviço de receção de eventos no Cloud Run, criou um acionador do Eventarc, gerou um evento a partir do Cloud Storage e viu-o nos registos do Cloud Run.
Limpar
Embora o Cloud Run não cobre custos quando o serviço não está a ser usado, ainda pode ser-lhe cobrado o armazenamento da imagem do contentor no Artifact Registry, o armazenamento de ficheiros no seu contentor do Cloud Storage e os recursos do Eventarc.Pode:
Em alternativa, pode eliminar o seu Google Cloud projeto para evitar incorrer em custos. A eliminação do seu Google Cloud projeto interrompe a faturação de todos os recursos usados nesse projeto.
Delete a Google Cloud project:
gcloud projects delete PROJECT_ID