Ereignisse mit Pub/Sub-Nachrichten empfangen (gcloud-CLI)

In dieser Kurzanleitung wird gezeigt, wie Sie einen GKE-Dienst (Google Kubernetes Engine) als Ziel f�r den Empfang von Pub/Sub-Themenereignissen mithilfe von Eventarc einrichten.

In dieser Kurzanleitung tun Sie Folgendes:

F�hren Sie vorbereitende Aufgaben wie das Aktivieren von APIs und das Einrichten eines Dienstkontos aus.
einen GKE-Cluster installieren
GKE-Ziele in Eventarc initialisieren
einen GKE-Dienst bereitstellen, der Ereignisse empf�ngt
einen Eventarc-Trigger erstellen, der ein Pub/Sub-Thema mit dem GKE-Dienst verbindet
Generieren Sie ein Pub/Sub-Ereignis und rufen Sie es auf.

Vorbereitung

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Die Abrechnung f�r das Google Cloud-Projekt muss aktiviert sein.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Die Abrechnung f�r das Google Cloud-Projekt muss aktiviert sein.

Aktualisieren Sie die Google Cloud CLI-Komponenten:
```
gcloud components update
```

Aktivieren Sie die APIs Eventarc, Resource Manager und Google Kubernetes Engine:

gcloud services enable eventarc.googleapis.com \
   cloudresourcemanager.googleapis.com \
   container.googleapis.com

Legen Sie die in dieser Kurzanleitung verwendeten Konfigurationsvariablen fest:

PROJECT_ID=$(gcloud config get-value project)
CLUSTER_NAME=events-cluster
SERVICE_NAME=hello-gke
LOCATION=us-central1

Wenn Sie der Projektersteller sind, wird Ihnen die einfache Owner-Rolle (roles/owner) zugewiesen. Standardm��ig enth�lt diese IAM-Rolle (Identity and Access Management) die Berechtigungen, die f�r den vollst�ndigen Zugriff auf die meisten Google Cloud-Ressourcen erforderlich sind. Sie k�nnen diesen Schritt �berspringen.

Wenn Sie nicht der Project Creator sind, m�ssen dem entsprechenden Hauptkonto die erforderlichen Berechtigungen f�r das Projekt erteilt werden. Ein Hauptkonto kann beispielsweise ein Google-Konto (f�r Endnutzer) oder ein Dienstkonto (f�r Anwendungen und Computing-Arbeitslasten) sein. Weitere Informationen finden Sie auf der Seite Rollen und Berechtigungen f�r Ihr Ereignisziel.
Erforderliche Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen f�r Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausf�hren der Kurzanleitung ben�tigen:
- Eventarc Admin (roles/eventarc.admin)
- Kubernetes Engine-Administrator (roles/container.admin)
- Zugriffsberechtigter f�r Logbetrachtung (roles/logging.viewAccessor)
- Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
- Pub/Sub Publisher (roles/pubsub.publisher)
- Service Account Admin (roles/iam.serviceAccountAdmin)
- Service Account User (roles/iam.serviceAccountUser)
- Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie k�nnen die erforderlichen Berechtigungen auch �ber benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Notieren Sie sich das Compute Engine Standarddienstkonto, das Sie an einen Eventarc-Trigger anh�ngen, um die Identit�t des Triggers zu Testzwecken darzustellen. Dieses Dienstkonto wird automatisch nach der Aktivierung oder Verwendung eines Google Cloud-Dienstes, der Compute Engine verwendet, mit dem folgenden E-Mail-Format erstellt:
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
Ersetzen Sie PROJECT_NUMBER durch Ihre Google Cloud-Projektnummer. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausf�hren des folgenden Befehls:
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
F�r Produktionsumgebungen empfehlen wir dringend, ein neues Dienstkonto zu erstellen und ihm eine oder mehrere IAM-Rollen zuzuweisen, die die erforderlichen Mindestberechtigungen enthalten und dem Grundsatz der geringsten Berechtigung folgen.

Hinweis:
Die Einschränkung für die Organisationsrichtlinie iam.automaticIamGrantsForDefaultServiceAccounts verhindert, dass die Rolle „Bearbeiter“ automatisch Standarddienstkonten zugewiesen wird. Wenn Sie Ihre Organisation nach dem 3. Mai 2024 erstellt haben, wird diese Einschränkung standardmäßig erzwungen.

Wir empfehlen dringend, diese Einschränkung zu erzwingen, um die automatische Rollenzuweisung zu deaktivieren. Wenn Sie die automatische Rollenzuweisung deaktivieren, müssen Sie entscheiden, welche Rollen den Standarddienstkonten zugeteilt werden sollen, und diese Rollen dann selbst zuweisen.

Wenn das Standarddienstkonto bereits die Rolle "Bearbeiter" hat, sollten Sie die Rolle "Bearbeiter" durch weniger strikte Rollen ersetzen. Verwenden Sie zum sicheren Ändern der Rollen des Dienstkontos Policy Simulator, um die Auswirkungen der Änderung zu sehen, und weisen Sie die entsprechenden Rollen zu und widerrufen Sie sie.

Weisen Sie dem Compute Engine-Standarddienstkonto die Rolle "Pub/Sub-Abonnent" (roles/pubsub.subscriber) für das Projekt zu, damit der Eventarc-Trigger Ereignisse aus Pub/Sub abrufen kann.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role=roles/pubsub.subscriber
```

Wenn Sie den Cloud Pub/Sub-Dienst-Agent am oder vor dem 8. April 2021 aktiviert haben, um authentifizierte Pub/Sub-Push-Anfragen zu unterstützen, weisen Sie dem von Google verwalteten Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) zu. Andernfalls wird diese Rolle standardm��ig zugewiesen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```

GKE-Cluster erstellen

Ein GKE-Cluster besteht aus mindestens einer Maschine mit der Cluster-Steuerungsebene und mehreren Worker-Maschinen, die Knoten genannt werden. Knoten sind Compute Engine-VM-Instanzen, auf denen die erforderlichen Kubernetes-Prozesse ausgef�hrt werden, um die Knoten in den Cluster einzubinden. In diesem Fall stellen Sie Anwendungen f�r Cluster bereit und die Anwendungen werden auf den Knoten ausgef�hrt.

Erstellen Sie einen Autopilot-Cluster mit dem Namen events-cluster:

gcloud container clusters create-auto $CLUSTER_NAME \
    --region $LOCATION

Es kann einige Minuten dauern, bis der Cluster erstellt ist. Nachdem der Cluster erstellt wurde, sollte die Ausgabe in etwa so aussehen:

Creating cluster events-cluster...done.
Created [https://container.googleapis.com/v1/projects/MY_PROJECT/zones/us-central1/clusters/events-cluster].
[...]
STATUS: RUNNING

Dadurch wird ein GKE-Cluster mit dem Namen events-cluster in einem Projekt erstellt mit der Google Cloud-Projekt-ID MY_PROJECT.

GKE-Ziele aktivieren

F�r jeden Trigger, der auf einen GKE-Dienst abzielt, erstellt Eventarc eine Komponente f�r den Ereignis-Forwarder, die Ereignisse aus Pub/Sub abruft und an das Ziel weiterleitet. Weisen Sie dem Eventarc-Dienst-Agent Berechtigungen zu, um die Komponente zu erstellen und Ressourcen im GKE-Cluster zu verwalten:

Aktivieren Sie GKE-Ziele f�r Eventarc:
```
gcloud eventarc gke-destinations init
```
Geben Sie bei der Aufforderung, die erforderlichen Rollen zu binden, y ein.

Die folgenden Rollen sind an das Dienstkonto gebunden:
- compute.viewer
- container.developer
- iam.serviceAccountAdmin

GKE-Dienstziel erstellen

Stellen Sie einen GKE-Dienst bereit, der Ereignisse mit dem vordefinierten Image us-docker.pkg.dev/cloudrun/container/hello empf�ngt und protokolliert:

Kubernetes verwendet eine YAML-Datei namens kubeconfig, um Informationen zur Clusterauthentifizierung f�r kubectl zu speichern. Die kubeconfig-Datei mit Anmeldedaten und Endpunktinformationen f�r Punkt kubectl im GKE-Cluster:
```
gcloud container clusters get-credentials $CLUSTER_NAME \
    --region $LOCATION
```

Erstellen Sie ein Kubernetes-Deployment:

kubectl create deployment $SERVICE_NAME \
    --image=us-docker.pkg.dev/cloudrun/container/hello

Geben Sie es als Kubernetes-Dienst frei:

kubectl expose deployment $SERVICE_NAME \
    --type ClusterIP \
    --port 80 \
    --target-port 8080

Eventarc-Trigger erstellen

Wenn eine Nachricht im Pub/Sub-Thema ver�ffentlicht wird, sendet der Eventarc-Trigger Nachrichten an den GKE-Dienst hello-gke.

Erstellen Sie einen GKE-Trigger, um Pub/Sub-Nachrichten zu �berwachen:

Neues Pub/Sub-Thema

gcloud eventarc triggers create gke-trigger-pubsub \
    --location="$LOCATION" \
    --destination-gke-cluster=$CLUSTER_NAME \
    --destination-gke-location=$LOCATION \
    --destination-gke-namespace=default \
    --destination-gke-service=$SERVICE_NAME \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com"

Dadurch werden ein neues Pub/Sub-Thema und ein Trigger mit dem Namen gke-trigger-pubsub f�r das Thema erstellt.

Vorhandenes Pub/Sub-Thema

gcloud eventarc triggers create gke-trigger-pubsub \
    --location="$LOCATION" \
    --destination-gke-cluster=$CLUSTER_NAME \
    --destination-gke-location=$LOCATION \
    --destination-gke-namespace=default \
    --destination-gke-service=$SERVICE_NAME \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --transport-topic=projects/PROJECT_ID/topics/TOPIC_ID

Ersetzen Sie dabei Folgendes:

PROJECT_ID: Ihre Google Cloud-Projekt-ID
TOPIC_ID: die ID des vorhandenen Pub/Sub-Themas. Dadurch wird ein Trigger mit dem Namen gke-trigger-pubsub f�r das vorhandene Pub/Sub-Thema erstellt.

So pr�fen Sie, ob der Trigger erfolgreich erstellt wurde. Es kann bis zu zwei Minuten dauern, bis der Trigger voll funktionsf�hig ist.
```
 gcloud eventarc triggers list
```
Die Ausgabe sollte in etwa so aussehen:
```
NAME: gke-trigger-pubsub
TYPE: google.cloud.pubsub.topic.v1.messagePublished
DESTINATION: GKE: hello-gke
ACTIVE: Yes
LOCATION: us-central1
```

Ereignis generieren und aufrufen

Sie k�nnen ein Ereignis generieren, um den GKE-Dienst auszul�sen, indem Sie eine Nachricht im Pub/Sub-Thema ver�ffentlichen. Sie k�nnen sich die Nachricht in den Pod-Logs ansehen.

Suchen Sie das Pub/Sub-Thema und legen Sie es als Umgebungsvariable fest:

TOPIC=$(gcloud eventarc triggers describe gke-trigger-pubsub \
    --location=us-central1 \
    --format='value(transport.pubsub.topic)')

Senden Sie eine Nachricht an das Pub/Sub-Thema, um ein Ereignis zu generieren:
```
gcloud pubsub topics publish $TOPIC --message="Hello World"
```
Der GKE-Dienst protokolliert die Nachricht des Ereignisses.

So rufen Sie die Ereignisnachricht auf:

Suchen Sie die Pod-ID:

kubectl get pods

Die Ausgabe sollte in etwa so aussehen:

NAME                                         READY   STATUS             RESTARTS   AGE
hello-gke-645964f578-2mjjt                   1/1     Running            0          35s

Kopieren Sie den NAME des Pods, der im n�chsten Schritt verwendet werden soll.

Pr�fen Sie die Logs des Pods:
```
kubectl logs NAME
```
Ersetzen Sie NAME durch den Namen des Pods, den Sie kopiert haben.

Suchen Sie nach einem Logeintrag wie dem folgenden:

2022/02/24 22:23:49 Hello from Cloud Run! The container started successfully and is listening for HTTP requests on $PORT
{"severity":"INFO","eventType":"google.cloud.pubsub.topic.v1.messagePublished","message":"Received event of type google.cloud.pubsub.topic.v1.messagePublished. Event data: Hello World"[...]}

Bereinigen

Nach Abschluss der in diesem Dokument beschriebenen Aufgaben k�nnen Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen l�schen.

Sie k�nnen:

Den Eventarc-Trigger l�schen.

Dadurch wird auch das zugeh�rige Pub/Sub-Thema gel�scht.
L�schen Sie den GKE-Cluster.

Alternativ k�nnen Sie Ihr Google Cloud-Projekt l�schen, um wiederkehrende Geb�hren zu vermeiden. Wenn Sie Ihr Google Cloud-Projekt l�schen, wird die Abrechnung f�r alle in diesem Projekt verwendeten Ressourcen beendet.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Wenn Sie mehrere Anleitungen und Kurzanleitungen durcharbeiten m�chten, k�nnen Sie die �berschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

N�chste Schritte

Ereignisse mit Cloud-Audit-Logs empfangen (Google Cloud CLI)