ניתוב אירועי Batch ל-GKE

טריגר ב-Eventarc מציין שיש לכם עניין באירוע מסוים או בקבוצת אירועים. אפשר להגדיר ניתוב אירועים על ידי ציון מסננים לטריגר, כולל מקור האירוע ושירות היעד של Google Kubernetes Engine ‏ (GKE) שפועל באשכול GKE. שימו לב: יעדים יכולים לכלול רק שירותים שפועלים באשכולות GKE (ציבוריים או פרטיים) עם נקודות קצה ציבוריות. כדי לטרגט שירותים באשכולות GKE עם נקודות קצה פרטיות, צריך לנתב אירועים אל נקודות קצה פנימיות של HTTP.

‫Eventarc מעביר אירועים למקבל האירועים בפורמט CloudEvents באמצעות בקשת HTTP.

ההוראות האלה מסבירות איך להגדיר ניתוב אירועים לשירות GKE שמופעל על ידי אירועBatch ישיר. פרטים נוספים זמינים ברשימה של אירועים ישירים נתמכים.

לפני שמתחילים

צריך להפעיל איחוד זהויות של עומסי עבודה ל-GKE באשכול GKE ובמאגר הצמתים שבו פועל שירות היעד. כדי להגדיר את העברת האירועים בצורה נכונה, צריך להשתמש באיחוד זהויות של עומסי עבודה ל-GKE. זו גם הדרך המומלצת לגשת לשירותי Google Cloud מתוך אפליקציות שפועלות ב-GKE, כי היא מאפשרת אבטחה וניהול משופרים.

ארכיטקטורה של אירועים ב-Eventarc שמיועדים ליעדים ב-GKE

איחוד זהויות של עומסי עבודה ל-GKE

יכול להיות שאפליקציות שפועלות ב-GKE יצטרכו גישה ל-Google Cloud APIs. איחוד זהויות של עומסי עבודה ל-GKE מאפשר לחשבון שירות של Kubernetes באשכול GKE לפעול כחשבון שירות של IAM. פודים שמשתמשים בחשבון השירות של Kubernetes שהוגדר עוברים אימות אוטומטי כחשבון השירות של IAM כשניגשים אל ממשקי Google Cloud API. שימוש באיחוד שירותי אימות הזהות של עומסי עבודה ב-GKE מאפשר להקצות זהויות והרשאות שונות ומפורטות לכל אפליקציה באשכול. חשוב לשים לב שצריך להעניק הרשאות ספציפיות לחשבון השירות של טריגר Eventarc. במאמר הזה מוסבר איך יוצרים חשבון שירות.

מידע נוסף על הפעלה והגדרה של איחוד זהויות של עומסי עבודה ל-GKE באשכולות GKE זמין במאמר אימות ל-APIs מתוך עומסי עבודה של GKE. Google Cloud

העברת אירועים

הכלי להעברת אירועים של Eventarc שולף אירועים חדשים מ-Eventarc ומעביר אותם ליעד GKE. הרכיב הזה פועל כמתווך בין שכבת התעבורה של Pub/Sub לבין שירות GKE. הוא פועל בשירותים קיימים ותומך גם בשירותי איתות (כולל כאלה שלא נחשפים מחוץ לאשכול המנוהל באופן מלא), תוך פישוט ההגדרה והתחזוקה. ברמת הרשת, כדי לקבל אירועים בשירות GKE, לא צריך לפתוח את השירות לתעבורה חיצונית כי כל האירועים מועברים ממקור שנמצא באותו אשכול GKE.

שימו לב שמחזור החיים של מעביר האירועים מנוהל על ידי Eventarc, ואם תמחקו בטעות את מעביר האירועים, Eventarc ישחזר את הרכיב הזה.

לכל טריגר שמפנה ליעד GKE, מעביר האירועים (pod gke-forwarder שהוגדר במיוחד) מבצע את הפעולות הבאות:

  1. הוא משתמש ב-Pub/Sub API כדי לפתוח StreamingPull חיבור ל-trigger transporter (נושא ומינוי ב-Pub/Sub) ומקבל אירועים כשהם זמינים.

  2. הוא משנה את האירועים לפורמט CloudEvents הנכון, מקודד אותם ושולח אותם כבקשת HTTP POST לשירות היעד של GKE.

לסוכן השירות של Eventarc נדרשת הרשאה להפעלה ולעדכון קבוע של מופע gke-forwarder. צריך להעניק את ההרשאה הזו פעם אחת לכל פרויקט. פרטים נוספים זמינים במאמר הזה בקטע הפעלת יעדים של GKE.

פתרון בעיות

כדי לפתור בעיות שעלולות לקרות כשמשתמשים ב-Eventarc ל-GKE, אפשר לעיין במאמר פתרון בעיות ב-Eventarc ל-Google Kubernetes Engine ‏ (GKE).

הכנות ליצירת טריגר

לכל טריגר שמטרגט שירות GKE,‏ Eventarc יוצר רכיב להעברת אירועים. ל-Eventarc נדרשות הרשאות כדי להתקין את הרכיב ולנהל משאבים באשכול GKE. לפני שיוצרים טריגר Eventarc ליעדי GKE, צריך לבצע את המשימות הבאות.

המסוף

  1. בדף לבחירת הפרויקט במסוף Google Cloud , בוחרים פרויקט ב- Google Cloud או יוצרים אותו.

    כניסה לדף לבחירת הפרויקט

  2. מפעילים את ממשקי ה-API של Eventarc,‏ Eventarc Publishing,‏ Google Kubernetes Engine ומנהל המשאבים.

    הפעלת ממשקי ה-API

  3. אם רלוונטי, מפעילים את ממשק ה-API שקשור לאירועים הישירים. לדוגמה, כדי להשתמש ב Batch אירועים, צריך להפעיל את ה-API שלBatch .

  4. אם עדיין אין לכם חשבון שירות, אתם צריכים ליצור חשבון שירות שמנוהל על ידי משתמש, ואז להקצות לו את התפקידים וההרשאות הנדרשים כדי ש-Eventarc יוכל לנהל אירועים בשירות היעד.

    1. במסוף Google Cloud , נכנסים לדף יצירת חשבון שירות.

      כניסה לדף Create service account

    2. בוחרים את הפרויקט הרצוי.

    3. כותבים שם בשדה Service account name. השדה Service account ID ימולא במסוף Google Cloud בהתאם לשם הזה.

      כותבים תיאור בשדה Service account description. לדוגמה, Service account for event trigger.

    4. לוחצים על Create and continue.

    5. כדי לספק גישה מתאימה, ברשימה Select a role בוחרים את תפקידי ניהול הזהויות והגישה (IAM) שרוצים להקצות לחשבון השירות. מידע נוסף זמין במאמר תפקידים והרשאות ליעדי GKE.

      כדי להוסיף עוד תפקידים, לוחצים על Add another role ומוסיפים אותם אחד אחרי השני.

    6. לוחצים על Continue.

    7. כדי לסיים את יצירת החשבון, לוחצים על סיום.

gcloud

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. מפעילים את ממשקי ה-API של Eventarc,‏ Eventarc Publishing,‏ Google Kubernetes Engine ומנהל המשאבים.

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    container.googleapis.com \
    cloudresourcemanager.googleapis.com

  3. אם רלוונטי, מפעילים את ממשק ה-API שקשור לאירועים הישירים. לדוגמה, כדי להפעיל את האפשרות batch.googleapis.com לאירועים, צריך להזין את הערך Batch events.

  4. אם עדיין אין לכם חשבון שירות בניהול המשתמש, אתם צריכים ליצור אותו ולהעניק לו את התפקידים וההרשאות הנדרשים כדי ש-Eventarc יוכל לנהל אירועים ביעד GKE.

    1. יוצרים את חשבון השירות:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      מחליפים את SERVICE_ACCOUNT_NAME בשם של חשבון השירות. הוא צריך להיות באורך שבין 6 ל-30 תווים, והוא יכול לכלול תווים אלפאנומריים ומקפים. אחרי שיוצרים חשבון שירות, אי אפשר לשנות את השם שלו.

    2. מעניקים את התפקידים או ההרשאות הנדרשים לניהול זהויות והרשאות גישה (IAM). מידע נוסף זמין במאמר תפקידים והרשאות ליעדי GKE.

הפעלת יעדי GKE

כדי לאפשר ל-Eventarc לנהל משאבים באשכול GKE, צריך להפעיל יעדי GKE ולקשר את סוכן השירות של Eventarc לתפקידים הנדרשים.

  1. הפעלת יעדי GKE ל-Eventarc:

    gcloud eventarc gke-destinations init

  2. בהנחיה לקשירת התפקידים הנדרשים, מזינים y.

    התפקידים הבאים מקושרים:

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

יצירת טריגר

אפשר ליצור טריגר Eventarc באמצעות Google Cloud CLI או דרך מסוף Google Cloud .

המסוף

  1. נכנסים לדף Triggers ב-Eventarc במסוף Google Cloud .

    כניסה לדף Triggers

  2. לוחצים על Create trigger (יצירת ביטוי להפעלה).
  3. מקלידים Trigger name.

    זהו המזהה של הטריגר, והוא חייב להתחיל באות. הוא יכול להכיל עד 63 אותיות קטנות, ספרות או מקפים.

  4. בשדה Trigger type, בוחרים באפשרות Google sources.
  5. ברשימה Event provider בוחרים באפשרות Batch.

    שימו לב: יכול להיות שבשם ספק האירועים שמופיע בGoogle Cloud מסמכי התיעוד המשויכים לא מופיעה הקידומת Cloud או Google Cloud. לדוגמה, במסוף, Memorystore for Redis נקרא Google Cloud Memorystore for Redis.

  6. ברשימה סוג האירוע, מתוך האירועים ישירים, בוחרים סוג אירוע.
  7. כדי לציין את הקידוד של מטען הייעודי (payload) של האירוע, ברשימה Event data content type (סוג התוכן של נתוני האירוע), בוחרים באפשרות application/json או באפשרות application/protobuf.

    חשוב לזכור שמטען ייעודי (payload) של אירוע בפורמט JSON גדול יותר ממטען ייעודי בפורמט Protobuf. זה עלול להשפיע על המהימנות, בהתאם ליעד של האירוע ולמגבלות שלו לגבי גודל האירוע. מידע נוסף זמין במאמר בנושא בעיות מוכרות.

  8. ברשימה Region, בוחרים את אותו אזור כמוGoogle Cloud השירות שמייצר את האירועים.

    מידע נוסף זמין במאמר בנושא מיקומי Eventarc.

  9. אם האפשרות רלוונטית לספק האירועים, לוחצים על הוספת מסנן ומציינים את הפרטים הבאים:
    1. בשדה Attribute 1 (מאפיין 1), בהתאם לאירוע הישיר שבחרתם, בוחרים מזהה משאב שיכול לשמש כמסנן אירועים.
    2. בוחרים אופרטור:
    3. בשדה ערך מאפיין 1, בהתאם לאופרטור שבחרתם, מקלידים את הערך המדויק או מחילים תבנית נתיב.
    4. אם יש עוד מסנני מאפיינים שרלוונטיים, לוחצים על הוספת מסנן ומציינים את הערכים המתאימים.
  10. בוחרים את חשבון השירות שיפעיל את השירות או את תהליך העבודה.

    אפשר גם ליצור חשבון שירות חדש.

    כאן מציינים את כתובת האימייל בחשבון השירות של ניהול הזהויות והרשאות הגישה (IAM) שמשויך לטריגר, ושקודם לכן הענקתם לו תפקידים ספציפיים שנדרשים על ידי Eventarc.

  11. ברשימה Event destination, בוחרים באפשרות Kubernetes Engine.
  12. בוחרים שירות.

    זהו שם השירות שמקבל את האירועים להפעלת הטריגר. השירות צריך להיות באותו פרויקט כמו הטריגר, והוא יקבל אירועים כבקשות HTTP POST שנשלחות לנתיב של כתובת ה-URL הבסיסית שלו (/), בכל פעם שהאירוע נוצר.

  13. אפשר לציין נתיב לכתובת ה-URL של השירות כדי לשלוח את הבקשה הנכנסת.

    זהו הנתיב היחסי בשירות היעד שאליו יישלחו האירועים של הטריגר. לדוגמה: /, /route, route, route/subroute.

  14. אפשר גם ללחוץ על הוספת תווית. תוויות הן צמדי מפתח/ערך שעוזרים לכם לארגן אתGoogle Cloud המשאבים. מידע נוסף זמין במאמר מהן תוויות?
  15. לוחצים על יצירה.

    16. אחרי שיוצרים טריגר, אי אפשר לשנות את המסננים של מקור האירוע. במקום זאת, צריך ליצור טריגר חדש ולמחוק את הטריגר הישן. מידע נוסף זמין במאמר בנושא ניהול טריגרים.

gcloud

אפשר ליצור טריגר על ידי הרצת פקודת gcloud eventarc triggers create עם דגלים של חובה ואופציונליים.

  gcloud eventarc triggers create TRIGGER \
      --location=LOCATION \
      --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
      --destination-gke-location=DESTINATION_GKE_LOCATION \
      --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
      --destination-gke-service=DESTINATION_GKE_SERVICE \
      --destination-gke-path=DESTINATION_GKE_PATH \
      --event-filters="type=EVENT_FILTER_TYPE" \
      --event-filters="COLLECTION_ID=RESOURCE_ID" \
      --event-filters-path-pattern="COLLECTION_ID=PATH_PATTERN" \
      --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
      --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"

מחליפים את מה שכתוב בשדות הבאים:

  • TRIGGER: המזהה של הטריגר או מזהה מוגדר במלואו
  • LOCATION: המיקום של טריגר Eventarc. אפשר גם להגדיר את המאפיין eventarc/location, לדוגמה, gcloud config set eventarc/location us-central1.

    כדי להימנע מבעיות בביצועים ובמיקום הנתונים, המיקום צריך להיות זהה למיקום של Google Cloud השירות שמייצר את האירועים. מידע נוסף זמין במאמר בנושא מיקומי Eventarc.

  • DESTINATION_GKE_CLUSTER: השם של אשכול GKE שבו פועל שירות GKE היעד שמקבל אירועים.
  • DESTINATION_GKE_LOCATION: (אופציונלי) אזור Compute Engine של אשכול GKE שבו פועל שירות היעד של GKE. אם לא מציינים זאת, המערכת מניחה שהאשכול הוא אשכול אזורי, והוא נמצא באותו אזור כמו הטריגר.
  • DESTINATION_GKE_NAMESPACE: (אופציונלי) מרחב השמות שבו פועל שירות היעד של GKE. אם לא מציינים מרחב שמות, המערכת משתמשת במרחב השמות default.
  • DESTINATION_GKE_SERVICE: השם של שירות GKE שמקבל את האירועים להפעלת הטריגר. השירות יכול להיות בכל אחד מהמיקומים שנתמכים ב-GKE, והוא לא צריך להיות באותו מיקום כמו הטריגר. עם זאת, השירות צריך להיות באותו פרויקט כמו הטריגר והוא יקבל אירועים כבקשות HTTP POST שנשלחות לנתיב כתובת ה-URL הבסיסית שלו (/), בכל פעם שהאירוע נוצר.
  • DESTINATION_GKE_PATH: (אופציונלי) הנתיב היחסי שאתם מציינים בשירות GKE של היעד שאליו יישלחו האירועים של הטריגר. לדוגמה: /, /route, route, route/subroute.
  • EVENT_FILTER_TYPE: המזהה של האירוע. אירוע נוצר כשקריאה ל-API של השיטה מצליחה. בפעולות ארוכות טווח, האירוע נוצר רק בסוף הפעולה, ורק אם הפעולה בוצעה בהצלחה. רשימה של סוגי האירועים הנתמכים מופיעה במאמר בנושא סוגי אירועים של Google שנתמכים על ידי Eventarc.
  • COLLECTION_ID (אופציונלי): רכיב resource שיכול לשמש כמסנן אירועים. הערך הוא job.
  • RESOURCE_ID: המזהה של המשאב שמשמש כערך הסינון של האוסף המשויך. מידע נוסף זמין במאמר מזהה משאב.
  • PATH_PATTERN: תבנית הנתיב להחלה כשמסננים את המשאב.
  • EVENT_DATA_CONTENT_TYPE: (אופציונלי) הקידוד של מטען הייעודי של האירוע. הערך יכול להיות application/json או application/protobuf. קידוד ברירת המחדל הוא application/json.

    חשוב לזכור שמטען ייעודי (payload) של אירוע בפורמט JSON גדול יותר ממטען ייעודי בפורמט Protobuf. זה עשוי להשפיע על המהימנות בהתאם ליעד האירוע ולמגבלות שלו לגבי גודל האירוע. מידע נוסף זמין במאמר בנושא בעיות מוכרות.

  • SERVICE_ACCOUNT_NAME: השם של חשבון השירות שמנוהל על ידי המשתמש.
  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .

הערות:

  • חובה להשתמש בדגל --event-filters="type=EVENT_FILTER_TYPE". אם לא מוגדר מסנן אירועים אחר, המערכת מתאימה אירועים לכל המשאבים.
  • EVENT_FILTER_TYPE אי אפשר לשנות את ההגדרה הזו אחרי שהמרחב נוצר. כדי לשנות את EVENT_FILTER_TYPE, צריך ליצור טריגר חדש ולמחוק את הטריגר הישן.
  • לכל טריגר יכולים להיות כמה מסנני אירועים, מופרדים בפסיקים בדגל אחד --event-filters=[ATTRIBUTE=VALUE,...] או שאפשר לחזור על הדגל כדי להוסיף עוד מסננים. רק אירועים שתואמים לכל המסננים נשלחים ליעד. אין תמיכה בתווים כלליים לחיפוש ובביטויים רגולריים. עם זאת, כשמשתמשים בדגל --event-filters-path-pattern, אפשר להגדיר דפוס נתיב של משאב.
  • הדגל --service-account משמש לציון כתובת האימייל בחשבון השירות בניהול זהויות והרשאות גישה (IAM) שמשויך לטריגר.

דוגמה:

  gcloud eventarc triggers create helloworld-trigger \
      --location=us-central1 \
      --destination-gke-cluster=gke-events-cluster \
      --destination-gke-location=us-central1-a \
      --destination-gke-namespace=default \
      --destination-gke-service=helloworld-events \
      --destination-gke-path=/ \
      --event-filters="type=google.cloud.batch.job.v1.created" \
      --event-filters-path-pattern="job=my-job-*" \
      --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

הפקודה הזו יוצרת טריגר בשם helloworld-trigger לאירוע שמזוהה כ-google.cloud.batch.job.v1.created, ומתאימה לאירועים עם מזהים job שמתחילים ב-my-job-.

Terraform

אפשר ליצור טריגר ליעד GKE באמצעות Terraform. פרטים נוספים זמינים במאמר יצירת טריגר באמצעות Terraform.

הצגת טריגר

אפשר לאשר את יצירת הטריגר באמצעות רשימת הטריגרים של Eventarc ב-Google Cloud CLI או במסוף Google Cloud .

המסוף

  1. נכנסים לדף Triggers ב-Eventarc במסוף Google Cloud .

    כניסה לדף Triggers

    בדף הזה מפורטים הטריגרים בכל המיקומים, כולל פרטים כמו שמות, אזורים, ספקי אירועים, יעדים ועוד.

  2. כדי לסנן את הטריגרים:

    1. לוחצים על Filter (מסנן) או על השדה Filter triggers (טריגרים של מסנן).
    2. ברשימה Properties, בוחרים אפשרות לסינון הטריגרים.

    אפשר לבחור נכס אחד או להשתמש באופרטור הלוגי OR כדי להוסיף עוד נכסים.

  3. כדי למיין את הטריגרים, לוחצים על מיון לצד כותרת של עמודה נתמכת.

gcloud

מריצים את הפקודה הבאה כדי להציג את הטריגרים:

gcloud eventarc triggers list --location=-

הפקודה הזו מציגה רשימה של הטריגרים בכל המיקומים, וכוללת פרטים כמו שמות, סוגים, יעדים וסטטוסים.

המאמרים הבאים