VPC 네트워크의 내부 HTTP 엔드포인트에서 Pub/Sub 이벤트 수신

이 튜토리얼에서는 Eventarc를 사용하여 Pub/Sub 메시지 이벤트를 수신하는 Virtual Private Cloud(VPC) 네트워크에서 내부 HTTP 엔드포인트를 만드는 방법을 보여줍니다. 이 이벤트 대상에 대한 자세한 내용은 VPC 네트워크의 내부 HTTP 엔드포인트로 이벤트 라우팅을 참조하세요.

터미널 또는 Cloud Shell에서 Google Cloud CLI를 사용하여 다음 명령어를 실행할 수 있습니다.

커스텀 모드 VPC 네트워크 만들기

VPC 네트워크는 Google의 프로덕션 네트워크 내에서 구현되는 물리적 네트워크의 가상 버전입니다. 이는 Compute Engine VM 인스턴스에 연결을 제공합니다.

커스텀 모드 VPC 네트워크가 만들어질 때는 서브넷이 자동으로 만들어지지 않습니다. 이 네트워크 유형에서는 개발자가 서브넷과 IP 범위를 완전히 제어할 수 있습니다.

gcloud compute networks create NETWORK_NAME \
    --subnet-mode=custom \
    --bgp-routing-mode=regional \
    --mtu=1460

NETWORK_NAME을 VPC 네트워크의 이름으로 바꿉니다.

다음에 유의하세요.

  • 새로 만드는 네트워크의 이름은 같은 프로젝트 내에서 서로 달라야 합니다.
  • 경계 경로 프로토콜(BGP) 라우팅 모드는 네트워크에서 Cloud Router의 동작을 제어하며 global 또는 regional일 수 있습니다. 기본값은 regional입니다.
  • 네트워크의 최대 패킷 크기인 최대 전송 단위(MTU)입니다. MTU는 1300부터 8896 사이의 모든 값으로 설정할 수 있습니다. 기본값은 1460입니다. MTU를 1460보다 큰 값으로 설정하기 전에 최대 전송 단위를 검토하세요.

자세한 내용은 VPC 네트워크 만들기 및 관리를 참조하세요.

IPv4 전용 서브넷 만들기

네트워크를 사용하려면 네트워크에 한 개 이상의 서브넷이 있어야 합니다.

서브넷을 만들 때 서브넷 규칙에 따라 이름, 리전, 기본 IPv4 주소 범위를 설정합니다. 서브넷이 정의되지 않은 리전에는 인스턴스를 만들 수 없습니다.

gcloud compute networks subnets create SUBNET_NAME \
    --region=$REGION \
    --network=NETWORK_NAME \
    --range=10.10.10.0/24

SUBNET_NAME을 새 서브넷 이름으로 바꿉니다.

자세한 내용은 서브넷을 참조하세요.

VPC 방화벽 규칙 만들기

VPC 방화벽 규칙을 사용하면 포트 번호, 태그 또는 프로토콜을 기반으로 VPC 네트워크의 리소스 간 트래픽을 허용하거나 거부할 수 있습니다.

VPC 방화벽 규칙은 네트워크 수준에서 정의되며 네트워크가 만들어진 위치에만 적용됩니다. 그러나 규칙에 대해 선택한 이름은 프로젝트에 고유해야 합니다.

  1. VPC 네트워크에 대해 포트 22를 사용하여 모든 IPv4 주소(0.0.0.0/0)에서 네트워크의 모든 인스턴스로 수신되는 인그레스 트래픽을 허용하는 방화벽 규칙을 만듭니다. 이벤트 전송에는 이 규칙이 필요하지 않습니다. 그러나 이 튜토리얼에서는 SSH를 사용하여 VM에 연결하고 이벤트 전송을 확인할 수 있도록 규칙을 만듭니다.

    gcloud compute firewall-rules create RULE_NAME_ONE \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --direction=INGRESS \
    --priority=65534 \
    --action=ALLOW \
    --source-ranges=0.0.0.0/0 \
    --rules=tcp:22

  2. 포트 80을 사용하여 특정 IP 주소 범위에서 네트워크의 모든 인스턴스로 수신되는 인그레스 트래픽을 허용하는 VPC 네트워크의 방화벽 규칙을 만듭니다(포트 80에서 수신 대기하는 웹 서버를 VM에 배포할 예정).

    gcloud compute firewall-rules create RULE_NAME_TWO \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --direction=INGRESS \
    --priority=1000 \
    --action=ALLOW \
    --source-ranges=10.10.10.0/24 \
    --rules=tcp:80

    RULE_NAME_ONERULE_NAME_TWO를 방화벽 규칙의 고유 이름으로 바꿉니다.

    --source-ranges 사용은 선택사항이며 네트워크의 인스턴스에 대한 방화벽 규칙과 일치하는 인바운드 연결을 만들 수 있도록 허용된 IP 주소 블록 목록을 나타냅니다. 이 경우 범위는 이전에 만든 서브넷에 사용된 범위와 일치합니다.

    플래그를 사용하여 방화벽 규칙을 Eventarc 트래픽에 구체적으로 적용하는 것이 좋습니다. --source-ranges--source-tags를 모두 지정하지 않으면 --source-ranges의 기본값이 0.0.0.0/0이 되며, 이는 네트워크 내부 또는 외부의 모든 수신 IPv4 연결에 규칙이 적용됨을 의미합니다.

자세한 내용은 VPC 방화벽 규칙 사용을 참조하세요.

네트워크 연결 만들기

네트워크 연결은 제작자 VPC에서 Private Service Connect 인터페이스를 통해 고객 VPC 네트워크에 대한 연결을 시작할 수 있는 리소스입니다.

이벤트를 게시하기 위해 Eventarc는 네트워크 연결을 사용해서 VPC 네트워크에 호스팅되는 내부 HTTP 엔드포인트에 대해 연결을 설정합니다.

네트워크 연결을 참조하는 Private Service Connect 인터페이스에서 연결을 자동으로 허용하는 네트워크 연결을 만들 수 있습니다. HTTP 대상 서비스가 포함된 같은 네트워크와 리전에 네트워크 연결을 만듭니다.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=$REGION \
    --subnets=SUBNET_NAME \
    --connection-preference=ACCEPT_AUTOMATIC

ATTACHMENT_NAME을 네트워크 연결 이름으로 바꿉니다.

자세한 내용은 네트워크 연결 정보를 참조하세요.

특정 서브넷에 VM 인스턴스 만들기

Compute Engine VM 인스턴스는 Google 인프라에서 호스팅되는 가상 머신입니다. Compute Engine 인스턴스, VM 인스턴스, VM은 같은 의미로 사용되는 동의어입니다. VM 인스턴스에는 Google Kubernetes Engine(GKE) 클러스터, App Engine 가변형 환경 인스턴스 및 Compute Engine VM을 기반으로 빌드된 기타 Google Cloud 제품이 포함됩니다.

이벤트 수신자 서비스를 배포할 수 있는 VPC 네트워크에 Compute Engine VM 인스턴스를 만듭니다.

gcloud compute instances create INSTANCE_NAME \
      --zone=$ZONE \
      --machine-type=e2-medium \
      --subnet=SUBNET_NAME

INSTANCE_NAME을 VM 이름으로 바꿉니다.

자세한 내용은 VM 인스턴스 만들기 및 시작을 참조하세요.

VM에 이벤트 수신자 배포

포트 80에서 수신 대기하고 이벤트를 수신하고 로깅하는 웹 서버를 VM에 배포합니다.

  1. Google Cloud 콘솔의 SSH 버튼을 사용하여 VM에 연결하여 VM 인스턴스에 SSH 연결을 설정합니다.

    SSH 서버에 대한 연결이 설정되면 브라우저에서 SSH를 통해 연결한 터미널을 사용하여 VM 인스턴스에서 명령어를 실행합니다.

  2. 브라우저에서 SSH를 통해 연결한 터미널에서 다음 Python 코드가 포함된 server.py라는 파일 이름의 텍스트 파일을 만듭니다.

    #!/usr/bin/env python3
from http.server import BaseHTTPRequestHandler, HTTPServer
import logging

class S(BaseHTTPRequestHandler):
    def _set_response(self):
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()

    def do_GET(self):
        logging.info("GET request,\nPath: %s\nHeaders:\n%s\n", str(self.path), str(self.headers))
        self._set_response()
        self.wfile.write("GET request for {}".format(self.path).encode('utf-8'))

    def do_POST(self):
        content_length = int(self.headers['Content-Length'])
        post_data = self.rfile.read(content_length)
        logging.info("POST request,\nPath: %s\nHeaders:\n%s\n\nBody:\n%s\n",
                str(self.path), str(self.headers), post_data.decode('utf-8'))

        self._set_response()
        self.wfile.write("POST request for {}".format(self.path).encode('utf-8'))

def run(server_class=HTTPServer, handler_class=S, port=80):
    logging.basicConfig(level=logging.INFO)
    server_address = ('', port)
    http_server = server_class(server_address, handler_class)
    logging.info('Starting HTTP Server at port %d...\n', port)
    try:
        http_server.serve_forever()
    except KeyboardInterrupt:
        pass
    http_server.server_close()
    logging.info('Stopping HTTP Server...\n')

if __name__ == '__main__':
    from sys import argv

    if len(argv) == 2:
        run(port=int(argv[1]))
    else:
        run()

  3. 서버를 시작하고 이 튜토리얼의 나머지 단계 동안 서버를 계속 실행합니다.

    sudo python3 server.py

Eventarc 트리거 만들기

새 Pub/Sub 주제를 생성하고 메시지가 Pub/Sub 주제에 게시될 때 VM에 배포된 이벤트 수신자로 이벤트를 라우팅하는 Eventarc 트리거를 만듭니다.

Compute Engine API를 사용 설정한 후 기본 서비스 계정은 Compute Engine 기본 서비스 계정(PROJECT_NUMBER-compute@developer.gserviceaccount.com)입니다. 테스트 목적으로 트리거는 식별을 위해 이 기본 서비스 계정 ID를 사용합니다.

gcloud eventarc triggers create TRIGGER_NAME \
    --location=$REGION \
    --destination-http-endpoint-uri=http://INSTANCE_NAME.$ZONE.c.PROJECT_ID.internal \
    --network-attachment="projects/PROJECT_ID/regions/$REGION/networkAttachments/ATTACHMENT_NAME" \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com

여기에서 PROJECT_NUMBER를 Google Cloud프로젝트 번호로 바꿉니다. Google Cloud 콘솔의 시작 페이지에서 또는 다음 명령어를 실행하여 프로젝트 번호를 찾을 수 있습니다.

gcloud projects describe PROJECT_ID --format='value(projectNumber)'

트리거 구성에 대한 자세한 내용은 VPC 네트워크의 내부 HTTP 엔드포인트로 이벤트 라우팅을 참조하세요.

Pub/Sub 주제 이벤트를 생성하고 확인합니다.

메시지를 Pub/Sub 주제에 게시하면 이벤트를 생성할 수 있습니다.

  1. Pub/Sub 주제를 환경 변수로 찾아서 설정합니다.

    export MY_TOPIC=$(gcloud eventarc triggers describe TRIGGER_NAME \
    --location=$REGION \
    --format='value(transport.pubsub.topic)')

  2. Pub/Sub 주제에 메시지를 게시하여 이벤트를 생성합니다.

    gcloud pubsub topics publish $MY_TOPIC --message "Hello World"

    Eventarc 트리거는 이벤트를 VPC 네트워크의 내부 HTTP 엔드포인트로 라우팅합니다. 브라우저에 SSH를 통해 연결한 터미널에서 이벤트 본문이 출력됩니다. 다음과 유사해야 합니다.

    Body:
{
    "message": {
        "data": "SGVsbG8gV29ybGQ=",
        "messageId": "8795720366614192",
        "publishTime": "2023-08-26T13:09:48Z"
    }
}

10.10.10.3 - - [26/Aug/2023 13:09:49] "POST / HTTP/1.1" 200 -

    해당 Base64 형식에서 SGVsbG8gV29ybGQ=data 값을 디코딩할 경우 'Hello World'가 반환됩니다.

VPC 네트워크의 내부 HTTP 엔드포인드에 이벤트 수신자 서비스를 성공적으로 배포하고 Eventarc 트리거를 만들고 Pub/Sub에서 이벤트를 생성했으며, 트리거에서 예상대로 이벤트가 대상 엔드포인트로 라우팅되었음을 확인했습니다.