Como gerenciar sessões com o Firestore

Muitos aplicativos precisam de gerenciamento de sessões para autenticação e preferências do usuário. O ASP.NET Core vem com middleware para armazenar sessões em um cache distribuído.

O cache distribuído padrão do ASP.NET não é realmente distribuído. Ele armazena os dados da sessão na memória do servidor da Web. Quando apenas um servidor da Web está exibindo um site, essa estratégia é adequada. Mas quando muitos servidores da Web estão exibindo um site, os usuários do site podem experimentar erros e perda de dados.

Para evitar erros e perda de dados, um aplicativo ASP.NET precisa usar um cache distribuído que armazena dados em um armazenamento de dados persistente. Este tutorial mostra como gerenciar sessões no Cloud Run armazenando-as no Firestore e criptografando cookies com o Cloud Key Management Service.

Objetivos

  • Implantar o aplicativo no Cloud Run.

Custos

Neste documento, você vai usar os seguintes componentes faturáveis do Cloud de Confiance by S3NS:

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Para mais informações, consulte Limpeza.

Antes de começar

  1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Cloud de Confiance project.

  3. Enable the Firestore, Cloud Run, Cloud Key Management Service, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  4. Para criar um banco de dados do Firestore no modo nativo, conclua as seguintes etapas:
    1. No console do Cloud de Confiance , acesse a página Visualizador do Firestore.
      Acessar o visualizador do Firestore
    2. Na tela Selecione um modo do Firestore, clique em Selecione o modo nativo.
    3. Selecione um local para seu banco de dados do Firestore. Essa configuração é o local padrão de recursos do Cloud de Confiance para seu projeto do Cloud de Confiance . Esse local é usado para serviços do Cloud de Confiance no projeto Cloud de Confiance que exigem uma configuração de local, especificamente, o bucket padrão do Cloud Storage e o aplicativo do App Engine.
    4. Clique em Criar banco de dados.

  5. No Cloud Shell, abra o código-fonte do app.
    Acessar o Cloud Shell

    O Cloud Shell oferece acesso por linha de comando aos seus recursos do Cloud de Confiance diretamente no navegador.

  6. Para fazer o download do código de exemplo e passar para o diretório do app, clique em Continuar.

  7. No Cloud Shell, configure a CLI gcloud para usar seu novo projeto Cloud de Confiance : 

    # Configure gcloud for your project
gcloud config set project PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto Cloud de Confiance que você criou usando o console Cloud de Confiance .

    A Google Cloud CLI é a principal maneira de interagir com seus recursos do Cloud de Confiance na linha de comando. Neste tutorial, você vai usar a CLI gcloud para implantar e monitorar seu app.

Examinar o código-fonte

O diagrama a seguir ilustra como o Firestore gerencia sessões para o aplicativo Cloud Run.

Diagrama da arquitetura: usuário, Cloud Run, Firestore.

O método ConfigureServices no arquivo Startup.cs configura o aplicativo para usar o Cloud KMS para criptografia e o Cloud Storage para armazenar chaves criptografadas.

  1. No Cloud Shell, clique em lançar editor para iniciar o editor e examinar o arquivo Startup.cs. 

    public void ConfigureServices(IServiceCollection services)
{
    // Antiforgery tokens require data protection.
    services.AddDataProtection()
        // Store keys in Cloud Storage so that multiple instances
        // of the web application see the same keys.
        .PersistKeysToGoogleCloudStorage(
            Configuration["DataProtection:Bucket"],
            Configuration["DataProtection:Object"])
        // Protect the keys with Google KMS for encryption and fine-
        // grained access control.
        .ProtectKeysWithGoogleKms(
            Configuration["DataProtection:KmsKeyName"]);
    services.AddFirestoreDistributedCache(
            Configuration["FIRESTORE_PROJECT_ID"])
        .AddFirestoreDistributedCacheGarbageCollector();
    services.AddSession();
}

Como configurar o projeto do Cloud de Confiance

  1. No editor do Cloud Shell, edite o arquivo appsettings.json e substitua as duas instâncias de YOUR-PROJECT-ID pelo ID do projeto Cloud de Confiance . Salve o arquivo. 

    {
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*",
  "DataProtection": {
    "Bucket": "YOUR-PROJECT-ID-bucket",
    "Object": "DataProtectionProviderKeys.xml",
    "KmsKeyName": "projects/YOUR-PROJECT-ID/locations/global/keyRings/dataprotectionprovider/cryptoKeys/masterkey"
  }
}

  2. Crie um novo keyring do Cloud Key Management Service chamado dataprotectionprovider: 

    gcloud kms keyrings create dataprotectionprovider --location global

  3. Crie uma nova chave do Cloud Key Management Service chamada masterkey: 

    gcloud kms keys create masterkey --location global --keyring dataprotectionprovider --purpose=encryption

  4. Crie um bucket do Cloud Storage para armazenar as chaves criptografadas:

    gcloud storage buckets create gs://PROJECT_ID-bucket

Como implantar e executar no Cloud Run

Use o Cloud Run para criar e implantar um app que seja executado de forma confiável sob carga pesada e com grandes quantidades de dados.

Neste tutorial, o Cloud Run é usado para implantar o servidor.

  1. No Cloud Shell, publique o aplicativo:

    dotnet publish -c Release

  2. Use o Cloud Build para criar um contêiner do Docker e publicar no Container Registry:

    gcloud builds submit --tag gcr.io/PROJECT_ID/sessions bin/Release/netcoreapp2.1/publish

  3. Execute o contêiner com o Cloud Run:

    gcloud beta run deploy sessions --region us-central1 --platform managed --image gcr.io/PROJECT_ID/sessions --allow-unauthenticated

    Anote o URL na saída:

    Service [sessions] revision [sessions-00003-xiz] has been deployed and is serving
100 percent of traffic at https://sessions-r3f3em7nuq-uc.a.run.app

  4. Para visualizar o aplicativo ao vivo, acesse o URL que você copiou da etapa anterior.

Como excluir sessões

É possível excluir dados da sessão no console do Cloud de Confiance ou implementar uma estratégia de exclusão automática. Se você usar soluções de armazenamento para sessões como Memcache ou Redis, as sessões expiradas serão excluídas automaticamente.

Como depurar o aplicativo

Se você não conseguir se conectar ao seu aplicativo Cloud Run, verifique o seguinte:

  1. Verifique se os comandos de implantação gcloud foram concluídos com êxito e não geraram erros. Se houver erros (por exemplo, message=Build failed), corrija-os e tente implantar o aplicativo Cloud Run novamente.
  2. Consulte o guia do Cloud Run para visualizar os registros.

Limpar

Excluir o projeto

  1. No console Cloud de Confiance , acesse a página Gerenciar recursos.

    Acessar "Gerenciar recursos"

  2. Na lista de projetos, selecione o projeto que você quer excluir e clique em Excluir .
  3. Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluí-lo.

A seguir