Eventarc 觸發條件會宣告您對特定事件或一組事件感興趣。您可以指定觸發條件的篩選器 (包括事件來源),以及在 GKE 叢集中執行的目標 Google Kubernetes Engine (GKE) 服務,藉此設定事件路由。請注意,目標只能包含在 (公開或私有) GKE 叢集中執行的服務,且這些服務必須有公開端點。如要透過私有端點將事件轉送至 GKE 叢集中的服務,請將事件轉送至內部 HTTP 端點。
Eventarc 會透過 HTTP 要求,以 CloudEvents 格式將事件傳送至事件接收器。
請參閱下列操作說明,瞭解如何設定事件轉送,將直接Firebase Alerts 事件觸發的事件轉送至 GKE 服務。詳情請參閱支援的直接事件清單。
事前準備
您必須在目的地服務執行的 GKE 叢集上,啟用 Workload Identity Federation for GKE。您必須使用 Workload Identity Federation for GKE,才能正確設定事件轉送器。此外,這項功能安全性較高,且更易於管理,因此建議您使用這項功能,從 GKE 中執行的應用程式存取Google Cloud 服務。
Workload Identity Federation for GKE
在 GKE 上執行的應用程式可能需要存取Google Cloud API。透過 Workload Identity Federation for GKE,GKE 叢集中的 Kubernetes 服務帳戶可以做為 IAM 服務帳戶。使用已設定 Kubernetes 服務帳戶的 Pod 在存取 Google Cloud API 時,會自動以 IAM 服務帳戶身分驗證。使用 GKE 適用的工作負載身分聯盟,可為叢集中的每個應用程式指派不重複的精細身分與授權。請注意,您必須將特定權限授予 Eventarc 觸發程序的服務帳戶。請參閱本文,瞭解如何建立服務帳戶。
如要進一步瞭解如何在 GKE 叢集上啟用及設定 Workload Identity Federation for GKE,請參閱「使用 Workload Identity Federation for GKE」。
事件轉送器
Eventarc 的事件轉送器會從 Eventarc 提取新事件,並轉送至 GKE 目的地。這個元件可做為 Pub/Sub 傳輸層和 GKE 服務之間的媒介。這項功能適用於現有服務,也支援信號服務 (包括未在全代管叢集外部公開的服務),同時簡化設定和維護作業。在網路層級,如要在 GKE 服務中接收事件,您不需要對外部流量開放服務,因為所有事件都是從位於同一個 GKE 叢集內的來源傳送。
請注意,事件轉送程式的生命週期是由 Eventarc 管理, 如果您不小心刪除事件轉送程式,Eventarc 會還原這個元件。
對於指向 GKE 目的地的每個觸發程序,事件轉送程式 (特別設定的 gke-forwarder Pod) 會執行下列動作:
這個函式會使用 Pub/Sub API 開啟
StreamingPull連線,連線至觸發事件傳輸工具 (Pub/Sub 主題和訂閱項目),並在事件可用時接收事件。並將事件轉換為正確的 CloudEvents 格式,然後編碼並以
HTTP POST要求的形式傳送至目標 GKE 服務。
Eventarc 服務代理需要權限才能執行及定期更新 gke-forwarder 執行個體。您只需要為每項專案授予一次權限即可。詳情請參閱本文的「啟用 GKE 目的地」一節。
準備建立觸發條件
針對以 GKE 服務為目標的每個觸發條件,Eventarc 都會建立事件轉送器元件。Eventarc 需要權限,才能在 GKE 叢集中安裝元件及管理資源。為 GKE 目的地建立 Eventarc 觸發程序前,請務必完成下列工作。
主控台
在 Google Cloud 控制台的專案選擇器頁面中,選取或建立 Google Cloud 專案。
啟用 Eventarc、Eventarc Publishing、Google Kubernetes Engine 和 Resource Manager API。
如有需要,請啟用與直接事件相關的 API。舉例來說,如要使用 Firebase Alerts 活動,請啟用Firebase Alerts API。
如果沒有,請建立使用者代管的服務帳戶,然後授予必要角色和權限,讓 Eventarc 管理目標服務的事件。
前往 Google Cloud 控制台的「建立服務帳戶」頁面。
選取專案。
在「Service account name」(服務帳戶名稱) 欄位中輸入名稱。 Google Cloud 控制台會根據這個名稱填入「服務帳戶 ID」欄位。
在「服務帳戶說明」欄位中輸入說明。例如:
Service account for event trigger。按一下「建立並繼續」。
如要提供適當的存取權,請在「Select a role」(請選擇角色) 清單中,選取要授予服務帳戶的必要 Identity and Access Management (IAM) 角色。詳情請參閱「GKE 目標的角色和權限」。
如要新增其他角色,請按一下「新增其他角色」,然後新增每個其他角色。
按一下「繼續」。
按一下「完成」,即可完成帳戶建立程序。
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
啟用 Eventarc、Eventarc Publishing、Google Kubernetes Engine 和 Resource Manager API。
gcloud services enable eventarc.googleapis.com \ eventarcpublishing.googleapis.com \ container.googleapis.com \ cloudresourcemanager.googleapis.com
如有需要,請啟用與直接事件相關的 API。舉例來說,如要啟用 Firebase Alerts 活動,請啟用
firestore.googleapis.com。如果沒有,請建立使用者代管的服務帳戶,然後授予必要的角色和權限,讓 Eventarc 管理目標 GKE 目的地事件。
建立服務帳戶:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
將
SERVICE_ACCOUNT_NAME改為服務帳戶名稱。長度必須介於 6 至 30 個字元之間,可以使用小寫英數字元和破折號。建立服務帳戶後,就無法變更名稱。授予必要的 Identity and Access Management (IAM) 角色或權限。詳情請參閱「GKE 目標的角色和權限」。
啟用 GKE 目的地
如要允許 Eventarc 管理 GKE 叢集中的資源,請啟用 GKE 目的地,並將 Eventarc 服務代理程式繫結至必要角色。
為 Eventarc 啟用 GKE 目的地:
gcloud eventarc gke-destinations init
在系統提示繫結必要角色時,輸入
y。已繫結下列角色:
roles/compute.viewerroles/container.developerroles/iam.serviceAccountAdmin
建立觸發條件
您可以使用 Google Cloud CLI 建立 Eventarc 觸發條件,或透過 Google Cloud 控制台建立。
主控台
- 在 Google Cloud 控制台中,前往 Eventarc「Triggers」(觸發條件) 頁面。
- 按一下「建立觸發條件」。
- 輸入觸發條件名稱。
這是觸發條件的 ID,開頭必須是英文字母。最多可包含 63 個小寫英文字母、數字或連字號。
- 在「Trigger type」(觸發條件類型) 中,選取「Google sources」(Google 來源)。
- 在「Event provider」(事件提供者) 清單中,選取「Firebase Alerts」。
請注意,相關Google Cloud 文件中使用的事件提供者名稱可能沒有 Cloud 或 Google Cloud 前置字元。舉例來說,在控制台中,「Memorystore for Redis」稱為「Memorystore for Redis」Google Cloud 。
- 在「Event type」(事件類型) 清單中,從「Direct」(直接) 事件選取事件類型。
- 如要指定事件酬載的編碼,請在「事件資料內容類型」清單中,選取「application/json」或「application/protobuf」。
請注意,以 JSON 格式設定的事件酬載會比以 Protobuf 格式設定的酬載大。視事件目的地和事件大小限制而定,這可能會影響可靠性。詳情請參閱「已知問題」。
- 在「Region」(區域) 清單中選取「global (Global)」(全域 (全域))。
詳情請參閱「Eventarc 位置」。
- 在「Attribute 1」(屬性 1) 欄位中,alerttype
resource ID 會做為事件篩選條件。選取這個篩選器的運算子:
- 相等
- 路徑模式
詳情請參閱「瞭解路徑模式」。
- 在「Attribute value 1」(屬性值 1) 欄位中,輸入下列其中一個值:
appDistribution.inAppFeedback:測試人員為特定應用程式提交應用程式內意見回饋時,系統會傳送這項事件appDistribution.newTesterIosDevice:當為特定應用程式註冊新 iOS 測試人員裝置時,系統會傳送事件billing.planAutomatedUpdate:當 Firebase 專案的帳單方案自動更新時,系統會傳送這項事件;例如,因付款問題而降級方案時billing.planUpdate:使用者修改 Firebase 專案的帳單方案時會傳送這項事件,例如將帳單帳戶附加至專案或從專案中分離crashlytics.missingSymbolFile:當 Firebase Crashlytics 判斷沒有適當的偵錯符號,無法對傳入的當機報告進行符號化時,系統就會傳送這個事件。crashlytics.newAnrIssue:應用程式發生新的應用程式無回應 (ANR) 錯誤時,系統會傳送這項事件 (後續的相同事件不會傳送)crashlytics.newFatalIssue:應用程式發生新的嚴重當機事件時會傳送此事件 (不適用於任何後續的相同事件)crashlytics.newNonfatalIssue:應用程式發生新的一般錯誤時會傳送事件 (不適用於後續的相同事件)crashlytics.regression:當應用程式發生當機情形,且問題已在先前版本中標示為已解決時,系統會傳送這項事件。crashlytics.stabilityDigest:當 Crashlytics 顯示熱門問題的通知時,系統會傳送這項事件crashlytics.velocity:如果單一問題導致大量應用程式工作階段異常終止,系統就會傳送這項事件performance.threshold:當指標成效超過設定的門檻時,系統會傳送事件
- 您也可以選擇篩選特定 Firebase 應用程式 ID 的事件。按一下「新增篩選器」add,然後指定 appid。
- 選取要叫用服務或工作流程的服務帳戶。
或者,您也可以建立新的服務帳戶。
這會指定與觸發程序相關聯的 Identity and Access Management (IAM) 服務帳戶電子郵件,您先前已授予該帳戶 Eventarc 要求的特定角色。
- 在「Event destination」(事件目的地) 清單中,選取「Kubernetes Engine」。
- 選取服務。
這是接收觸發條件事件的服務名稱。 這項服務必須與觸發條件位於同一專案,且每當產生事件時,都會收到以 HTTP POST 要求傳送至根網址路徑 (
/) 的事件。 - 您可以視需要指定服務網址路徑,將傳入要求傳送至該路徑。
這是目的地服務上的相對路徑,觸發條件的事件應傳送至該路徑。例如:
/、/route、route、route/subroute。 - 如要新增標籤,請按一下 「新增標籤」。標籤是鍵/值組合,可協助您整理Google Cloud 資源。詳情請參閱「什麼是標籤?」
- 點選「建立」。
觸發條件建立後,事件來源篩選器就無法修改。 請改為建立新的觸發條件,並刪除舊的觸發條件。詳情請參閱「管理觸發條件」。
gcloud
您可以執行 gcloud eventarc triggers create 指令,並搭配必要和選用旗標,建立觸發條件。
gcloud eventarc triggers create TRIGGER \ --location=global \ --destination-gke-cluster=DESTINATION_GKE_CLUSTER \ --destination-gke-location=DESTINATION_GKE_LOCATION \ --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \ --destination-gke-service=DESTINATION_GKE_SERVICE \ --destination-gke-path=DESTINATION_GKE_PATH \ --event-filters="type=google.firebase.firebasealerts.alerts.v1.published" \ --event-filters="alerttype=ALERT_TYPE" \ --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \ --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
更改下列內容:
TRIGGER:觸發條件的 ID 或完整 IDDESTINATION_GKE_CLUSTER:目標 GKE 服務 (接收事件) 執行的 GKE 叢集名稱。DESTINATION_GKE_LOCATION:(選用) 目的地 GKE 服務執行的 GKE 叢集所屬 Compute Engine 區域。如未指定,系統會假設叢集為區域叢集,且與觸發程序位於同一區域。DESTINATION_GKE_NAMESPACE:(選用) 目的地 GKE 服務執行的命名空間。如未指定,則會使用default命名空間。DESTINATION_GKE_SERVICE:接收觸發條件事件的 GKE 服務名稱。服務可以位於任何 GKE 支援的位置,不一定要與觸發程序位於相同位置。不過,服務必須與觸發程序位於同一專案,且每當產生事件時,都會收到以 HTTP POST 要求形式傳送至根網址路徑 (/) 的事件。DESTINATION_GKE_PATH:(選用) 您在目的地 GKE 服務上指定的相對路徑,觸發條件的事件應傳送至該路徑。例如:/、/route、route、route/subroute。
ALERT_TYPE:Firebase 快訊類型,可以是下列任一值:appDistribution.inAppFeedback:測試人員為特定應用程式提交應用程式內意見回饋時,系統會傳送這項事件appDistribution.newTesterIosDevice:當為特定應用程式註冊新 iOS 測試人員裝置時,系統會傳送事件billing.planAutomatedUpdate:當 Firebase 專案的帳單方案自動更新時,系統會傳送這項事件;例如,因付款問題而降級方案時billing.planUpdate:使用者修改 Firebase 專案的帳單方案時會傳送這項事件,例如將帳單帳戶附加至專案或從專案中分離crashlytics.missingSymbolFile:當 Firebase Crashlytics 判斷沒有適當的偵錯符號,無法對傳入的當機報告進行符號化時,系統就會傳送這個事件。crashlytics.newAnrIssue:應用程式發生新的應用程式無回應 (ANR) 錯誤時,系統會傳送這項事件 (後續的相同事件不會傳送)crashlytics.newFatalIssue:應用程式發生新的嚴重當機事件時會傳送此事件 (不適用於任何後續的相同事件)crashlytics.newNonfatalIssue:應用程式發生新的一般錯誤時會傳送事件 (不適用於後續的相同事件)crashlytics.regression:當應用程式發生當機情形,且問題已在先前版本中標示為已解決時,系統會傳送這項事件。crashlytics.stabilityDigest:當 Crashlytics 顯示熱門問題的通知時,系統會傳送這項事件crashlytics.velocity:如果單一問題導致大量應用程式工作階段異常終止,系統就會傳送這項事件performance.threshold:當指標成效超過設定的門檻時,系統會傳送事件
ALERT_TYPE的運算子必須是下列其中一項:- 相等,例如
--event-filters="alerttype=appDistribution.inAppFeedback" - 路徑模式,例如
--event-filters-path-pattern="alerttype=appDistribution.*"或--event-filters-path-pattern="alerttype=crashlytics.new*"。詳情請參閱「瞭解路徑模式」。
-
EVENT_DATA_CONTENT_TYPE:(選填) 事件酬載的編碼。 可以是application/json或application/protobuf。預設編碼為application/json。請注意,以 JSON 格式設定的事件酬載會比以 Protobuf 格式設定的酬載大。視事件目的地和事件大小限制而定,這可能會影響可靠性。詳情請參閱「已知問題」。
SERVICE_ACCOUNT_NAME:使用者管理的服務帳戶名稱。PROJECT_ID:您的 Google Cloud 專案 ID。
注意:
--location旗標必須為global。詳情請參閱Eventarc 位置。
- 必須使用下列旗標:
--event-filters="type=google.firebase.firebasealerts.alerts.v1.published"--event-filters="alerttype=ALERT_TYPE"或--event-filters-path-pattern="alerttype=ALERT_TYPE"
- 您可以選擇使用
--event-filters="appid=APP_ID"標記,並指定完全相符的項目,篩選特定 Firebase 應用程式 ID 的事件。 - 建立觸發條件後,就無法變更事件篩選器類型。如要使用其他事件類型,請建立新觸發條件並刪除舊觸發條件。
--service-account旗標用於指定與觸發程序相關聯的身分與存取權管理 (IAM) 服務帳戶電子郵件。
範例:
gcloud eventarc triggers create helloworld-trigger \
--location=us-central1 \
--destination-gke-cluster=gke-events-cluster \
--destination-gke-location=us-central1-a \
--destination-gke-namespace=default \
--destination-gke-service=helloworld-events \
--destination-gke-path=/ \
--event-filters="type=google.firebase.firebasealerts.alerts.v1.published" \
--event-filters="alerttype=crashlytics.velocity" \
--service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"這個指令會為標示為 google.firebase.firebasealerts.alerts.v1.published 的事件和 crashlytics.velocity 警報類型,建立名為 helloworld-trigger 的觸發條件。
Terraform
您可以使用 Terraform 為 GKE 目的地建立觸發條件。詳情請參閱「使用 Terraform 建立觸發條件」。
列出觸發條件
如要確認是否已建立觸發程序,請使用 Google Cloud CLI 或 Google Cloud 控制台列出 Eventarc 觸發程序。
主控台
在 Google Cloud 控制台中,前往 Eventarc「Triggers」(觸發條件) 頁面。
這個頁面會列出所有位置的觸發條件,並包含名稱、區域、事件供應商、目的地等詳細資料。
如要篩選觸發條件,請按照下列步驟操作:
- 按一下「篩選器」或「篩選器觸發條件」欄位。
- 在「屬性」清單中,選取要用來篩選觸發條件的選項。
您可以選取單一屬性,或使用邏輯運算子
OR新增更多屬性。如要排序觸發條件,請按一下任何支援的欄標題旁的「排序」。
gcloud
執行下列指令來列出觸發條件:
gcloud eventarc triggers list --location=-
這個指令會列出所有位置的觸發條件,並包含名稱、類型、目的地和狀態等詳細資料。