Enviar eventos de Certificate Manager a Workflows

Un activador de Eventarc declara tu interés en un evento o en un conjunto de eventos concretos. Puede configurar el enrutamiento de eventos especificando filtros para el activador, incluida la fuente del evento y el flujo de trabajo de destino.

Los eventos se envían en formato CloudEvents a través de una solicitud HTTP. El servicio Workflows convierte el evento en un objeto JSON (siguiendo la especificación de CloudEvents) y lo transfiere a la ejecución del flujo de trabajo como un argumento de tiempo de ejecución del flujo de trabajo. Asegúrate de que el tamaño del evento no supere los 512 KB. Los eventos que superen el tamaño máximo de los argumentos de los flujos de trabajo no activarán la ejecución de flujos de trabajo.

En estas instrucciones se explica cómo configurar el enrutamiento de eventos para que se active una ejecución de tu flujo de trabajo en respuesta a un eventoCertificate Manager directo. Para obtener más información, consulta la lista de eventos directos admitidos.

Prepararse para crear un activador

Antes de crear un activador de Eventarc para un flujo de trabajo de destino, completa las siguientes tareas.

Consola

  1. En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto.

    Ir al selector de proyectos

  2. Habilita las APIs Eventarc, Eventarc Publishing, Workflows y Workflow Executions.

    Habilita las APIs

  3. Si procede, habilita la API relacionada con los eventos directos. Por ejemplo, para los eventos de Certificate Manager , habilita la APICertificate Manager .

  4. Si aún no tienes una, crea una cuenta de servicio gestionada por el usuario y, a continuación, concédele los roles y permisos necesarios para que Eventarc pueda gestionar eventos de un flujo de trabajo de destino.

    1. En la Google Cloud consola, ve a la página Cuentas de servicio.

      Ir a Cuentas de servicio

    2. Selecciona el proyecto.

    3. En el campo Nombre de cuenta de servicio, escribe un nombre. La Google Cloud consola rellena el campo ID de cuenta de servicio con este nombre.

      En el campo Descripción de la cuenta de servicio, escribe una descripción. Por ejemplo, Service account for event trigger.

    4. Haz clic en Crear y continuar.

    5. Para proporcionar el acceso adecuado, en la lista Seleccionar un rol, elige los roles de gestión de identidades y accesos (IAM) que quieras conceder a tu cuenta de servicio. Para obtener más información, consulta Roles y permisos de los destinos de los flujos de trabajo.

      Para añadir más roles, haz clic en Añadir otro rol y añade cada rol adicional.

    6. Haz clic en Continuar.

    7. Para terminar de crear la cuenta, haga clic en Hecho.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Habilita las APIs Eventarc, Eventarc Publishing, Workflows y Workflow Executions:

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    workflows.googleapis.com \
    workflowexecutions.googleapis.com

  3. Si procede, habilita la API relacionada con los eventos directos. Por ejemplo, para los eventos, habilita Certificate Manager .certificatemanager.googleapis.com

  4. Si aún no tienes una, crea una cuenta de servicio gestionada por el usuario y, a continuación, concédele los roles y permisos necesarios para que Eventarc pueda gestionar eventos de un flujo de trabajo de destino.

    1. Crea la cuenta de servicio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Sustituye SERVICE_ACCOUNT_NAME por el nombre de la cuenta de servicio. Debe tener entre 6 y 30 caracteres, y puede contener caracteres alfanuméricos en minúscula y guiones. Una vez que hayas creado una cuenta de servicio, no podrás cambiar su nombre.

    2. Concede los roles o permisos de Gestión de Identidades y Accesos (IAM) necesarios. Para obtener más información, consulta Roles y permisos de los destinos de los flujos de trabajo.

Crear activador

Puedes crear un activador de Eventarc con un flujo de trabajo desplegado como receptor de eventos mediante la CLI de Google Cloud (gcloud o Terraform) o a través de la consola de Google Cloud .

Consola

  1. En la Google Cloud consola, ve a la página Triggers (Activadores) de Eventarc.

    Ir a Activadores

  2. Haz clic en Crear activador.
  3. Escribe un Nombre del activador.

    Es el ID del activador y debe empezar por una letra. Puede contener hasta 63 letras minúsculas, números o guiones.

  4. En Tipo de activador, selecciona Fuentes de Google.
  5. En la lista Event provider (Proveedor de eventos), seleccione Certificate Manager.

    Tenga en cuenta que el nombre del proveedor de eventos que se usa en la documentaciónGoogle Cloud asociada puede no tener el prefijo Cloud o Google Cloud. Por ejemplo, en la consola, Memorystore para Redis se denomina Google Cloud Memorystore para Redis.

  6. En la lista Tipo de evento, en los eventos Direct (Directos), selecciona un tipo de evento.
  7. Para especificar la codificación de la carga útil del evento, en la lista Tipo de contenido de los datos del evento, seleccione application/json o application/protobuf.

    Ten en cuenta que una carga útil de evento con formato JSON es más grande que una con formato Protobuf. Esto puede afectar a la fiabilidad en función del destino de los eventos y sus límites de tamaño. Para obtener más información, consulta Problemas conocidos.

  8. En la lista Región, selecciona global (Global).

    Para obtener más información, consulta Ubicaciones de Eventarc.

  9. Si procede, haga clic en Añadir filtro y especifique lo siguiente:
    1. En el campo Atributo 1, en función del evento directo que haya elegido, seleccione un ID de recurso que pueda actuar como filtro de eventos.
    2. Selecciona un operador:
    3. En el campo Valor del atributo 1, en función del operador que haya elegido, escriba el valor exacto o aplique un patrón de ruta.
    4. Si se pueden aplicar más filtros de atributos, haz clic en Añadir filtro y especifica los valores correspondientes.
  10. Selecciona la cuenta de servicio que invocará tu servicio o flujo de trabajo.

    También puedes crear una cuenta de servicio.

    Especifica la dirección de correo de la cuenta de servicio de Gestión de Identidades y Accesos (IAM) asociada al activador y a la que has concedido roles específicos necesarios para Eventarc.

  11. En la lista Destino del evento, selecciona Workflows.
  12. Selecciona un flujo de trabajo.

    Es el nombre del flujo de trabajo al que se enviarán los eventos. Los eventos de una ejecución de flujo de trabajo se transforman y se transfieren al flujo de trabajo como argumentos de tiempo de ejecución.

    Para obtener más información, consulta el artículo Crear un activador para Workflows.

  13. Si quieres añadir una etiqueta, puedes hacer clic en Añadir etiqueta. Las etiquetas son pares clave-valor que te ayudan a organizar tus recursosGoogle Cloud . Para obtener más información, consulta ¿Qué son las etiquetas?
  14. Haz clic en Crear.

    15. Una vez creado un activador, no se pueden modificar los filtros de origen de eventos. En su lugar, cree un nuevo activador y elimine el antiguo. Para obtener más información, consulta Gestionar activadores.

  1. Haz clic en Crear.

gcloud

Para crear un activador, ejecuta un comando gcloud eventarc triggers create junto con las marcas obligatorias y opcionales.

gcloud eventarc triggers create TRIGGER \
  --location=global \
  --destination-workflow=DESTINATION_WORKFLOW  \
  --destination-workflow-location=DESTINATION_WORKFLOW_LOCATION \
  --event-filters="type=EVENT_FILTER_TYPE" \
  --event-filters="COLLECTION_ID=RESOURCE_ID" \
  --event-filters-path-pattern="COLLECTION_ID=PATH_PATTERN" \
  --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
  --service-account="MY_SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com"

Replace the following:

  • TRIGGER: the ID of the trigger or a fully qualified identifier.
  • DESTINATION_WORKFLOW: the ID of the deployed workflow that receives the events from the trigger. The workflow can be in any of the Workflows supported locations and does not need to be in the same location as the trigger. However, the workflow must be in the same project as the trigger.
  • DESTINATION_WORKFLOW_LOCATION (optional): the location in which the destination workflow is deployed. If not specified, it is assumed that the workflow is in the same location as the trigger.
  • EVENT_FILTER_TYPE: the identifier of the event. An event is generated when an API call for the method succeeds. For long-running operations, the event is only generated at the end of the operation, and only if the action is performed successfully. For a list of supported event types, see Google event types supported by Eventarc.
  • COLLECTION_ID (optional): the resource component that can act as an event filter, and is one of the following:
    • certificate
    • certificateissuanceconfig
    • certificatemap
    • certificatemapentry
    • dnsauthorization
  • RESOURCE_ID: the identifier of the resource used as the filtering value for the associated collection. For more information, see Resource ID.
  • PATH_PATTERN: the path pattern to apply when filtering for the resource
  • EVENT_DATA_CONTENT_TYPE: (optional) the encoding of the event payload. This can be application/json or application/protobuf. The default encoding is application/json.

    Note that an event payload formatted in JSON is larger than one formatted in Protobuf. This might impact reliability depending on your event destination and its limits on event size. For more information, see Known issues.

  • SERVICE_ACCOUNT_NAME: the name of the IAM service account you created to which you granted specific roles required by Workflows.
  • PROJECT_ID: your Google Cloud project ID

Notes:

  • The --location flag must be global. For more information, see Eventarc locations.
  • The --event-filters="type=EVENT_FILTER_TYPE" flag is required. If no other event filter is set, events for all resources are matched.
  • EVENT_FILTER_TYPE cannot be changed after creation. To change EVENT_FILTER_TYPE, create a new trigger and delete the old one.
  • Each trigger can have multiple event filters, comma delimited in one --event-filters=[ATTRIBUTE=VALUE,...] flag, or you can repeat the flag to add more filters. Only events that match all the filters are sent to the destination. Wildcards and regular expressions are not supported; however, when using the --event-filters-path-pattern flag, you can define a resource path pattern.
  • The --service-account flag is used to specify the Identity and Access Management (IAM) service account email associated with the trigger.

Example:

gcloud eventarc triggers create helloworld-trigger \
  --location=global \
  --destination-workflow=my-workflow \
  --destination-workflow-location=us-central1 \
  --event-filters="type=google.cloud.certificatemanager.certificate.v1.updated" \
  --event-filters-path-pattern="certificate=my-certificate-*" \
  --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Este comando crea un activador llamado helloworld-trigger para el evento identificado como google.cloud.certificatemanager.certificate.v1.updated y coincide con los eventos de los IDs certificate que empiezan por my-certificate-.