Inoltra gli eventi dei log di controllo a Workflows

Un trigger Eventarc dichiara il tuo interesse per un determinato evento o insieme di eventi. Puoi configurare il routing degli eventi specificando i filtri per il trigger, inclusa l'origine dell'evento e il flusso di lavoro di destinazione.

Gli eventi vengono distribuiti in formato CloudEvents tramite una richiesta HTTP. Il servizio Workflows converte l'evento in un oggetto JSON (in base alla specifica CloudEvents) e lo passa all'esecuzione del flusso di lavoro come argomento di runtime del flusso di lavoro. Assicurati che le dimensioni dell'evento non superino i 512 KB. Gli eventi più grandi della dimensione massima degli argomenti di Workflows non attiveranno le esecuzioni del workflow.

Queste istruzioni mostrano come configurare il routing degli eventi in modo che l'esecuzione del flusso di lavoro venga attivata quando viene creato un log di controllo che corrisponde ai criteri di filtro del trigger. Questo tipo di evento si applica a tutti i fornitori di eventi. Per un elenco degli eventi del log di controllo supportati da Eventarc, inclusi i valori serviceName e methodName, consulta Tipi di eventi Google supportati da Eventarc.

Per ulteriori informazioni sull'acquisizione di eventi attivati quando viene creato un audit log che corrisponde ai criteri di filtro del trigger, vedi Determinare i filtri eventi per Cloud Audit Logs.

Prepararsi a creare un trigger

Prima di creare un trigger Eventarc per un flusso di lavoro di destinazione, completa le seguenti attività.

Console

  1. Nella console Google Cloud , nella pagina del selettore di progetti, seleziona o crea un Google Cloud progetto.

    Vai al selettore dei progetti

  2. Abilita le API Eventarc, Eventarc Publishing, Workflows e Workflow Executions.

    Abilita le API

  3. Se applicabile, abilita l'API correlata agli eventi Cloud Audit Logs. Ad esempio, per i log di controllo delle funzioni Cloud Run, abilita l'API Cloud Functions.

  4. Se non ne hai già uno, crea un account di servizio gestito dall'utente, poi concedigli i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per un flusso di lavoro di destinazione.

    1. Nella console Google Cloud , vai alla pagina Service Accounts.

      Vai a Service account

    2. Seleziona il progetto.

    3. Nel campo Nome account di servizio, inserisci un nome. La console Google Cloud compila il campo ID service account in base a questo nome.

      Nel campo Descrizione service account, inserisci una descrizione. Ad esempio, Service account for event trigger.

    4. Fai clic su Crea e continua.

    5. Per fornire l'accesso appropriato, nell'elenco Seleziona un ruolo, seleziona i ruoli Identity and Access Management (IAM) richiesti da concedere al tuo service account. Per saperne di più, vedi Ruoli e autorizzazioni per le Workflows lavoro.

      Per altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.

    6. Fai clic su Continua.

    7. Per completare la creazione dell'account, fai clic su Fine.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Abilita le API Eventarc, Eventarc Publishing, Workflows e Workflow Executions:

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    workflows.googleapis.com \
    workflowexecutions.googleapis.com

  3. Se applicabile, abilita l'API correlata agli eventi Cloud Audit Logs. Ad esempio, per gli audit log di Cloud Run Functions, attiva cloudfunctions.googleapis.com.

  4. Se non ne hai già uno, crea un account di servizio gestito dall'utente, poi concedigli i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per un flusso di lavoro di destinazione.

    1. Crea l'account di servizio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Sostituisci SERVICE_ACCOUNT_NAME con il nome del account di servizio. Deve contenere da 6 a 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini. Una volta creato un account di servizio, non puoi modificarne il nome.

    2. Concedi i ruoli o le autorizzazioni IAM (Identity and Access Management) richiesti. Per saperne di più, vedi Ruoli e autorizzazioni per Workflows lavoro.

Crea un trigger

Puoi creare un trigger Eventarc con un flusso di lavoro di cui è stato eseguito il deployment come destinatario di eventi utilizzando Google Cloud CLI (gcloud o Terraform) o tramite la console Google Cloud .

Console

  1. Nella Google Cloud console, vai alla pagina Trigger Eventarc.

    Vai ai trigger

  2. Fai clic su Crea trigger.
  3. Digita un Nome trigger.

    Questo è l'ID del trigger e deve iniziare con una lettera. Può contenere fino a 63 lettere minuscole, numeri o trattini.

  4. Per Tipo di trigger, seleziona Origini Google.
  5. Seleziona un fornitore di eventi.

    Questo è il servizio Google che è l'origine degli eventi tramite i suoi audit log. Ad esempio, seleziona BigQuery.

    Tieni presente che il nome del fornitore di eventi utilizzato nella Google Cloud documentazione associata potrebbe non avere un prefisso di Cloud o Google Cloud. Ad esempio, nella console, Memorystore for Redis è indicato come Google Cloud Memorystore for Redis.

  6. Nell'elenco Tipo di evento, seleziona un tipo di evento dagli eventi tramite audit log di Cloud.
  7. Seleziona una delle seguenti opzioni:
    • Qualsiasi risorsa: questa è l'impostazione predefinita e include risorse create dinamicamente con identificatori generati al momento della creazione.
    • Risorsa specifica: devi fornire il nome completo della risorsa.
    • Pattern del percorso: puoi filtrare le risorse utilizzando un pattern del percorso. Ad esempio, digita projects/_/buckets/eventarc-bucket/objects/random.txt o projects/_/buckets/**/r*.txt.
  8. Per specificare la codifica del payload dell'evento, nell'elenco Tipo di contenuti dei dati evento, seleziona application/json o application/protobuf.

    Tieni presente che un payload evento formattato in JSON è più grande di uno formattato in Protobuf. Ciò potrebbe influire sull'affidabilità a seconda della destinazione dell'evento e dei suoi limiti di dimensione. Per saperne di più, consulta la sezione Problemi noti.

  9. Nell'elenco Regione, seleziona una regione.

    I trigger Cloud Audit Logs per Eventarc sono disponibili in regioni specifiche e nella regione globale, ma non sono disponibili in località a due regioni e multiregionali. Per evitare problemi di rendimento e residenza dei dati causati da un trigger globale, Google consiglia che la località corrisponda a quella del servizio Google Cloud che genera eventi. Per saperne di più, consulta Località Eventarc.

    Se specifichi la posizione globale, riceverai eventi da tutte le posizioni che corrispondono ai filtri degli eventi. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi da risorse nelle multi-regioni UE e USA.

    Tieni presente che esiste un problema noto con i trigger di Cloud Audit Logs per Compute Engine che genera eventi provenienti da una singola regione: us-central1. Indipendentemente dalla posizione effettiva dell'istanza di macchina virtuale. Quando crei il trigger, imposta la posizione del trigger su us-central1 o global.

  10. Seleziona l'account di servizio che richiamerà il tuo servizio o flusso di lavoro.

    In alternativa, puoi creare un nuovo account di servizio.

    Specifica l'indirizzo email del account di servizio Identity and Access Management (IAM) associato al trigger e a cui hai concesso in precedenza ruoli specifici richiesti da Eventarc.

  11. Nell'elenco Destinazione evento, seleziona Workflows.
  12. Seleziona un workflow.

    Questo è il nome del flusso di lavoro a cui trasferire gli eventi. Gli eventi per l'esecuzione di un flusso di lavoro vengono trasformati e passati al flusso di lavoro come argomenti runtime.

    Per saperne di più, consulta Creare un trigger per Workflows.

  13. (Facoltativo) Per aggiungere un'etichetta, puoi fare clic su Aggiungi etichetta. Le etichette sono coppie chiave/valore che ti aiutano a organizzare le tue risorseGoogle Cloud . Per saperne di più, vedi Che cosa sono le etichette?
  14. Fai clic su Crea.

    15. Una volta creato un trigger, i filtri dell'origine eventi non possono essere modificati. Crea invece un nuovo trigger ed elimina quello precedente. Per saperne di più, consulta Gestire i trigger.

gcloud

Puoi creare un trigger eseguendo un comando gcloud eventarc triggers create insieme ai flag obbligatori e facoltativi.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-workflow=DESTINATION_WORKFLOW \
    --destination-workflow-location=DESTINATION_WORKFLOW_LOCATION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account="MY_SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com"

Sostituisci quanto segue:

  • TRIGGER: l'ID del trigger o un identificatore completamente qualificato.
  • LOCATION: la posizione del trigger Eventarc. In alternativa, puoi impostare la proprietà eventarc/location; ad esempio, gcloud config set eventarc/location us-central1.

    Eventarc è disponibile in posizioni specifiche e nella posizione global, ma non è disponibile in località di due regioni e multiregionali. Per evitare problemi di prestazioni e residenza dei dati causati da un trigger globale, ti consigliamo di impostare la località in modo che corrisponda a quella del servizioGoogle Cloud che genera eventi.

    Se specifichi la località global, riceverai eventi da tutte le località per cui corrispondono i filtri degli eventi. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi da risorse come i bucket Cloud Storage nelle multi-regioni UE e Stati Uniti.

  • DESTINATION_WORKFLOW: l'ID del workflow di cui è stato eseguito il deployment che riceve gli eventi dall'attivatore. Il workflow può trovarsi in una qualsiasi delle località supportate da Workflows e non deve trovarsi nella stessa località del trigger. Tuttavia, il workflow deve trovarsi nello stesso progetto dell'attivatore.
  • DESTINATION_WORKFLOW_LOCATION (facoltativo): la posizione in cui viene eseguito il deployment del flusso di lavoro di destinazione. Se non specificato, si presume che il workflow si trovi nella stessa posizione del trigger.
  • SERVICE_NAME: l'identificatore del servizio Google Cloud
  • METHOD_NAME: l'identificatore dell'operazione
  • EVENT_DATA_CONTENT_TYPE: (facoltativo) la codifica del payload dell'evento. Può essere application/json o application/protobuf. La codifica predefinita è application/json.

    Tieni presente che un payload evento formattato in JSON è più grande di uno formattato in Protobuf. Ciò potrebbe influire sull'affidabilità a seconda della destinazione dell'evento e dei relativi limiti di dimensione. Per ulteriori informazioni, consulta la sezione Problemi noti.

  • SERVICE_ACCOUNT_NAME: il nome del service account IAM che hai creato a cui hai concesso ruoli specifici richiesti da Workflows.
  • PROJECT_ID: il tuo ID progetto Google Cloud

Note:

  • I seguenti flag sono obbligatori:
    • --event-filters="type=google.cloud.audit.log.v1.written"
    • --event-filters="serviceName=VALUE"
    • --event-filters="methodName=VALUE"
  • Una volta creato un trigger, --event-filters="type=google.cloud.audit.log.v1.written" non può essere modificato. Per un tipo di evento diverso, devi creare un nuovo trigger.
  • --service-account: L'email del account di servizio IAM che il trigger Eventarc utilizzerà per richiamare le esecuzioni del flusso di lavoro e per ricevere i log di controllo cloud. Ti consigliamo vivamente di utilizzare un account di servizio con i privilegi minimi necessari per accedere alle risorse richieste. Per scoprire di più sui service account, vedi Creare e gestire i service account.
  • Per un elenco degli eventi di audit log supportati da Eventarc, inclusi i valori serviceName e methodName, consulta Eventi supportati da Eventarc.
  • Ogni attivatore può avere più filtri evento, separati da virgole in un unico --event-filters=[ATTRIBUTE=VALUE,...] flag oppure puoi ripetere il flag per aggiungere altri filtri. Solo gli eventi che corrispondono a tutti i filtri vengono inviati alla destinazione. I caratteri jolly e le espressioni regolari non sono supportati.
    • Consulta Determinazione dei filtri eventi per Cloud Audit Logs.
  • (Facoltativo) Puoi filtrare gli eventi per una risorsa specifica utilizzando il flag --event-filters="resourceName=VALUE" e specificando il percorso completo della risorsa. Ometti il flag per le risorse create dinamicamente che hanno identificatori generati al momento della creazione. In alternativa, puoi filtrare gli eventi per un insieme di risorse utilizzando il flag --event-filters-path-pattern="resourceName=VALUE" e specificando il pattern del percorso della risorsa.
  • Per impostazione predefinita, le sottoscrizioni Pub/Sub create per Eventarc vengono mantenute indipendentemente dall'attività e non scadono. Per modificare la durata dell'inattività, consulta Proprietà dell'abbonamento.

Esempio:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-workflow=my-workflow \
    --destination-workflow-location=europe-west4 \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=bigquery.googleapis.com" \
    --event-filters="methodName=jobservice.jobcompleted" \
    --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Viene creato un trigger denominato helloworld-trigger per gli audit log scritti da bigquery.googleapis.com e per l'operazione identificata come jobservice.jobcompleted.

Terraform

Puoi creare un trigger per un flusso di lavoro utilizzando Terraform. Per i dettagli, vedi Attivare un flusso di lavoro utilizzando Eventarc e Terraform.

Elenca un trigger

Puoi confermare la creazione di un trigger elencando i trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud .

Console

  1. Nella Google Cloud console, vai alla pagina Trigger Eventarc.

    Vai ai trigger

    Questa pagina elenca i trigger in tutte le posizioni e include dettagli quali nomi, regioni, fornitori di eventi, destinazioni e altro ancora.

  2. Per filtrare i trigger:

    1. Fai clic su Filtro o sul campo Trigger del filtro.
    2. Nell'elenco Proprietà, seleziona un'opzione per filtrare gli attivatori.

    Puoi selezionare una singola proprietà o utilizzare l'operatore logico OR per aggiungere altre proprietà.

  3. Per ordinare i trigger, fai clic su Ordina accanto a un'intestazione di colonna supportata.

gcloud

Esegui questo comando per elencare i trigger:

gcloud eventarc triggers list --location=-

Questo comando elenca i trigger in tutte le posizioni e include dettagli come nomi, tipi, destinazioni e stati.

Passaggi successivi