Cette page explique comment créer un déclencheur Eventarc afin qu'un service Cloud Run puisse recevoir des événements d'un autre service Google Cloud.
Eventarc est un service Google Cloud qui vous permet de créer des architectures basées sur des événements sans avoir à implémenter, personnaliser ni gérer l'infrastructure sous-jacente.
Vous pouvez créer un déclencheur Eventarc en spécifiant des filtres pour le déclencheur et en configurant le routage de l'événement, y compris la source de l'événement et le service Cloud Run cible. Lorsque l'événement ou l'ensemble d'événements spécifiés correspondent aux filtres, votre service Cloud Run est appelé automatiquement en réponse aux événements. Un service qui utilise des déclencheurs Eventarc est appelé service basé sur les événements. Les événements envoyés à votre service Cloud Run sont reçus sous la forme de requêtes HTTP.
Les requêtes adressées à votre service sont déclenchées par les événements suivants :
- Lorsqu'un journal d'audit est créé et correspond aux critères de filtre du déclencheur.
- Par les événements directs, tels qu'une mise à jour de bucket Cloud Storage.
- Messages directs publiés dans un sujet Pub/Sub
Vous pouvez également créer un déclencheur Eventarc à l'aide de Google Cloud CLI ou via la page de la console Eventarc. Pour savoir comment créer un déclencheur pour un fournisseur, un type d'événement et une destination spécifiques, filtrez la liste pour en savoir plus sur les fournisseurs et destinations d'événements d'Eventarc.
Emplacement du déclencheur
Lorsque vous créez un déclencheur Eventarc, vous devez spécifier un emplacement. Il doit correspondre à l'emplacement de la ressource Google Cloud dont vous souhaitez surveiller les événements. Dans la plupart des scénarios, vous devez également déployer votre service Cloud Run basé sur les événements dans la même région. Pour en savoir plus, consultez la section Comprendre les emplacements Eventarc.
Identité du déclencheur
Le compte de service de votre déclencheur Eventarc doit être autorisé à appeler votre service. Vous devrez peut-être vérifier que le compte de service Compute par défaut dispose des autorisations appropriées pour appeler votre service. Pour en savoir plus, consultez la section Rôles requis.
Avant de commencer
Assurez-vous d'avoir configuré un nouveau projet pour Cloud Run, comme décrit sur la page de configuration.
Activez les API Artifact Registry, Cloud Build, Cloud Run Admin et Eventarc:
Rôles requis
-
Si vous êtes le créateur du projet, vous disposez du rôle de base Propriétaire (
roles/owner). Par défaut, ce rôle Identity and Access Management (IAM) inclut les autorisations nécessaires pour accéder à la plupart des ressources Google Cloud. Vous pouvez ignorer cette étape.Si vous n'êtes pas le créateur du projet, les autorisations requises doivent être accordées au compte principal approprié sur le projet. Par exemple, un compte principal peut être un compte Google (pour les utilisateurs finaux) ou un compte de service (pour les applications et les charges de travail de calcul). Pour en savoir plus, consultez la page Rôles et autorisations pour la destination de votre événement.
Notez que par défaut, les autorisations Cloud Build incluent des autorisations permettant d'importer et de télécharger des artefacts Artifact Registry.
Autorisations requises
Pour obtenir les autorisations nécessaires pour configurer des déclencheurs Eventarc, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:
-
Éditeur Cloud Build (
roles/cloudbuild.builds.editor) -
Administrateur Cloud Run (
roles/run.admin) -
Administrateur Eventarc (
roles/eventarc.admin) -
Accesseur de vues de journaux (
roles/logging.viewAccessor) -
Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) -
Administrateur de compte de service (
roles/iam.serviceAccountAdmin) -
Utilisateur du compte de service (
roles/iam.serviceAccountUser) -
Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
-
Éditeur Cloud Build (
Notez le compte de service Compute Engine par défaut, car vous allez l'associer à un déclencheur Eventarc pour représenter l'identité du déclencheur à des fins de test. Ce compte de service est créé automatiquement après l'activation ou l'utilisation d'un service Google Cloud qui utilise Compute Engine, avec le format d'adresse e-mail suivant :
PROJECT_NUMBER-compute@developer.gserviceaccount.com
Remplacez
PROJECT_NUMBERpar votre numéro de projet Google Cloud. Vous pouvez trouver le numéro de votre projet sur la page Bienvenue de la console Google Cloud ou en exécutant la commande suivante :gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Pour les environnements de production, nous vous recommandons vivement de créer un compte de service et de lui attribuer un ou plusieurs rôles IAM contenant les autorisations minimales requises conformément au principe du moindre privilège.
- Par défaut, les services Cloud Run ne peuvent être appelés que par les propriétaires de projet, les éditeurs de projet, ainsi que par les administrateurs et les demandeurs Cloud Run.
Vous pouvez contrôler l'accès service par service. Toutefois, à des fins de test, attribuez le rôle Demandeur Cloud Run (
run.invoker) au compte de service Compute Engine sur le projet Google Cloud. Cela permet d'accorder le rôle sur tous les services et jobs Cloud Run d'un projet.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/run.invoker
Notez que si vous créez un déclencheur pour un service Cloud Run authentifié sans attribuer le rôle Demandeur Cloud Run, le déclencheur est bien créé et actif. Cependant, le déclencheur ne fonctionnera pas comme prévu et un message semblable au suivant s'affichera dans les journaux :
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - Attribuez le rôle Récepteur d'événements Eventarc (
roles/eventarc.eventReceiver) sur le projet au compte de service Compute Engine par défaut afin que le déclencheur Eventarc puisse recevoir des événements en provenance des fournisseurs d'événementsgcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/eventarc.eventReceiver
- Si vous avez activé l'agent de service Cloud Pub/Sub le 8 avril 2021 ou à une date antérieure, attribuez le rôle Créateur de jetons du compte de service (
roles/iam.serviceAccountTokenCreator) au compte de service pour accepter les requêtes push Pub/Sub authentifiées. Sinon, ce rôle est attribué par défaut :gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Créer un déclencheur pour les services
Vous pouvez spécifier un déclencheur après avoir déployé un service.
Cliquez sur l'onglet pour obtenir des instructions concernant l'utilisation de l'outil de votre choix.
Console
Déployez votre service Cloud Run à l'aide de conteneurs ou à partir d'une source.
Dans la console Google Cloud, accédez à Cloud Run:
Dans la liste des services, cliquez sur un service existant.
Sur la page d'informations du service, accédez à l'onglet Déclencheurs.
Cliquez sur Ajouter un déclencheur, puis sélectionnez une option.
Dans le volet Déclencheur Eventarc, modifiez les détails du déclencheur comme suit:
Dans le champ Nom du déclencheur, saisissez un nom pour le déclencheur ou utilisez le nom par défaut.
Sélectionnez un type de déclencheur dans la liste pour spécifier l'un des types de déclencheur suivants:
Sources Google pour spécifier des déclencheurs pour Pub/Sub, Cloud Storage, Firestore et d'autres fournisseurs d'événements Google.
Tiers pour intégrer des fournisseurs autres que Google qui proposent une source Eventarc. Pour en savoir plus, consultez la section Événements tiers dans Eventarc.
Sélectionnez un fournisseur d'événements dans la liste Fournisseur d'événements pour sélectionner un produit qui fournit le type d'événement pour déclencher votre service. Pour obtenir la liste des fournisseurs d'événements, consultez la section Fournisseurs et destinations d'événements.
Sélectionnez un type d'événement dans la liste Type d'événement. La configuration du déclencheur varie en fonction du type d'événement accepté: Pour en savoir plus, consultez la section Types d'événements.
Si le champ Région est activé, sélectionnez un emplacement pour le déclencheur Eventarc. En général, l'emplacement d'un déclencheur Eventarc doit correspondre à celui de la ressource Google Cloud dont vous souhaitez surveiller les événements. Dans la plupart des scénarios, vous devez également déployer votre service dans la même région. Consultez la section Comprendre les emplacements Eventarc pour en savoir plus sur les emplacements des déclencheurs Eventarc.
Dans le champ Compte de service, sélectionnez un compte de service. Les déclencheurs Eventarc sont associés à des comptes de service, destinés à être utilisés comme identité lors de l'appel de votre service. Le compte de service de votre déclencheur Eventarc doit être autorisé à appeler votre service. Par défaut, Cloud Run utilise le compte de service Compute Engine par défaut.
Vous pouvez éventuellement spécifier le chemin d'URL du service auquel envoyer la requête entrante. Il s'agit du chemin relatif sur le service de destination auquel les événements du déclencheur doivent être envoyés. Par exemple:
/,/route,routeetroute/subroute.Une fois les champs obligatoires renseignés, cliquez sur Enregistrer le déclencheur.
Après avoir créé le déclencheur, vous pouvez vérifier son état en vous assurant qu'une coche check_circle s'affiche dans l'onglet Déclencheurs.
gcloud
Déployez votre service Cloud Run à l'aide de conteneurs ou à partir d'une source.
Exécutez la commande suivante pour créer un déclencheur qui filtre les événements:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=SERVICE \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comRemplacez :
TRIGGER_NAME par le nom de votre déclencheur.
EVENTARC_TRIGGER_LOCATION par l'emplacement du déclencheur Eventarc. En général, l'emplacement d'un déclencheur Eventarc doit correspondre à celui de la ressource Google Cloud dont vous souhaitez surveiller les événements. Dans la plupart des scénarios, vous devez également déployer votre service dans la même région. Pour en savoir plus, consultez la page Emplacements Eventarc.
SERVICE par le nom du service que vous déployez.
REGION par la région Cloud Run du service.
PROJECT_NUMBER par le numéro de votre projet Google Cloud Les déclencheurs Eventarc sont associés à des comptes de service, destinés à être utilisés comme identité lors de l'appel de votre service. Le compte de service de votre déclencheur Eventarc doit être autorisé à appeler votre service. Par défaut, Cloud Run utilise le compte de service Compute par défaut.
L'option
event-filtersspécifie les filtres d'événements que le déclencheur surveille. Les événements correspondant à tous les filtresevent-filtersdéclenchent des appels vers votre service. Chaque déclencheur doit avoir un type d'événement compatible. Vous ne pouvez pas modifier le type de filtre d'événements après sa création. Pour modifier le type de filtre d'événement, vous devez créer un nouveau déclencheur et supprimer l'ancien. Facultatif : vous pouvez répéter l'option--event-filtersavec un filtre compatible au formatATTRIBUTE=VALUEpour ajouter d'autres filtres.
Créer un déclencheur pour les fonctions
Cliquez sur l'onglet pour obtenir des instructions concernant l'utilisation de l'outil de votre choix.
Console
Lorsque vous utilisez la console Google Cloud pour créer une fonction, vous pouvez également ajouter un déclencheur à votre fonction. Pour créer un déclencheur pour votre fonction, procédez comme suit:
Dans la console Google Cloud, accédez à Cloud Run :
Cliquez sur Écrire une fonction, puis saisissez les informations sur la fonction. Pour en savoir plus sur la configuration des fonctions lors du déploiement, consultez la section Déployer des fonctions.
Dans la section Déclencheur, cliquez sur Ajouter un déclencheur.
Sélectionnez une option.
Dans le volet Déclencheur Eventarc, modifiez les détails du déclencheur comme suit:
Saisissez un nom pour le déclencheur dans le champ Trigger name (Nom du déclencheur) ou utilisez le nom par défaut.
Sélectionnez un type de déclencheur dans la liste pour spécifier l'un des types de déclencheur suivants:
Sources Google pour spécifier des déclencheurs pour Pub/Sub, Cloud Storage, Firestore et d'autres fournisseurs d'événements Google.
Tiers pour intégrer des fournisseurs autres que Google qui proposent une source Eventarc. Pour en savoir plus, consultez la section Événements tiers dans Eventarc.
Sélectionnez un fournisseur d'événements dans la liste Fournisseur d'événements pour sélectionner un produit qui fournit le type d'événement pour déclencher votre fonction. Pour obtenir la liste des fournisseurs d'événements, consultez la section Fournisseurs et destinations d'événements.
Sélectionnez un type d'événement dans la liste Type d'événement. La configuration du déclencheur varie en fonction du type d'événement accepté: Pour en savoir plus, consultez la section Types d'événements.
Si le champ Région est activé, sélectionnez un emplacement pour le déclencheur Eventarc. En général, l'emplacement d'un déclencheur Eventarc doit correspondre à celui de la ressource Google Cloud dont vous souhaitez surveiller les événements. Dans la plupart des scénarios, vous devez également déployer votre fonction dans la même région. Consultez la section Comprendre les emplacements Eventarc pour en savoir plus sur les emplacements des déclencheurs Eventarc.
Dans le champ Compte de service, sélectionnez un compte de service. Les déclencheurs Eventarc sont associés à des comptes de service, destinés à être utilisés comme identité lors de l'appel de votre fonction. Le compte de service de votre déclencheur Eventarc doit être autorisé à appeler votre fonction. Par défaut, Cloud Run utilise le compte de service Compute Engine par défaut.
Vous pouvez éventuellement spécifier le chemin d'URL du service auquel envoyer la requête entrante. Il s'agit du chemin relatif sur le service de destination auquel les événements du déclencheur doivent être envoyés. Par exemple:
/,/route,routeetroute/subroute.
Une fois les champs obligatoires renseignés, cliquez sur Enregistrer le déclencheur.
gcloud
Lorsque vous créez une fonction à l'aide de gcloud CLI, vous devez d'abord deploy, puis créer un déclencheur. Pour créer un déclencheur pour votre fonction, procédez comme suit:
Pour déployer votre fonction, exécutez la commande suivante dans le répertoire contenant l'exemple de code:
gcloud beta run deploy FUNCTION \ --source . \ --function FUNCTION_ENTRYPOINT \ --base-image BASE_IMAGE_ID \ --region REGIONRemplacez :
FUNCTION par le nom de la fonction que vous déployez. Vous pouvez omettre ce paramètre, mais dans ce cas le nom vous sera demandé.
FUNCTION_ENTRYPOINT par le point d'entrée de votre fonction dans votre code source. Il s'agit du code exécuté par Cloud Run lorsque votre fonction est exécutée. La valeur de cette option doit être un nom de fonction ou un nom de classe complet qui existe dans votre code source.
BASE_IMAGE_ID par l'environnement d'image de base de votre fonction. Pour en savoir plus sur les images de base et les packages inclus dans chaque image, consultez la section Images de base des environnements d'exécution.
REGION par la région Google Cloud dans laquelle vous souhaitez déployer votre fonction. Par exemple,
us-central1.
Exécutez la commande suivante pour créer un déclencheur qui filtre les événements:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=FUNCTION \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comRemplacez :
TRIGGER_NAME par le nom de votre déclencheur.
EVENTARC_TRIGGER_LOCATION par l'emplacement du déclencheur Eventarc. En général, l'emplacement d'un déclencheur Eventarc doit correspondre à celui de la ressource Google Cloud dont vous souhaitez surveiller les événements. Dans la plupart des scénarios, vous devez également déployer votre fonction dans la même région. Pour en savoir plus, consultez la page Emplacements Eventarc.
FUNCTION par le nom de la fonction que vous déployez.
REGION par la région Cloud Run de la fonction.
PROJECT_NUMBER par le numéro de votre projet Google Cloud Les déclencheurs Eventarc sont associés à des comptes de service, destinés à être utilisés comme identité lors de l'appel de votre fonction. Le compte de service de votre déclencheur Eventarc doit être autorisé à appeler votre fonction. Par défaut, Cloud Run utilise le compte de service Compute par défaut.
L'option
event-filtersspécifie les filtres d'événements que le déclencheur surveille. Un événement correspondant à tous les filtresevent-filtersdéclenche des appels vers votre fonction. Chaque déclencheur doit avoir un type d'événement compatible. Vous ne pouvez pas modifier le type de filtre d'événements après sa création. Pour modifier le type de filtre d'événement, vous devez créer un nouveau déclencheur et supprimer l'ancien. Facultatif : vous pouvez répéter l'option--event-filtersavec un filtre compatible au formatATTRIBUTE=VALUEpour ajouter d'autres filtres.
Étape suivante
- En savoir plus sur Eventarc
- Comprendre les composants facturables d'Eventarc
- Créer des déclencheurs pour les fonctions déployées dans Cloud Run * Types d'événements Google compatibles avec Eventarc
- Activez les nouvelles tentatives d'événements dans Eventarc