Questa pagina mostra come creare un trigger Eventarc in modo che un servizio Cloud Run possa ricevere eventi da un altro servizio Google Cloud .
Eventarc è un servizio Google Cloud che ti consente di creare architetture basate su eventi senza dover implementare, personalizzare o gestire l'infrastruttura sottostante.
Puoi creare un trigger Eventarc specificando i filtri per il trigger e configurando il routing dell'evento, inclusi l'origine dell'evento e il servizio Cloud Run di destinazione. Quando l'evento o l'insieme di eventi specificato corrisponde ai filtri, il servizio Cloud Run viene richiamato automaticamente in risposta agli eventi. Un servizio che utilizza i trigger Eventarc è chiamato servizio basato su eventi. Gli eventi inviati al tuo servizio Cloud Run vengono ricevuti sotto forma di richieste HTTP.
I seguenti tipi di eventi attivano richieste al tuo servizio:
- Viene creato un audit log che corrisponde ai criteri di filtro del trigger
- Eventi diretti come un aggiornamento a un bucket Cloud Storage
- Messaggi diretti pubblicati in un argomento Pub/Sub
Puoi anche creare un trigger Eventarc utilizzando Google Cloud CLI o tramite la pagina della console Eventarc. Per istruzioni sulla creazione di un trigger per un provider, un tipo di evento e una destinazione specifici, filtra l'elenco per scoprire di più sui provider e sulle destinazioni di eventi di Eventarc.
Posizione del trigger
Quando crei un trigger Eventarc, ne specifichi una posizione. Deve corrispondere alla posizione della risorsa Google Cloud che vuoi monitorare per gli eventi. Nella maggior parte degli scenari, devi eseguire il deployment del servizio Cloud Run basato su eventi nella stessa regione. Per saperne di più, consulta Informazioni sulle località Eventarc.
Identità del trigger
Il account di servizio del trigger Eventarc deve disporre dell'autorizzazione per richiamare il servizio. Potresti dover verificare che l'account di servizio predefinito di Compute Engine disponga delle autorizzazioni corrette per richiamare il servizio. Per ulteriori informazioni, consulta Ruoli richiesti.
Prima di iniziare
Assicurati di aver configurato un nuovo progetto per Cloud Run come descritto nella pagina di configurazione.
Abilita le API Artifact Registry, Cloud Build, Cloud Run Admin ed Eventarc:
Ruoli obbligatori
Tu o il tuo amministratore dovete concedere all'account di deployment, all'identità del trigger e, facoltativamente, al service agent Pub/Sub i seguenti ruoli IAM.
Ruoli richiesti per l'account del deployer
Per ottenere le autorizzazioni necessarie per configurare i trigger Eventarc, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Editor Cloud Build (
roles/cloudbuild.builds.editor) -
Cloud Run Admin (
roles/run.admin) -
Amministratore Eventarc (
roles/eventarc.admin) -
Logs View Accessor (
roles/logging.viewAccessor) -
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin) -
Amministratore account di servizio (
roles/iam.serviceAccountAdmin) -
Utente service account (
roles/iam.serviceAccountUser) -
Amministratore utilizzo servizi (
roles/serviceusage.serviceUsageAdmin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Tieni presente che, per impostazione predefinita, le autorizzazioni di Cloud Build includono le autorizzazioni per caricare e scaricare gli artefatti di Artifact Registry.
Ruoli obbligatori per l'identità del trigger
Prendi nota dell'Account di servizio predefinito di Compute Engine, in quanto lo collegherai a un trigger Eventarc per rappresentare l'identità del trigger a scopo di test. Questo account di servizio viene creato automaticamente dopo l'attivazione o l'utilizzo di un servizio Google Cloud che utilizza Compute Engine e con il seguente formato email:
PROJECT_NUMBER-compute@developer.gserviceaccount.com
Sostituisci
PROJECT_NUMBERcon il numero del tuo progetto Google Cloud. Puoi trovare il numero di progetto nella pagina Benvenuto della console Google Cloud o eseguendo questo comando:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Per gli ambienti di produzione, ti consigliamo vivamente di creare un nuovo service account e di concedergli uno o più ruoli IAM che contengano le autorizzazioni minime richieste e di seguire il principio del privilegio minimo.
- Per impostazione predefinita, i servizi Cloud Run possono essere chiamati solo da proprietari del progetto, editor del progetto e amministratori e chiamanti di Cloud Run.
Puoi
controllare
l'accesso in base al servizio; tuttavia, a scopo di test, concedi il
ruolo Invoker di Cloud Run (
run.invoker) nel progetto Google Cloud all'account di servizio Compute Engine. Questo ruolo viene concesso per tutti i servizi e i job Cloud Run in un progetto.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/run.invoker
Tieni presente che se crei un trigger per un servizio Cloud Run autenticato senza concedere il ruolo Invoker di Cloud Run, il trigger viene creato correttamente ed è attivo. Tuttavia, il trigger non funzionerà come previsto e nei log verrà visualizzato un messaggio simile al seguente:
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - Concedi il
ruolo Destinatario di eventi
Eventarc (
roles/eventarc.eventReceiver) nel progetto al account di servizio predefinito di Compute Engine in modo che il trigger Eventarc possa ricevere eventi dai provider di eventi.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/eventarc.eventReceiver
Ruolo facoltativo per l'agente di servizio Pub/Sub
- Se hai attivato l'agente di servizio Cloud Pub/Sub l'8 aprile 2021 o in una data precedente, per supportare le richieste push Pub/Sub autenticate, concedi
il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) all'agente di servizio. In caso contrario, questo ruolo viene concesso per impostazione predefinita:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Crea un trigger per i servizi
Puoi specificare un trigger dopo aver eseguito il deployment di un servizio.
Fai clic sulla scheda relativa alle istruzioni per l'utilizzo dello strumento che preferisci.
Console
Esegui il deployment del servizio Cloud Run utilizzando container o da origine.
Nella console Google Cloud , vai a Cloud Run:
Dall'elenco dei servizi, fai clic su un servizio esistente.
Nella pagina Dettagli servizio, vai alla scheda Trigger.
Fai clic su Aggiungi trigger e seleziona un'opzione.
Nel riquadro Trigger Eventarc, modifica i dettagli del trigger come segue:
Nel campo Nome trigger, inserisci un nome per il trigger oppure utilizza il nome predefinito.
Seleziona un tipo di trigger dall'elenco per specificare uno dei seguenti tipi di trigger:
Origini Google per specificare i trigger per Pub/Sub, Cloud Storage, Firestore e altri fornitori di eventi Google.
Terze parti per l'integrazione con provider non Google che offrono un'origine Eventarc. Per saperne di più, vedi Eventi di terze parti in Eventarc.
Seleziona un fornitore di eventi dall'elenco Fornitore di eventi per selezionare un prodotto che fornisca il tipo di evento per attivare il servizio. Per l'elenco dei fornitori di eventi, consulta Provider e destinazioni di eventi.
Seleziona un tipo di evento dall'elenco Tipo di evento. La configurazione del trigger varia a seconda del tipo di evento supportato. Per saperne di più, vedi Tipi di eventi.
Se il campo Regione è attivato, seleziona una posizione per il trigger Eventarc. In generale, la località di un trigger Eventarc deve corrispondere a quella della risorsa che vuoi monitorare per gli eventi. Google Cloud Nella maggior parte degli scenari, devi anche deployare il servizio nella stessa regione. Consulta la sezione Informazioni sulle località Eventarc per ulteriori dettagli sulle località dei trigger Eventarc.
Nel campo Service account, seleziona un account di servizio. I trigger Eventarc sono collegati agli account di servizio da utilizzare come identità quando richiamano il servizio. Il account di servizio del trigger Eventarc deve disporre dell'autorizzazione per richiamare il servizio. Per impostazione predefinita, Cloud Run utilizza l'account di servizio predefinito di Compute Engine.
(Facoltativo) Specifica il percorso dell'URL del servizio a cui inviare la richiesta in entrata. Questo è il percorso relativo nel servizio di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio:
/,/route,routeeroute/subroute.Una volta compilati i campi obbligatori, fai clic su Salva attivatore.
Dopo aver creato il trigger, verifica il suo stato assicurandoti che sia presente un segno di spunta check_circle nella scheda Trigger.
gcloud
Esegui il deployment del servizio Cloud Run utilizzando container o da origine.
Esegui questo comando per creare un trigger che filtri gli eventi:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=SERVICE \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comSostituisci:
TRIGGER_NAME con il nome dell'attivatore.
EVENTARC_TRIGGER_LOCATION con la località del trigger Eventarc. In generale, la località di un trigger Eventarc deve corrispondere a quella della risorsa Google Cloud che vuoi monitorare per gli eventi. Nella maggior parte degli scenari, devi anche eseguire il deployment del servizio nella stessa regione. Per saperne di più, consulta Località Eventarc.
SERVICE con il nome del servizio che stai implementando.
REGION con la regione Cloud Run del servizio.
PROJECT_NUMBER con il numero del tuo progetto Google Cloud . I trigger Eventarc sono collegati agli account di servizio da utilizzare come identità quando richiami il servizio. Il account di servizio del trigger Eventarc deve disporre dell'autorizzazione per richiamare il servizio. Per impostazione predefinita, Cloud Run utilizza l'account di servizio Compute predefinito.
Il flag
event-filtersspecifica i filtri eventi monitorati dal trigger. Un evento che corrisponde a tutti ievent-filters, i filtri attiva le chiamate al tuo servizio. Ogni attivatore deve avere un tipo di evento supportato. Non puoi modificare il tipo di filtro eventi dopo la creazione. Per modificare il tipo di filtro eventi, devi creare un nuovo trigger ed eliminare quello precedente. (Facoltativo) Puoi ripetere il flag--event-filterscon un filtro supportato nel formatoATTRIBUTE=VALUEper aggiungere altri filtri.
Terraform
Per creare un trigger Eventarc per un servizio Cloud Run, consulta Creare un trigger utilizzando Terraform.
Crea un trigger per le funzioni
Fai clic sulla scheda relativa alle istruzioni per l'utilizzo dello strumento che preferisci.
Console
Quando utilizzi la console Google Cloud per creare una funzione, puoi anche aggiungere un trigger alla funzione. Per creare un trigger per la tua funzione:
Nella console Google Cloud , vai a Cloud Run:
Fai clic su Scrivi una funzione e inserisci i dettagli della funzione. Per saperne di più sulla configurazione delle funzioni durante il deployment, consulta Eseguire il deployment delle funzioni.
Nella sezione Attivatore, fai clic su Aggiungi attivatore.
Seleziona un'opzione.
Nel riquadro Trigger Eventarc, modifica i dettagli del trigger come segue:
Inserisci un nome per il trigger nel campo Nome trigger o utilizza il nome predefinito.
Seleziona un tipo di trigger dall'elenco per specificare uno dei seguenti tipi di trigger:
Origini Google per specificare i trigger per Pub/Sub, Cloud Storage, Firestore e altri fornitori di eventi Google.
Terze parti per l'integrazione con provider non Google che offrono un'origine Eventarc. Per saperne di più, vedi Eventi di terze parti in Eventarc.
Seleziona un fornitore di eventi dall'elenco Fornitore di eventi per selezionare un prodotto che fornisca il tipo di evento per attivare la funzione. Per l'elenco dei fornitori di eventi, consulta Provider e destinazioni di eventi.
Seleziona un tipo di evento dall'elenco Tipo di evento. La configurazione del trigger varia a seconda del tipo di evento supportato. Per saperne di più, vedi Tipi di eventi.
Se il campo Regione è attivato, seleziona una posizione per il trigger Eventarc. In generale, la località di un trigger Eventarc deve corrispondere a quella della risorsa che vuoi monitorare per gli eventi. Google Cloud Nella maggior parte degli scenari, devi anche eseguire il deployment della funzione nella stessa regione. Consulta la sezione Informazioni sulle località Eventarc per ulteriori dettagli sulle località dei trigger Eventarc.
Nel campo Service account, seleziona un account di servizio. I trigger Eventarc sono collegati agli account di servizio da utilizzare come identità quando viene richiamata la funzione. Il account di servizio del trigger Eventarc deve disporre dell'autorizzazione per richiamare la funzione. Per impostazione predefinita, Cloud Run utilizza l'account di servizio predefinito di Compute Engine.
(Facoltativo) Specifica il percorso dell'URL del servizio a cui inviare la richiesta in entrata. Questo è il percorso relativo nel servizio di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio:
/,/route,routeeroute/subroute.
Una volta compilati i campi obbligatori, fai clic su Salva attivatore.
gcloud
Quando crei una funzione utilizzando gcloud CLI, devi prima eseguirne il deployment e poi creare un trigger. Per creare un trigger per la tua funzione:
Esegui questo comando nella directory che contiene il codice campione per eseguire il deployment della funzione:
gcloud run deploy FUNCTION \ --source . \ --function FUNCTION_ENTRYPOINT \ --base-image BASE_IMAGE_ID \ --region REGIONSostituisci:
FUNCTION con il nome della funzione che stai eseguendo il deployment. Puoi omettere completamente questo parametro, ma ti verrà chiesto il nome se lo ometti.
FUNCTION_ENTRYPOINT con l'entry point della tua funzione nel codice sorgente. Questo è il codice eseguito da Cloud Run quando viene eseguita la funzione. Il valore di questo flag deve essere un nome di funzione o un nome di classe completo che esiste nel codice sorgente.
BASE_IMAGE_ID con l'ambiente dell'immagine di base per la tua funzione. Per maggiori dettagli sulle immagini di base e sui pacchetti inclusi in ciascuna immagine, consulta Immagini di base dei runtime.
REGION con la Google Cloud regione in cui vuoi eseguire il deployment della funzione. Ad esempio:
us-central1.
Esegui questo comando per creare un trigger che filtri gli eventi:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=FUNCTION \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comSostituisci:
TRIGGER_NAME con il nome dell'attivatore.
EVENTARC_TRIGGER_LOCATION con la località del trigger Eventarc. In generale, la località di un trigger Eventarc deve corrispondere a quella della risorsa Google Cloud che vuoi monitorare per gli eventi. Nella maggior parte degli scenari, devi anche eseguire il deployment della funzione nella stessa regione. Per saperne di più, consulta Località Eventarc.
FUNCTION con il nome della funzione che stai eseguendo il deployment.
REGION con la regione di Cloud Run della funzione.
PROJECT_NUMBER con il numero del tuo progetto Google Cloud . I trigger Eventarc sono collegati agli account di servizio da utilizzare come identità quando viene richiamata la funzione. Il account di servizio del trigger Eventarc deve disporre dell'autorizzazione per richiamare la funzione. Per impostazione predefinita, Cloud Run utilizza l'account di servizio Compute predefinito.
Il flag
event-filtersspecifica i filtri eventi monitorati dal trigger. Un evento che corrisponde a tutti ievent-filters, i filtri attiva le chiamate alla tua funzione. Ogni attivatore deve avere un tipo di evento supportato. Non puoi modificare il tipo di filtro eventi dopo la creazione. Per modificare il tipo di filtro eventi, devi creare un nuovo trigger ed eliminare quello precedente. (Facoltativo) Puoi ripetere il flag--event-filterscon un filtro supportato nel formatoATTRIBUTE=VALUEper aggiungere altri filtri.
Terraform
Per creare un trigger Eventarc per una funzione Cloud Run, consulta Creare un trigger utilizzando Terraform.
Imposta la scadenza di riconoscimento di Pub/Sub
Le funzioni Cloud Run basate sugli eventi vengono implementate utilizzando Eventarc
in combinazione con un abbonamento Pub/Sub. Per impostazione predefinita, la
scadenza di conferma (ack)
di questa sottoscrizione Pub/Sub è di 10 secondi. Questa impostazione è insufficiente per molte funzioni e può causare esecuzioni duplicate indesiderate.
Ti consigliamo di impostare la scadenza ack per il tuo servizio o la tua funzione sul valore massimo di 600 secondi nel seguente modo:
Console
Dopo aver eseguito il deployment della funzione, segui questi passaggi per modificare la scadenza ack della funzione:
Nella console Google Cloud , vai a Cloud Run:
Individua la funzione che vuoi aggiornare nell'elenco Servizi e fai clic su per aprire i dettagli della funzione.
Apri la scheda Trigger.
Fai clic sul nome del trigger per aprire Dettagli trigger.
Fai clic sul link Argomento per aprire il riquadro di modifica dell'argomento.
Fai clic sul nome dell'ID abbonamento per andare al riquadro dell'abbonamento e fai clic su Modifica nella parte superiore della pagina.
Imposta il valore per Scadenza per la conferma su 600 e fai clic su Aggiorna per salvare la modifica.
gcloud
Aggiorna il termine ack per trigger al valore massimo di 600 secondi.
Tieni presente che i seguenti comandi fanno riferimento a variabili (TRIGGER_NAME e
REGION) i cui valori sono stati impostati nei passaggi precedenti.
## Per Cloud Run function: # Update Ack Deadline to max (600s) SUBSCRIPTION_ID=$(gcloud eventarc triggers describe "$TRIGGER_NAME" --location $REGION --format json | jq -r '.transport.pubsub.subscription') gcloud pubsub subscriptions update "$SUBSCRIPTION_ID" --ack-deadline=600
Esegui un aggiornamento collettivo di tutti i trigger di servizi e funzioni per impostare le relative scadenze ack a 600 secondi:
### Match all Cloud Run service triggers and update all deadlines to 600s (max timeout) ### This will change ALL Cloud Run Service and Cloud Run function TRIGGER_NAMES=($(gcloud eventarc triggers list | awk '/Cloud Run service/ {print $1}')) if [ ${#TRIGGER_NAMES[@]} -eq 0 ]; then echo "No matching triggers found" fi for trigger in "${TRIGGER_NAMES[@]}"; do echo "Updating ack deadline for trigger: $trigger" SUBSCRIPTION_ID=$(gcloud eventarc triggers describe "$trigger" --location $REGION --format json | jq -r '.transport.pubsub.subscription') if [ -z "$SUBSCRIPTION_ID" ]; then echo "Error: Could not retrieve subscription ID for trigger: $trigger" continue # Skip to the next trigger fi gcloud pubsub subscriptions update "$SUBSCRIPTION_ID" --ack-deadline=600 echo "Ack deadline updated for subscription: $SUBSCRIPTION_ID" done
Visualizza l'ID e l'origine CloudEvent
Per visualizzare l'ID e l'origine CloudEvent che hanno attivato il servizio, visualizza le seguenti risorse nei log del servizio Cloud Run:
LogEntry.labels.run.googleapis.com/cloud_event_idLogEntry.labels.run.googleapis.com/cloud_event_source
Passaggi successivi
- Scopri di più su Eventarc
- Informazioni sui componenti fatturabili di Eventarc
- Crea trigger per le funzioni di cui è stato eseguito il deployment in Cloud Run
- Tipi di eventi Google supportati da Eventarc.
- Abilita i nuovi tentativi di eventi in Eventarc