Ricevi eventi Pub/Sub utilizzando un servizio Cloud Run autenticato


Questo tutorial mostra come eseguire il deployment di un'applicazione containerizzata utilizzando un servizio Cloud Run autenticato che riceve eventi utilizzando Pub/Sub. Pub/Sub è un servizio di messaggistica in tempo reale completamente gestito che consente di inviare e ricevere messaggi tra applicazioni indipendenti.

Obiettivi

In questo tutorial, imparerai a:

  1. Eseguire il deployment in Cloud Run di un servizio di ricezione di eventi che richieda chiamate autenticate.

  2. Creare un trigger Eventarc che connette un argomento Pub/Sub al servizio Cloud Run.

  3. Pubblica un messaggio nell'argomento Pub/Sub per generare un evento.

  4. Visualizza l'evento nei log di Cloud Run.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Prima di iniziare

I vincoli di sicurezza definiti dalla tua organizzazione potrebbero impedirti di completare i passaggi seguenti. Per informazioni sulla risoluzione dei problemi, consulta la pagina Sviluppare applicazioni in un ambiente Google Cloud limitato.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.
  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Install the Google Cloud CLI.
  7. To initialize the gcloud CLI, run the following command:

    gcloud init
  8. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Aggiorna i componenti gcloud:
    gcloud components update
  11. Accedi utilizzando il tuo account:
    gcloud auth login
  12. Abilita le API:
    gcloud services enable run.googleapis.com \
        eventarc.googleapis.com \
        pubsub.googleapis.com \
        cloudbuild.googleapis.com
  13. Imposta le variabili di configurazione utilizzate in questo tutorial:
    export REGION=us-central1
    gcloud config set run/region ${REGION}
    gcloud config set run/platform managed
    gcloud config set eventarc/location ${REGION}
    
  14. Se sei l'autore del progetto, ti viene concesso il ruolo Proprietario di base (roles/owner). Per impostazione predefinita, questo ruolo di Identity and Access Management (IAM) include le autorizzazioni necessarie per l'accesso completo alla maggior parte delle risorse Google Cloud e puoi saltare questo passaggio.

    Se non sei l'autore del progetto, le autorizzazioni richieste devono essere concesse per il progetto all'entità appropriata. Ad esempio, un'entità può essere un Account Google (per gli utenti finali) o un account di servizio (per applicazioni e carichi di lavoro di computing). Per ulteriori informazioni, consulta la pagina Ruoli e autorizzazioni per la destinazione dell'evento.

    Autorizzazioni obbligatorie

    Per ottenere le autorizzazioni necessarie per completare questo tutorial, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

    Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

    Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

  15. L'account di servizio predefinito di Compute Engine viene creato automaticamente dopo aver abilitato o utilizzato un servizio Google Cloud che utilizza Compute Engine.

    A scopo di test, puoi collegare questo account di servizio a un trigger Eventarc per rappresentare l'identità del trigger. Prendi nota del formato email da utilizzare quando crei un trigger:

    PROJECT_NUMBER-compute@developer.gserviceaccount.com
    

    Sostituisci PROJECT_NUMBER con il numero del tuo progetto Google Cloud. Puoi trovare il numero del progetto nella pagina Dashboard della console Google Cloud o eseguendo il seguente comando:

    gcloud projects describe PROJECT_ID --format='value(projectNumber)'

    All'account di servizio Compute Engine viene concesso automaticamente il ruolo Editor di base (roles/editor) sul tuo progetto. Tuttavia, se le concessioni automatiche dei ruoli sono state disabilitate, consulta le istruzioni applicabili su Ruoli e autorizzazioni per creare un nuovo account di servizio e concedere i ruoli richiesti.

  16. Per impostazione predefinita, i servizi Cloud Run possono essere richiamati solo da proprietari di progetto, editor di progetto, amministratori e Invoker di Cloud Run. Puoi controllare l'accesso in base al servizio; tuttavia, a fini di test, concedi il ruolo Invoker di Cloud Run (run.invoker) sul progetto Google Cloud all'account di servizio Compute Engine. Concede il ruolo per tutti i servizi e i job Cloud Run in un progetto.
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
        --role=roles/run.invoker

    Tieni presente che se crei un trigger per un servizio Cloud Run autenticato senza concedere il ruolo Invoker di Cloud Run, il trigger viene creato correttamente ed è attivo. Tuttavia, il trigger non funzionerà come previsto e nei log verrà visualizzato un messaggio simile al seguente:

    The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header.
  17. Se hai abilitato l'agente di servizio Cloud Pub/Sub entro l'8 aprile 2021 per supportare le richieste push Pub/Sub autenticate, concedi il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) all'account di servizio gestito da Google. In caso contrario, questo ruolo è concesso per impostazione predefinita:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountTokenCreator

Esegui il deployment di un ricevitore di eventi in Cloud Run

Eseguire il deployment di un servizio Cloud Run che registra i contenuti di un evento.

  1. Clona il repository:

    Node.js

    git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

    Python

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

    Go

    git clone https://github.com/GoogleCloudPlatform/golang-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

    Java

    git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

    Ruby

    git clone https://github.com/GoogleCloudPlatform/ruby-docs-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

    C#

    git clone https://github.com/GoogleCloudPlatform/dotnet-docs-samples.git

    In alternativa, puoi scaricare l'esempio come file ZIP ed estrarlo.

  2. Passa alla directory che contiene il codice campione di Cloud Run:

    Node.js

    cd nodejs-docs-samples/eventarc/pubsub/

    Python

    cd python-docs-samples/eventarc/pubsub/

    Go

    cd golang-samples/eventarc/pubsub/

    Java

    cd java-docs-samples/eventarc/pubsub/

    Ruby

    cd ruby-docs-samples/eventarc/pubsub/

    C#

    cd dotnet-docs-samples/eventarc/pubsub/
  3. Crea il container per il servizio Cloud Run:

    export PROJECT_ID=$(gcloud config get-value project)
    export SERVICE_NAME=trigger-pubsub
    gcloud builds submit --tag gcr.io/${PROJECT_ID}/${SERVICE_NAME}
    
  4. Esegui il deployment dell'immagine container in Cloud Run:

    gcloud run deploy ${SERVICE_NAME} \
        --image gcr.io/${PROJECT_ID}/${SERVICE_NAME} \
        --region=${REGION}
    
  5. Al prompt Consenti chiamate non autenticate a trigger-pubsub (y/N)?, rispondi n per "No".

Quando vedi l'URL del servizio Cloud Run, il deployment è completo.

Crea un trigger Eventarc

Quando un messaggio viene pubblicato nell'argomento Pub/Sub, l'evento attiva il servizio Cloud Run.

  1. Crea un trigger per ascoltare i messaggi Pub/Sub:

    Nuovo argomento Pub/Sub

      gcloud eventarc triggers create ${SERVICE_NAME} \
          --destination-run-service=${SERVICE_NAME} \
          --destination-run-region=${REGION} \
          --location=${REGION} \
          --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
          --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
    

    Viene creato un nuovo argomento Pub/Sub e un trigger denominato trigger-pubsub.

    Argomento Pub/Sub esistente

      gcloud eventarc triggers create ${SERVICE_NAME} \
          --destination-run-service=${SERVICE_NAME} \
          --destination-run-region=${REGION} \
          --location=${REGION} \
          --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
          --transport-topic=projects/PROJECT_ID/topics/TOPIC_ID \
          --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto Google Cloud
    • TOPIC_ID: l'ID dell'argomento Pub/Sub esistente

    Questo crea un trigger denominato trigger-pubsub per l'argomento Pub/Sub esistente.

    Tieni presente che quando crei un trigger Eventarc per la prima volta in un progetto Google Cloud, potrebbe verificarsi un ritardo nel provisioning dell'agente di servizio Eventarc. Per risolvere questo problema, prova a creare di nuovo il trigger. Per ulteriori informazioni, consulta la sezione Errori di autorizzazione negata.

  2. Verifica che il trigger sia stato creato correttamente. Tieni presente che, anche se l'attivatore viene creato immediatamente, può essere necessario attendere fino a due minuti prima che sia completamente funzionante.

      gcloud eventarc triggers list --location=us-central1
    

    Lo stato dell'attivatore restituito deve essere ACTIVE: Yes.

Generare e visualizzare un evento

Pubblicare un messaggio in un argomento Pub/Sub per generare un evento e attivare il servizio Cloud Run. Il servizio Cloud Run registra i messaggi nei log del servizio.

  1. Trova e imposta l'argomento Pub/Sub come variabile di ambiente:

    export TOPIC_ID=$(gcloud eventarc triggers describe ${SERVICE_NAME} \
        --format='value(transport.pubsub.topic)')
    
  2. Invia un messaggio all'argomento Pub/Sub per generare un evento:

    gcloud pubsub topics publish $TOPIC_ID --message "Hello there"
    

    L'evento viene inviato al servizio Cloud Run, che registra il messaggio dell'evento.

  3. Visualizza le voci di log relative agli eventi create dal tuo servizio:

    gcloud logging read 'textPayload: "Hello there!"'

    La voce di log dovrebbe essere simile alla seguente:

    textPayload: 'Hello, Hello there!'

La visualizzazione dei log potrebbe richiedere alcuni istanti. Se non li vedi subito, ricontrolla dopo un minuto.

Esegui la pulizia

Se hai creato un nuovo progetto per questo tutorial, elimina il progetto. Se hai utilizzato un progetto esistente e vuoi conservarlo senza le modifiche aggiunte in questo tutorial, elimina le risorse create per il tutorial.

Elimina il progetto

Il modo più semplice per eliminare la fatturazione è eliminare il progetto che hai creato per il tutorial.

Per eliminare il progetto:

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Elimina risorse tutorial

  1. Elimina il servizio Cloud Run di cui hai eseguito il deployment in questo tutorial:

    gcloud run services delete SERVICE_NAME

    Dove SERVICE_NAME è il nome del servizio che hai scelto.

    Puoi anche eliminare i servizi Cloud Run dalla console Google Cloud.

  2. Rimuovi tutte le configurazioni predefinite dell'interfaccia a riga di comando gcloud aggiunte durante la configurazione del tutorial.

    Ecco alcuni esempi:

    gcloud config unset run/region

    o

    gcloud config unset project

  3. Elimina le altre risorse Google Cloud create in questo tutorial:

    • Elimina il trigger Eventarc:
      gcloud eventarc triggers delete TRIGGER_NAME
      
      Sostituisci TRIGGER_NAME con il nome del tuo attivatore.

Passaggi successivi