Questa pagina è stata tradotta dall'API Cloud Translation.

Inoltra gli eventi dei log di controllo a Cloud Run

Standard

Un trigger Eventarc dichiara il tuo interesse per un determinato evento o per un insieme di eventi. Puoi configurare il routing degli eventi specificando i filtri per l'attivatore, incluso l'origine evento e il servizio Cloud Run di destinazione.

Eventarc pubblica gli eventi nel formato CloudEvents tramite una richiesta HTTP al destinatario degli eventi.

Queste istruzioni mostrano come configurare il routing al servizio Cloud Run che viene attivato quando viene creato un log di controllo che corrisponde ai criteri di filtro dell'attivatore. Per un elenco degli eventi dei log di controllo supportati da Eventarc, inclusi i valori serviceName e methodName, consulta Tipi di eventi Google supportati da Eventarc.

Per ulteriori informazioni sull'acquisizione degli eventi attivati quando viene creato un log di controllo corrispondente ai criteri di filtro dell'attivatore, consulta Determinare i filtri eventi per Cloud Audit Logs.

Prepararsi a creare un trigger

Prima di creare un attivatore, completa i seguenti prerequisiti:

Console

Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un Google Cloud progetto.

Nota: se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.

Vai al selettore dei progetti
Abilita le API Cloud Logging, Eventarc e Eventarc Publishing.

Abilita le API
Se applicabile, abilita l'API relativa agli eventi Cloud Audit Logs. Ad esempio, per i log di controllo delle funzioni Cloud Run, abilita l'API Cloud Functions.
Se non ne hai già uno, crea un account di servizio gestito dall'utente, quindi concedi i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per il servizio di destinazione.
1. Nella console Google Cloud, vai alla pagina Crea account di servizio.
  
  Vai a Crea account di servizio
2. Seleziona il progetto.
3. Inserisci un nome nel campo Nome account di servizio. La console Google Cloud compila il campo ID account di servizio in base a questo nome.
  
  Nel campo Descrizione account di servizio, inserisci una descrizione. Ad esempio, Service account for event trigger.
4. Fai clic su Crea e continua.
5. Per fornire l'accesso appropriato, nell'elenco Seleziona un ruolo, seleziona i ruoli IAM (Identity and Access Management) richiesti da concedere al tuo account di servizio per le chiamate autenticate o non autenticate. Per ulteriori informazioni, consulta Ruoli e autorizzazioni per i target Cloud Run.
  
  Per altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  
  Importante: per accettare invocazioni autenticate al tuo servizio Cloud Run, devi associare l'attivatore a un account di servizio con il ruolo roles/run.invoker. Quando crei o aggiorni l'attivatore, seleziona l'account di servizio.
6. Fai clic su Continua.
7. Per completare la creazione dell'account, fai clic su Fine.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Abilita le API Cloud Logging, Eventarc e Eventarc Publishing.

gcloud services enable logging.googleapis.com \
  eventarc.googleapis.com \
  eventarcpublishing.googleapis.com

Se applicabile, abilita l'API relativa agli eventi Cloud Audit Logs. Ad esempio, per gli audit log delle funzioni Cloud Run, attivacloudfunctions.googleapis.com.
Se non ne hai già uno, crea un account di servizio gestito dall'utente, quindi concedi i ruoli e le autorizzazioni necessari affinché Eventarc possa gestire gli eventi per il servizio di destinazione.
1. Crea l'account di servizio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio. Deve contenere da 6 a 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini. Una volta creato un account di servizio, non puoi modificarne il nome.
2. Concedi i ruoli o le autorizzazioni IAM (Identity and Access Management) richiesti per le chiamate autenticate o non autenticate. Per ulteriori informazioni, consulta Ruoli e autorizzazioni per i target Cloud Run.
Importante: per accettare invocazioni autenticate al tuo servizio Cloud Run, devi associare l'attivatore a un account di servizio con il ruolo roles/run.invoker. Quando crei o modifichi l'attivatore, utilizza il flag --service-account per associare l'account di servizio all'attivatore.

Crea un trigger

Puoi creare un trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud.

Nota: i filtri vengono applicati tramite una corrispondenza esatta e non supportano caratteri jolly o espressioni regolari. Tuttavia, puoi utilizzare il flag --event-filters-path-pattern nel seguente comando gcloud CLI o definire un pattern di percorso tramite la console. Per ulteriori informazioni, consulta Informazioni sui pattern di percorso.

Console

Nella console Google Cloud, vai alla pagina Eventarc Trigger.
Vai ai trigger
Fai clic su Crea trigger.
Digita un Nome trigger.
Si tratta dell'ID dell'attivatore e deve iniziare con una lettera. Può contenere fino a 63 lettere minuscole, numeri o trattini.
Per Tipo di attivatore, seleziona Origini Google.
Seleziona un fornitore di eventi.
Si tratta del servizio Google che è la fonte degli eventi tramite i suoi audit log. Ad esempio, seleziona BigQuery.
Tieni presente che il nome del provider di eventi utilizzato nella documentazioneGoogle Cloud associata potrebbe non avere un prefisso Cloud o Google Cloud. Ad esempio, nella console, Memorystore for Redis è indicato come Google Cloud Memorystore for Redis.
Nell'elenco Tipo di evento, seleziona un tipo di evento dagli eventi tramite audit log di Cloud.
Seleziona una delle seguenti opzioni:
- Qualsiasi risorsa: è l'opzione predefinita e include le risorse create dinamicamente con identificatori generati al momento della creazione.
- Risorsa specifica: devi fornire il nome completo della risorsa.
- Pattern del percorso: puoi filtrare le risorse utilizzando un pattern del percorso. Ad esempio, digita projects/_/buckets/eventarc-bucket/objects/random.txt o projects/_/buckets/**/r*.txt.
Per specificare la codifica del payload dell'evento, nell'elenco Tipo di contenuto dei dati dell'evento, seleziona application/json o application/protobuf.
Tieni presente che un payload evento formattato in JSON è più grande di uno formato in Protobuf. Ciò potrebbe influire sull'affidabilità a seconda della destinazione degli eventi e dei relativi limiti di dimensione. Per ulteriori informazioni, consulta la sezione Problemi noti.
Nell'elenco Regione, seleziona una regione.
Gli attivatori di Cloud Audit Logs per Eventarc sono disponibili in regioni specifiche e nella regione globale, ma non sono disponibili nelle località a due e più regioni. Per evitare problemi di rendimento e di residenza dei dati causati da un attivatore globale, Google consiglia di fare in modo che la località corrisponda a quella del Google Cloud servizio che genera gli eventi. Per ulteriori informazioni, consulta Località Eventarc.

Se specifichi la località globale, riceverai eventi da tutte le località che generano corrispondenze per i filtri evento. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi dalle risorse nelle multiregioni dell'UE e degli Stati Uniti.

Tieni presente che esiste un problema noto con gli attivatori dei log di controllo Cloud per Compute Engine che genera eventi provenienti da una singola regione: us-central1. Ciò avviene indipendentemente da dove si trova effettivamente l'istanza della macchina virtuale. Quando crei l'attivatore, imposta la posizione dell'attivatore su us-central1 o global.
Seleziona l'account di servizio che chiamerà il servizio o il flusso di lavoro.
In alternativa, puoi creare un nuovo account di servizio.

Specifica l'indirizzo email dell'account di servizio Identity and Access Management (IAM) associato all'attivatore e a cui hai precedentemente assegnato ruoli specifici richiesti da Eventarc.
Nell'elenco Destinazione evento, seleziona Cloud Run.
Seleziona un servizio.

Questo è il nome del servizio che riceve gli eventi per l'attivatore. Il servizio deve trovarsi nello stesso progetto dell'attivatore e riceverà gli eventi come richieste POST HTTP inviate al percorso dell'URL principale (/) ogni volta che viene generato.
Se vuoi, puoi specificare il percorso dell'URL del servizio a cui inviare la richiesta in entrata.
Si tratta del percorso relativo nel servizio di destinazione a cui devono essere inviati gli eventi per l'attivatore. Ad esempio: /, /route, route, route/subroute.
Fai clic su Crea.

Una volta creato un attivatore, i filtri delle origini evento non possono essere modificati. Crea invece un nuovo attivatore ed elimina quello precedente. Per saperne di più, consulta Gestire gli attivatori.

gcloud

Puoi creare un trigger eseguendo un gcloud eventarc triggers create comando insieme a flag obbligatori e facoltativi.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-run-service=DESTINATION_RUN_SERVICE \
    --destination-run-region=DESTINATION_RUN_REGION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Sostituisci quanto segue:

TRIGGER: l'ID dell'attivatore o un identificatore completamente qualificato.
LOCATION: la posizione dell'attivatore Eventarc. In alternativa, puoi impostare la proprietà eventarc/location, ad esempio gcloud config set eventarc/location us-central1.
Gli attivatori di Log di controllo di Cloud per Eventarc sono disponibili in regioni specifiche e nella regione globale, ma non sono disponibili nelle località con due regioni e più regioni. Per evitare problemi di rendimento e residenza dei dati causati da un attivatore globale, Google consiglia di fare in modo che la località corrisponda a quella del Google Cloud servizio che genera gli eventi. Per ulteriori informazioni, consulta Località Eventarc.

Se specifichi la località globale, riceverai eventi da tutte le località che generano corrispondenze per i filtri evento. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi dalle risorse nelle multiregioni UE e USA.

Tieni presente che esiste un problema noto con gli attivatori di Cloud Audit Logs per Compute Engine che genera eventi provenienti da una singola regione: us-central1. Ciò avviene indipendentemente da dove si trova effettivamente l'istanza della macchina virtuale. Quando crei il trigger, imposta la posizione del trigger su us-central1 o global.
DESTINATION_RUN_SERVICE: il nome del servizio Cloud Run che riceve gli eventi per l'attivatore. Il servizio può trovarsi in una delle località supportate da Cloud Run e non deve trovarsi nella stessa località dell'attivatore. Tuttavia, il servizio deve trovarsi nello stesso progetto dell'attivatore e riceverà gli eventi sotto forma di richieste HTTP POST inviate al percorso dell'URL di primo livello (/) ogni volta che viene generato l'evento.
DESTINATION_RUN_REGION: (facoltativo) la regione in cui si trova il servizio Cloud Run di destinazione. Se non viene specificato, si presume che il servizio si trovi nella stessa regione dell'attivatore.

SERVICE_NAME: l'identificatore del Google Cloud servizio
METHOD_NAME: l'identificatore dell'operazione

EVENT_DATA_CONTENT_TYPE: (facoltativo) la codifica del payload dell'evento. Può essere application/json o application/protobuf. La codifica predefinita è application/json.
Tieni presente che un payload evento formattato in JSON è più grande di uno formato in Protobuf. Ciò potrebbe influire sull'affidabilità a seconda della destinazione dell'evento e dei relativi limiti di dimensioni. Per ulteriori informazioni, consulta la sezione Problemi noti.
SERVICE_ACCOUNT_NAME: il nome del tuo account di servizio gestito dall'utente.
PROJECT_ID: il tuo Google Cloud ID progetto.

Note:

Questi flag sono obbligatori:
- --event-filters="type=google.cloud.audit.log.v1.written"
- --event-filters="serviceName=VALUE"
- --event-filters="methodName=VALUE"
Se vuoi, filtra gli eventi per una risorsa specifica utilizzando il flag --event-filters="resourceName=VALUE" e specificando il percorso completo della risorsa. Ometti il flag per le risorse create dinamicamente che hanno identificatori generati al momento della creazione. In alternativa, filtra gli eventi per un insieme di risorse utilizzando il flag --event-filters-path-pattern="resourceName=VALUE" e specificando il pattern del percorso della risorsa.

Ogni attivatore può avere più filtri evento, separati da virgola in un singolo --event-filters=[ATTRIBUTE=VALUE,…] --event-filtersoppure puoi ripetere il flag per aggiungere altri filtri. Solo gli eventi che corrispondono a tutti i filtri vengono inviati alla destinazione. I caratteri jolly e le espressioni regolari non sono supportati.
Una volta creato un attivatore, il tipo di filtro evento non può essere modificato. Per un tipo di evento diverso, devi creare un nuovo attivatore.
Il flag --service-account viene utilizzato per specificare l'indirizzo email dell'account di servizio Identity and Access Management (IAM) associato all'attivatore.
Facoltativamente, specifica un percorso relativo nel servizio Cloud Run di destinazione a cui devono essere inviati gli eventi per l'attivatore utilizzando il flag --destination-run-path.

Esempio:

  gcloud eventarc triggers create helloworld-trigger \
      --location=us-central1 \
      --destination-run-service=helloworld-events \
      --destination-run-region=us-central1 \
      --event-filters="type=google.cloud.audit.log.v1.written" \
      --event-filters="serviceName=bigquery.googleapis.com" \
      --event-filters="methodName=google.cloud.bigquery.v2.JobService.InsertJob" \
      --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Viene creato un trigger denominato helloworld-trigger per gli audit log scritti da bigquery.googleapis.com e per l'operazione identificata come google.cloud.bigquery.v2.JobService.InsertJob.

Terraform

Puoi creare un trigger per una destinazione Cloud Run utilizzando Terraform. Per maggiori dettagli, consulta Creare un attivatore utilizzando Terraform.

Elenca un trigger

Puoi confermare la creazione di un attivatore elencando gli attivatori Eventarc utilizzando Google Cloud CLI o la console Google Cloud.

Console

Nella console Google Cloud, vai alla pagina Eventarc Trigger.

Vai ai trigger

Questa pagina elenca gli attivatori in tutte le località e include dettagli come nomi, regioni, fornitori di eventi, destinazioni e altro ancora.
Per filtrare gli attivatori:
1. Fai clic su Filtro o sul campo Attivatori filtro.
2. Nell'elenco Proprietà, seleziona un'opzione in base alla quale filtrare gli attivatori.
Puoi selezionare una singola proprietà o utilizzare l'operatore logico OR per aggiungere altre proprietà.
Per ordinare gli attivatori, fai clic su Ordina accanto a un'intestazione di colonna supportata.

gcloud

Esegui il comando seguente per elencare gli attivatori:

gcloud eventarc triggers list --location=-

Questo comando elenca gli attivatori in tutte le località e include dettagli come nomi, tipi, destinazioni e stati.

Inoltra gli eventi dei log di controllo a Cloud Run

Prepararsi a creare un trigger

Console

gcloud

Crea un trigger

Console

gcloud

Terraform

Elenca un trigger

Console

gcloud

Passaggi successivi