Ein Eventarc-Trigger deklariert Ihr Interesse an einem bestimmten Ereignis oder einer Reihe von Ereignissen. Sie können die Weiterleitung von Ereignissen konfigurieren. Legen Sie dazu Filter für den Trigger fest, einschließlich der Ereignisquelle und des Zielortes.
Eventarc liefert Ereignisse über eine HTTP-Anfrage an den Ereignisempfänger im CloudEvents-Format.
In dieser Anleitung erfahren Sie, wie Sie das Ereignisrouting für alle Ereignistypen an einen internen HTTP-Endpunkt in einem VPC-Netzwerk (Virtual Private Cloud) konfigurieren. Zum Konfigurieren des Triggers müssen Sie auch eine Netzwerkanhang-ID angeben.
Folgende Ereignistypen werden unterstützt:
Direkte Ereignisse: Ausgelöst durch ein sofortiges Ereignis wie die Aktualisierung eines Objekts in einer Cloud Storage-Bucket oder eine in ein Pub/Sub-Thema veröffentlichte Nachricht.
Cloud-Audit-Logereignisse: Wird ausgelöst, wenn ein Log über Cloud-Audit-Logs erstellt wird
Drittanbieterereignisse: Wird durch die Ereignisse eines Nicht-Google-Anbieters ausgelöst, der eine Eventarc-Quelle bietet
Der interne HTTP-Endpunkt kann eine interne IP-Adresse oder ein voll qualifizierter DNS-Name (FQDN) für jeden HTTP-Endpunkt im Virtual Private Cloud-Netzwerk sein. Im Folgenden finden Sie zwei Beispiele für mögliche Ereignisziele:
- Eine Compute Engine-VM-Instanz: Compute Engine-Instanzen können die von Google bereitgestellten öffentlichen Images für Linux und Windows Server ausführen. Dasselbe gilt für private benutzerdefinierte Images, die Sie erstellen oder aus Ihren vorhandenen Systemen erstellen können. Weitere Informationen finden Sie unter VM-Instanzen.
- Ein interner Load Balancer: Ein interner Google Cloud Application Load Balancer ist ein proxybasierter, regionaler Layer-7-Load Balancer, mit dem Sie Ihre Dienste hinter einer internen IP-Adresse ausführen und skalieren können. Interne Application Load Balancer verteilen HTTP- und HTTPS-Traffic auf Back-Ends, die in Compute Engine, Google Kubernetes Engine (GKE) und Cloud Run gehostet werden. Weitere Informationen finden Sie unter Übersicht über internen Application Load Balancer.
Ein VPC-Netzwerk ist eine virtuelle Version eines physischen Netzwerks, die innerhalb des Produktionsnetzwerks von Google implementiert wurde. Ein freigegebenes VPC-Netzwerk ist ein VPC-Netzwerk, das in einem Hostprojekt definiert und als zentral freigegebenes Netzwerk für zulässige Ressourcen in Dienstprojekten zur Verfügung gestellt wird.
Ein Netzwerkanhang ist eine regionale Ressource, mit der Sie einen Ersteller explizit autorisieren, eine Verbindung zu einem Nutzer-VPC-Netzwerk herzustellen. Eventarc verwendet zum Veröffentlichen von Ereignissen den Netzwerkanhang, um eine Verbindung zum internen HTTP-Endpunkt herzustellen, der in einem VPC-Netzwerk gehostet wird.
Vorbereitung
Bevor Sie einen Eventarc-Trigger erstellen, um Ereignisse an einen internen HTTP-Endpunkt in einem VPC-Netzwerk weiterzuleiten, müssen Sie einen Netzwerkanhang erstellen, der Verbindungen im selben Netzwerk und in derselben Region zulässt, in der sich der HTTP-Zieldienst befindet.
In dieser Anleitung wird davon ausgegangen, dass Sie bereits ein VPC-Netzwerk und ein Subnetzwerk erstellt und Ihren HTTP-Zieldienst bereitgestellt haben.
Weitere Informationen finden Sie unter Pub/Sub-Ereignisse an einem internen HTTP-Endpunkt in einem VPC-Netzwerk empfangen. Darin wird die Bereitstellung eines internen HTTP-Endpunkts im VPC-Netzwerk und die Weiterleitung von Pub/Sub-Ereignissen an den Endpunkt veranschaulicht.
Bekannte Einschränkungen
Folgende Einschränkungen sind bekannt, wenn Ereignisse an einen internen HTTP-Endpunkt in einem VPC-Netzwerk gesendet werden:
Sie können nicht mehr als einen Eventarc-Trigger für denselben DNS-Namen erstellen.
Pro Projekt sind maximal 100 Eventarc-Trigger für interne HTTP-Endpunkte zulässig.
Es werden nur die folgenden Eventarc-Trigger-Standorte unterstützt:
asia-east1
europe-north1
europe-west1
us-central1
us-east1
Erstellung eines Triggers vorbereiten
Bevor Sie einen Trigger erstellen, müssen Sie folgende Voraussetzungen erfüllen:
Console
Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
Aktivieren Sie die Cloud Logging und Eventarc APIs.
Aktivieren Sie gegebenenfalls die API, die mit den direkten Ereignissen verbunden ist. Aktivieren Sie beispielsweise für Cloud Run Functions-Ereignisse
cloudfunctions.googleapis.com
.Falls noch nicht geschehen, erstellen Sie ein nutzerverwaltetes Dienstkonto und weisen Sie ihm die erforderlichen Rollen und Berechtigungen zu, damit Eventarc Ereignisse für Ihren Zieldienst verwalten kann.
Wechseln Sie in der Google Cloud Console zur Seite Dienstkonto erstellen.
Wählen Sie Ihr Projekt aus.
Geben Sie im Feld Dienstkontoname einen Namen ein. Die Google Cloud Console füllt das Feld Dienstkonto-ID anhand dieses Namens aus.
Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel:
Service account for event trigger
Klicken Sie auf Erstellen und fortfahren.
Wählen Sie in der Liste Rolle auswählen die erforderlichen IAM-Rollen (Identitäts- und Zugriffsverwaltung) aus, die Ihrem Dienstkonto zugewiesen werden sollen. Weitere Informationen finden Sie unter Rollen und Berechtigungen für einen internen HTTP-Endpunkt in einem VPC-Netzwerk.
Klicken Sie auf
Weitere Rolle hinzufügen, um weitere Rollen hinzuzufügen.Klicken Sie auf Weiter.
Klicken Sie zum Abschließen der Erstellung des Kontos auf Fertig.
Wenn Sie einen Trigger für direkte Ereignisse aus Cloud Storage erstellen, weisen Sie dem Cloud Storage-Dienst-Agent die Pub/Sub-Publisher-Rolle (
roles/pubsub.publisher
) zu:Öffnen Sie in der Google Cloud Console die Seite IAM.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Suchen Sie im´Hauptkonto nach dem Cloud Storage-Dienst-Agent im Formular
service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com
und klicken in der entsprechenden Zeile dann auf Hauptkonto bearbeiten.Klicken Sie entweder auf
Rolle hinzufügen oder Weitere Rolle hinzufügen.Filtern Sie in der Liste Rolle auswählen nach Pub/Sub-Publisher und wählen Sie dann die Rolle aus.
Klicken Sie auf Speichern.
Wenn der URI des internen HTTP-Endpunkts im VPC-Netzwerk den internen DNS-Namen eines Dienstes verwendet, der von Cloud DNS aufgelöst werden kann, erteilen Sie die dem Eventarc-Dienst-Agenten die DNS Peer-Rolle (
roles/dns.peer
) im VPC-Hostprojekt.Beachten Sie, dass das VPC-Hostprojekt je nach Konfiguration des VPC-Netzwerks auch Ihr Eventarc-Trigger-Projekt sein kann.
Wählen Sie in der Google Cloud Console auf der Projektauswahlseite das VPC-Hostprojekt aus.
Öffnen Sie in der Google Cloud Console die Seite IAM.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Ändern oder fügen Sie den Eventarc-Dienst-Agent als Hauptkonto hinzu:
Wenn der Eventarc-Dienst-Agent bereits andere Rollen für das Projekt hat, suchen Sie die Zeile mit dem Hauptkonto im Format
service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com
und klicken Sie auf Hauptkonto bearbeiten in dieser Zeile und klicken Sie auf Weitere Rolle hinzufügen.Wenn der Eventarc-Dienst-Agent keine Rollen für das Projekt hat, klicken Sie auf
Zugriff gewähren, geben Sie dann die E-Mail-Adresse in das Formularservice-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com
ein.
Ersetzen Sie
PROJECT_NUMBER
durch die Google Cloud-Projektnummer für Ihr Eventarc-Trigger-Projekt. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Filtern Sie in der Liste Rolle auswählen nach DNS-Peer und wählen Sie dann die Rolle aus.
Klicken Sie auf Speichern.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Aktivieren Sie die Cloud Logging, Eventarc und Eventarc Publishing APIs.
gcloud services enable logging.googleapis.com \ eventarc.googleapis.com \ eventarcpublishing.googleapis.com
Aktivieren Sie gegebenenfalls die API, die mit den Ereignissen verbunden ist. Aktivieren Sie beispielsweise für Cloud Run Functions-Ereignisse
cloudfunctions.googleapis.com
.Falls noch nicht geschehen, erstellen Sie ein nutzerverwaltetes Dienstkonto und weisen Sie ihm die erforderlichen Rollen und Berechtigungen zu, damit Eventarc Ereignisse für Ihren Zieldienst verwalten kann.
Erstellen Sie das Dienstkonto:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Ersetzen Sie
SERVICE_ACCOUNT_NAME
durch den Namen des Dienstkontos. Der Name des Dienstkontos muss zwischen 6 und 30 Zeichen lang sein und darf alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten. Nachdem Sie ein Dienstkonto erstellt haben, können Sie den Namen nicht mehr ändern.Erteilen Sie die erforderlichen IAM-Rollen oder -Berechtigungen (Identity and Access Management). Weitere Informationen finden Sie unter Rollen und Berechtigungen für einen internen HTTP-Endpunkt in einem VPC-Netzwerk.
Wenn der URI des internen HTTP-Endpunkts im VPC-Netzwerk den internen DNS-Namen eines Dienstes verwendet, der von Cloud DNS aufgelöst werden kann, erteilen Sie die dem Eventarc-Dienst-Agenten die RolleDNS Peer (
roles/dns.peer
) im VPC-Hostprojekt.Beachten Sie, dass das VPC-Hostprojekt je nach Konfiguration des VPC-Netzwerks auch Ihr Eventarc-Trigger-Projekt sein kann.
gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com \ --role=roles/dns.peer
Ersetzen Sie dabei Folgendes:
VPC_HOST_PROJECT_ID
: die Google Cloud-Projekt-ID für das VPC-Hostprojekt.PROJECT_NUMBER
: die Google Cloud-Projektnummer für Ihr Eventarc-Trigger-Projekt. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
Wenn Sie einen Trigger für direkte Ereignisse aus Cloud Storage erstellen, erteilen Sie dem Cloud Storage-Dienst-Agenten die Rolle Pub/Sub-Publisher (
roles/pubsub.publisher
) für das Projekt:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com \ --role=roles/pubsub.publisher
Trigger erstellen
Sie können einen Eventarc-Trigger mit der Google Cloud CLI oder über die Google Cloud Console erstellen.
Console
- Rufen Sie in der Google Cloud Console die Seite mit den Eventarc-Triggern auf.
- Klicken Sie auf Trigger erstellen.
- Geben Sie einen Triggernamen ein.
Dies ist die ID des Triggers. Sie muss mit einem Buchstaben beginnen. Sie kann bis zu 63 Kleinbuchstaben, Ziffern oder Bindestriche enthalten.
- Wählen Sie als Triggertyp die Option Google-Quellen oder Drittanbieter aus.
- Wählen Sie einen Ereignisanbieter aus.
Dies ist der Dienst, der die Ereignisquelle bildet. Bei einer Google-Quelle geschieht dies entweder direkt oder über die Audit-Logs.
- Führen Sie je nach Ereignistyp, den Sie weiterleiten, einen der folgenden Schritte aus:
- Direkte Ereignisse: Wählen Sie in der Liste Ereignistyp unter Direkte Ereignisse einen Ereignistyp aus.
- Bei direkten Cloud Pub/Sub-Ereignissen wählen Sie in der Liste Cloud Pub/Sub-Thema auswählen ein Thema aus oder übernehmen den Standardwert Kein Thema. Ein neues Thema wird für Sie erstellt.
- Geben Sie für direkte Cloud Storage-Ereignisse die global eindeutige Kennung des Cloud Storage-Buckets an oder suchen Sie danach.
- Wählen Sie in der Liste Ereignistyp aus den Ereignissen von via Cloud-Audit-Log einen Ereignistyp aus und wählen Sie dann eine der folgenden Optionen:
- Beliebige Ressource: Dies ist die Standardeinstellung und enthält dynamisch erstellte Ressourcen, deren Kennungen bei der Erstellung generiert wurden.
- Bestimmte Ressource: Sie müssen den vollständigen Ressourcennamen angeben.
- Pfadmuster: Sie können mithilfe eines Pfadmusters nach Ressourcen filtern.
Geben Sie beispielsweise
projects/_/buckets/eventarc-bucket/objects/random.txt
oderprojects/_/buckets/**/r*.txt
ein.
- Drittanbieter-Ereignisse: Wählen Sie in der Liste Kanal einen Kanal und dann in der Liste Ereignistyp ein Ereignis aus.
Weitere Informationen finden Sie unter Kanal erstellen und Details abrufen.
- Direkte Ereignisse: Wählen Sie in der Liste Ereignistyp unter Direkte Ereignisse einen Ereignistyp aus.
- Wählen Sie gegebenenfalls für den Ereignistyp in der Liste Inhaltstyp der Ereignisdaten die Option application/json oder application/protobuf aus, um die Codierung der Ereignisnutzlast anzugeben.
Beachten Sie, dass eine im JSON-Format formatierte Ereignisnutzlast größer als eine in Protobuf formatierte ist. Dies kann sich auf die Zuverlässigkeit auswirken, je nach Ereignisziel und Limits der Ereignisgröße. Weitere Informationen finden Sie unter Bekannte Probleme.
- Klicken Sie, sofern für den Ereignisanbieter zutreffend, auf Filter hinzufügen und geben Sie Folgendes an:
- Wählen Sie im Feld Attribut 1 je nach ausgewähltem direktem Ereignis eine Ressourcen-ID aus, die als Ereignisfilter dienen kann.
- Wählen Sie einen Operator aus:
- Gleich
- Pfadmuster
Weitere Informationen finden Sie unter Informationen zu Pfadmustern.
- Geben Sie im Feld Attributwert 1 je nach ausgewähltem Operator den genauen Wert ein oder wenden Sie ein Pfadmuster an.
- Wenn ein Feld Attribut 2 vorhanden ist, geben Sie die entsprechenden Werte an.
- Wählen Sie in der Liste Region eine Region aus.
Zur Vermeidung von Leistungs- und Datenstandortproblemen muss der Standort mit dem Standort des Google Cloud-Dienstes übereinstimmen, der die Ereignisse generiert.
Für dieses Ereignisziel werden nur die folgenden Standorte unterstützt:
asia-east1
europe-north1
europe-west1
us-east1
Weitere Informationen finden Sie unter Eventarc-Standorte.
- Wählen Sie das Dienstkonto aus, das Ihren Dienst aufruft.
Alternativ können Sie ein neues Dienstkonto erstellen.
Dies gibt die E-Mail-Adresse des IAM-Dienstkontos an, die dem Trigger zugeordnet ist und dem Sie zuvor bestimmte Rollen zugewiesen haben, die für Eventarc erforderlich sind.
- Wählen Sie in der Liste Ereignisziel die Option HTTP-Endpunkt (intern) aus.
- Geben Sie den Ziel-URI an. Dies ist der URI des internen HTTP-Endpunkts im VPC-Netzwerk, der die Ereignisse für den Trigger empfängt. Der URI kann entweder eine statische interne IP-Adresse im VPC-Netzwerk sein, die über den Netzwerkanhang adressiert ist, oder der interne DNS-Name eines Dienstes, der von Cloud DNS aufgelöst werden kann.
Wenn der HTTP-Endpunkt einen internen DNS-Namen verwendet, erstellt Eventarc automatisch DNS-Peering-Zonen und leitet DNS-Anfragen an die DNS-Zonen im Ziel-VPC-Netzwerk weiter. Mit DNS-Peering können Sie Anfragen für Einträge aus dem Namespace einer bestimmten Zone an ein anderes VPC-Netzwerk senden. Weitere Informationen finden Sie unter Peering-Zonen und Peering-Zone erstellen.
Sie können nicht mehr als einen Trigger für denselben DNS-Namen erstellen.
- Wählen Sie in der Liste Netzwerkanwendung eine Kennung für die Netzwerkanwendungsressource aus. Diese Kennung wird generiert, nachdem Sie einen Netzwerkanhang erstellen. Weitere Informationen finden Sie unter Netzwerkanhänge erstellen.
Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren. Eventarc verwendet den Netzwerkanhang, um eine Verbindung zum internen HTTP-Endpunkt herzustellen, der im VPC-Netzwerk des Nutzers gehostet wird, und veröffentlicht Ereignisse.
Wenn Sie einen Netzwerkanhang erstellen, können Sie eine Verbindung über Ersteller-Zulassungs- und -Ablehnungslisten autorisieren; unabhängig davon, ob Eventarc die Annahmeliste eines Netzwerks mit der entsprechenden Projekt-ID und ohne Eingriff auf Ihre Rolle autorisieren kann.
- Geben Sie den Ziel-URI an. Dies ist der URI des internen HTTP-Endpunkts im VPC-Netzwerk, der die Ereignisse für den Trigger empfängt. Der URI kann entweder eine statische interne IP-Adresse im VPC-Netzwerk sein, die über den Netzwerkanhang adressiert ist, oder der interne DNS-Name eines Dienstes, der von Cloud DNS aufgelöst werden kann.
- Klicken Sie auf Erstellen.
Nachdem ein Trigger erstellt wurde, können die Ereignisquellenfilter nicht mehr geändert werden. Erstellen Sie stattdessen einen neuen Trigger und löschen Sie den alten. Weitere Informationen finden Sie unter Trigger verwalten.
gcloud
Wenn Sie einen gcloud eventarc triggers create
-Befehl zusammen mit den erforderlichen und optionalen Flags ausführen, können Sie einen Trigger erstellen.
Direkte Ereignisse
gcloud eventarc triggers create TRIGGER \ --location=LOCATION \ --destination-http-endpoint-uri=ENDPOINT_URI \ --network-attachment=NETWORK_ATTACHMENT_ID \ --event-filters="type=EVENT_FILTER_TYPE" \ --event-filters="COLLECTION_ID=RESOURCE_ID" \ --event-filters-path-pattern="COLLECTION_ID=PATH_PATTERN" \ --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
Ersetzen Sie dabei Folgendes:
TRIGGER
: ID des Triggers oder eine voll qualifizierte Kennzeichnung.LOCATION
: der Standort des Eventarc-Triggers. Alternativ können Sie das Attributeventarc/location
festlegen. Beispiel:gcloud config set eventarc/location us-central1
.Zur Vermeidung von Leistungs- und Datenstandortproblemen muss der Standort mit dem Standort des Google Cloud-Dienstes übereinstimmen, der die Ereignisse generiert.
Für dieses Ereignisziel werden nur die folgenden Standorte unterstützt:
asia-east1
europe-north1
europe-west1
us-central1
us-east1
Weitere Informationen finden Sie unter Eventarc-Standorte.
ENDPOINT_URI
: URI des internen HTTP- Endpunkts im VPC-Netzwerk, das die Ereignisse für den Trigger empfängt. Der URI kann entweder eine statische interne IP-Adresse im VPC-Netzwerk sein, die vom Netzwerkanhang behandelt wird, oder der interne DNS-Name eines Dienstes, der von Cloud DNS aufgelöst werden kann.Wenn der HTTP-Endpunkt einen internen DNS-Namen verwendet, erstellt Eventarc automatisch DNS-Peering-Zonen und leitet DNS-Anfragen an die DNS-Zonen im Ziel-VPC-Netzwerk weiter. Mit DNS-Peering können Sie Anfragen für Einträge aus dem Namespace einer bestimmten Zone an ein anderes VPC-Netzwerk senden. Weitere Informationen finden Sie unter Peering-Zonen und Peering-Zone erstellen.
Sie können nicht mehr als einen Trigger für denselben DNS-Namen erstellen.
NETWORK_ATTACHMENT_ID
: eindeutige Kennung für Die Ressource des Netzwerkanhangs. Die Kennung wird generiert, nachdem Sie einen Netzwerkanhang erstellt haben. Weitere Informationen finden Sie unter Netzwerkanhänge erstellen.Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren. Eventarc verwendet den Netzwerkanhang, um eine Verbindung zum internen HTTP-Endpunkt herzustellen, der im VPC-Netzwerk des Nutzers gehostet wird, und veröffentlicht Ereignisse.
Wenn Sie einen Netzwerkanhang erstellen, können Sie eine Verbindung über Ersteller-Zulassungs- und -Ablehnungslisten autorisieren; unabhängig davon, ob Eventarc die Annahmeliste eines Netzwerks mit der entsprechenden Projekt-ID und ohne Eingriff auf Ihre Rolle autorisieren kann.
EVENT_FILTER_TYPE
: die Kennzeichnung des Ereignisses. Ein Ereignis wird generiert, wenn ein API-Aufruf für die Methode erfolgreich ist. Bei lang andauernden Vorgängen wird das Ereignis nur am Ende des Vorgangs generiert und nur dann, wenn die Aktion erfolgreich ausgeführt wird. Zur Liste der untersützten direkten Ereignistypen.COLLECTION_ID
(optional): die Ressourcenkomponente, die als Ereignisfilter fungieren kann. Bei Cloud Run Functions ist das beispielsweisefunction
.RESOURCE_ID
: die Kennzeichnung der Ressource, die als Filterwert für die zugehörige Sammlung verwendet wird. Weitere Informationen finden Sie unter Ressourcen-ID.PATH_PATTERN
: das Pfadmuster, das beim Filtern nach der Ressource angewendet werden soll.SERVICE_ACCOUNT_NAME
: der Name Ihres nutzerverwalteten Dienstkontos.PROJECT_ID
: Ihre Google Cloud-Projekt-ID
Hinweise:
- Das Flag
--event-filters="type=EVENT_FILTER_TYPE"
ist erforderlich. Wenn kein anderer Ereignisfilter festgelegt ist, werden Ereignisse für alle Ressourcen abgeglichen. EVENT_FILTER_TYPE
kann nach dem Erstellen nicht mehr geändert werden. Wenn SieEVENT_FILTER_TYPE
ändern möchten, erstellen Sie einen neuen Trigger und löschen Sie den alten.- Jeder Trigger kann mehrere Ereignisfilter haben, die durch Komms in einem
--event-filters
=[ATTRIBUTE
=VALUE
,...]-Flag getrennt sind. Sie können das Flag aber auch wiederholen, um weitere Filter hinzuzufügen. Nur Ereignisse, die mit allen Filtern übereinstimmen, werden an das Ziel gesendet. Platzhalter und reguläre Ausdrücke werden nicht unterstützt. Mit dem Flag--event-filters-path-pattern
können Sie jedoch ein Pfadmuster für Ressourcen definieren. - Mit dem Flag
--service-account
wird die E-Mail-Adresse des IAM-Dienstkontos angegeben, das mit dem Trigger verknüpft ist.
Beispiel:
gcloud eventarc triggers create helloworld-trigger \ --location=us-central1 \ --destination-http-endpoint-uri=http://my-vm.us-central1-a.c.my-project.internal \ --network-attachment="projects/my-project/regions/us-central1/networkAttachments/my-attachment-name" \ --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \ --service-account=my-service-account@my-project.iam.gserviceaccount.com
Audit-Log-Ereignisse
gcloud eventarc triggers create TRIGGER \ --location=LOCATION \ --destination-http-endpoint-uri=ENDPOINT_URI \ --network-attachment=NETWORK_ATTACHMENT_ID \ --event-filters="type=google.cloud.audit.log.v1.written" \ --event-filters="serviceName=SERVICE_NAME" \ --event-filters="methodName=METHOD_NAME" \ --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
Ersetzen Sie dabei Folgendes:
TRIGGER
: ID des Triggers oder eine voll qualifizierte Kennzeichnung.LOCATION
: der Standort des Eventarc-Triggers. Alternativ können Sie das Attributeventarc/location
festlegen. Beispiel:gcloud config set eventarc/location us-central1
.Zur Vermeidung von Leistungs- und Datenstandortproblemen muss der Standort mit dem Standort des Google Cloud-Dienstes übereinstimmen, der die Ereignisse generiert. Die folgenden Standorte werden unterstützt.
asia-east1
europe-north1
europe-west1
us-central1
us-east1
Weitere Informationen finden Sie unter Eventarc-Standorte.
ENDPOINT_URI
: URI des internen HTTP- Endpunkts im VPC-Netzwerk, das die Ereignisse für den Trigger empfängt. Der URI kann entweder eine statische interne IP-Adresse im VPC-Netzwerk sein, die vom Netzwerkanhang behandelt wird, oder der interne DNS-Name eines Dienstes, der von Cloud DNS aufgelöst werden kann.Wenn der HTTP-Endpunkt einen internen DNS-Namen verwendet, erstellt Eventarc automatisch DNS-Peering-Zonen und leitet DNS-Anfragen an die DNS-Zonen im Ziel-VPC-Netzwerk weiter. Mit DNS-Peering können Sie Anfragen für Einträge aus dem Namespace einer bestimmten Zone an ein anderes VPC-Netzwerk senden. Weitere Informationen finden Sie unter Peering-Zonen und Peering-Zone erstellen.
Sie können nicht mehr als einen Trigger für denselben DNS-Namen erstellen.
NETWORK_ATTACHMENT_ID
: eindeutige Kennung für Die Ressource des Netzwerkanhangs. Die Kennung wird generiert, nachdem Sie einen Netzwerkanhang erstellt haben. Weitere Informationen finden Sie unter Netzwerkanhänge erstellen.Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren. Eventarc verwendet den Netzwerkanhang, um eine Verbindung zum internen HTTP-Endpunkt herzustellen, der im VPC-Netzwerk des Nutzers gehostet wird, und veröffentlicht Ereignisse.
Wenn Sie einen Netzwerkanhang erstellen, können Sie eine Verbindung über Ersteller-Zulassungs- und -Ablehnungslisten autorisieren; unabhängig davon, ob Eventarc die Annahmeliste eines Netzwerks mit der entsprechenden Projekt-ID und ohne Eingriff auf Ihre Rolle autorisieren kann.
SERVICE_NAME
: ist die Kennzeichnung des Google Cloud-Dienstes. Liste der unterstützten Audit-LogereignisseMETHOD_NAME
: Die Kennzeichnung des Vorgangs. Liste der unterstützten Audit-LogereignisseSERVICE_ACCOUNT_NAME
: der Name Ihres nutzerverwalteten Dienstkontos.PROJECT_ID
: Ihre Google Cloud-Projekt-ID
Hinweise:
- Diese Flags sind erforderlich:
--event-filters="type=google.cloud.audit.log.v1.written"
--event-filters="serviceName=VALUE"
--event-filters="methodName=VALUE"
- Optional können Sie Ereignisse für eine bestimmte Ressource filtern. Verwenden Sie dazu das Flag
--event-filters="resourceName=VALUE"
und geben Sie den vollständigen Pfad zur Ressource an. Lassen Sie das Flag für dynamisch erstellte Ressourcen weg, deren Kennzeichnungen zur Erstellungszeit generiert werden. Alternativ können Sie Ereignisse für eine Reihe von Ressourcen filtern, wenn Sie das Flag--event-filters-path-pattern="resourceName=VALUE"
verwenden und das Muster für den Ressourcenpfad angeben. - Jeder Trigger kann mehrere Ereignisfilter haben, die durch Komms in einem
--event-filters
=[ATTRIBUTE
=VALUE
,...]-Flag getrennt sind. Sie können das Flag aber auch wiederholen, um weitere Filter hinzuzufügen. Nur Ereignisse, die mit allen Filtern übereinstimmen, werden an das Ziel gesendet. Platzhalter und reguläre Ausdrücke werden nicht unterstützt. Mit dem Flag--event-filters-path-pattern
können Sie jedoch ein Pfadmuster für Ressourcen definieren. - Nachdem ein Trigger erstellt wurde, kann der Ereignisfiltertyp nicht mehr geändert werden. Für einen anderen Ereignistyp müssen Sie einen neuen Trigger erstellen.
- Mit dem Flag
--service-account
wird die E-Mail-Adresse des IAM-Dienstkontos angegeben, das mit dem Trigger verknüpft ist.
Beispiel:
gcloud eventarc triggers create helloworld-trigger \ --location=us-central1 \ --destination-http-endpoint-uri=http://10.10.10.2 \ --network-attachment="projects/my-project/regions/us-central1/networkAttachments/my-attachment" \ --event-filters="type=google.cloud.audit.log.v1.written" \ --event-filters="serviceName=eventarc.googleapis.com" \ --event-filters="methodName=google.cloud.eventarc.v1.Eventarc.GetTrigger" \ --event-filters="resourceName=projects/my-project/locations/us-central1/triggers/my-trigger" \ --service-account=my-service-account@my-project.iam.gserviceaccount.com
Drittanbieterereignisse
gcloud eventarc triggers create TRIGGER \ --location=LOCATION \ --destination-http-endpoint-uri=ENDPOINT_URI \ --network-attachment=NETWORK_ATTACHMENT_ID \ --event-filters="type=EVENT_FILTER_TYPE" \ --channel=CHANNEL_NAME \ --project=PROJECT_ID \ --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
Ersetzen Sie dabei Folgendes:
TRIGGER
: ID des Triggers oder eine voll qualifizierte Kennzeichnung.LOCATION
: der Standort des Eventarc-Triggers. Alternativ können Sie das Attributeventarc/location
festlegen. Beispiel:gcloud config set eventarc/location us-central1
.Zur Vermeidung von Leistungs- und Datenstandortproblemen muss der Standort mit dem Standort des Google Cloud-Dienstes übereinstimmen, der die Ereignisse generiert.
Für dieses Ereignisziel werden nur die folgenden Standorte unterstützt:
asia-east1
europe-north1
europe-west1
us-central1
us-east1
Weitere Informationen finden Sie unter Eventarc-Standorte.
ENDPOINT_URI
: URI des internen HTTP- Endpunkts im VPC-Netzwerk, das die Ereignisse für den Trigger empfängt. Der URI kann entweder eine statische interne IP-Adresse im VPC-Netzwerk sein, die vom Netzwerkanhang behandelt wird, oder der interne DNS-Name eines Dienstes, der von Cloud DNS aufgelöst werden kann.Wenn der HTTP-Endpunkt einen internen DNS-Namen verwendet, erstellt Eventarc automatisch DNS-Peering-Zonen und leitet DNS-Anfragen an die DNS-Zonen im Ziel-VPC-Netzwerk weiter. Mit DNS-Peering können Sie Anfragen für Einträge aus dem Namespace einer bestimmten Zone an ein anderes VPC-Netzwerk senden. Weitere Informationen finden Sie unter Peering-Zonen und Peering-Zone erstellen.
Sie können nicht mehr als einen Trigger für denselben DNS-Namen erstellen.
NETWORK_ATTACHMENT_ID
: eindeutige Kennung für Die Ressource des Netzwerkanhangs. Die Kennung wird generiert, nachdem Sie einen Netzwerkanhang erstellt haben. Weitere Informationen finden Sie unter Netzwerkanhänge erstellen.Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren. Eventarc verwendet den Netzwerkanhang, um eine Verbindung zum internen HTTP-Endpunkt herzustellen, der im VPC-Netzwerk des Nutzers gehostet wird, und veröffentlicht Ereignisse.
Wenn Sie einen Netzwerkanhang erstellen, können Sie eine Verbindung über Ersteller-Zulassungs- und -Ablehnungslisten autorisieren; unabhängig davon, ob Eventarc die Annahmeliste eines Netzwerks mit der entsprechenden Projekt-ID und ohne Eingriff auf Ihre Rolle autorisieren kann.
EVENT_FILTER_TYPE
: die vom Anbieter unterstützte Ereignisart. Liste der unterstützten Ereignistypen von DrittanbieternCHANNEL_NAME
: Ein Name für den Channel. Weitere Informationen finden Sie unter Kanal erstellen und Details abrufenPROJECT_ID
: Ihre Google Cloud-Projekt-IDSERVICE_ACCOUNT_NAME
: der Name Ihres nutzerverwalteten Dienstkontos.
Hinweise:
- Das Flag
--event-filters="type=EVENT_FILTER_TYPE"
ist erforderlich. Wenn kein anderer Ereignisfilter festgelegt ist, werden Ereignisse für alle Ressourcen abgeglichen. EVENT_FILTER_TYPE
kann nach dem Erstellen nicht mehr geändert werden. Wenn SieEVENT_FILTER_TYPE
ändern möchten, erstellen Sie einen neuen Trigger und löschen Sie den alten.- Jeder Trigger kann mehrere Ereignisfilter haben, die durch Komms in einem
--event-filters
=[ATTRIBUTE
=VALUE
,...]-Flag getrennt sind. Sie können das Flag aber auch wiederholen, um weitere Filter hinzuzufügen. Nur Ereignisse, die mit allen Filtern übereinstimmen, werden an das Ziel gesendet. Platzhalter und reguläre Ausdrücke werden nicht unterstützt. - Mit dem Flag
--service-account
wird die E-Mail-Adresse des IAM-Dienstkontos angegeben, das mit dem Trigger verknüpft ist.
Beispiel:
gcloud eventarc triggers create helloworld-trigger \ --location=us-central1 \ --destination-http-endpoint-uri=http://my-vm.us-central1-a.c.my-project.internal \ --network-attachment="projects/my-project/regions/us-central1/networkAttachments/my-attachment-name" \ --event-filters="type=third-party-event-type" \ --channel=my-channel \ --project=my-project-ID \ --service-account=my-service-account@my-project.iam.gserviceaccount.com
Trigger auflisten
Sie können die Erstellung eines Triggers bestätigen, indem Sie Eventarc-Trigger mit der Google Cloud CLI oder über die Google Cloud Console auflisten.
Console
Rufen Sie in der Google Cloud Console die Seite mit den Eventarc-Triggern auf.
Auf dieser Seite werden Ihre Trigger an allen Standorten aufgelistet. Außerdem enthält sie Details wie Namen, Regionen, Ereignisanbieter, Ziele usw.
So filtern Sie die Trigger:
- Klicken Sie auf Filter oder das Feld Trigger filtern.
- Wählen Sie in der Liste Attribute eine Option aus, nach der die Trigger gefiltert werden sollen.
Sie können ein einzelnes Attribut auswählen oder den logischen Operator
OR
verwenden, um weitere Attribute hinzuzufügen.Klicken Sie zum Sortieren der Trigger neben jeder unterstützten Spaltenüberschrift auf
Sortieren.
gcloud
Führen Sie den folgenden Befehl aus, um die Trigger aufzulisten:
gcloud eventarc triggers list --location=-
Dieser Befehl listet Ihre Trigger an allen Standorten auf und enthält Details wie Namen, Typen, Ziele und Status.
Nächste Schritte
- Eventarc-Übersicht
- Trigger verwalten
- Pub/Sub-Ereignisse an einem internen HTTP-Endpunkt in einem VPC-Netzwerk empfangen
- Anleitung: Pub/Sub-Ereignisse an einem privaten HTTP-Endpunkt in einem privaten GKE-Cluster empfangen