En esta página se explica cómo crear un activador de Eventarc para que un servicio de Cloud Run pueda recibir eventos de otro servicio. Google Cloud
Eventarc es un servicio que te permite crear arquitecturas basadas en eventos sin tener que implementar, personalizar ni mantener la infraestructura subyacente. Google Cloud
Puedes crear un activador de Eventarc especificando filtros para el activador y configurando el enrutamiento del evento, incluida la fuente del evento y el servicio de Cloud Run de destino. Cuando el evento o el conjunto de eventos especificados coinciden con los filtros, se invoca automáticamente el servicio de Cloud Run en respuesta a los eventos. Un servicio que usa activadores de Eventarc se denomina servicio basado en eventos. Los eventos enviados a tu servicio de Cloud Run se reciben en forma de solicitudes HTTP.
Los siguientes tipos de eventos activan solicitudes a tu servicio:
- Se crea un registro de auditoría que coincide con los criterios de filtro del activador.
- Eventos directos como una actualización de un segmento de Cloud Storage
- Mensajes directos publicados en un tema de Pub/Sub
También puedes crear un activador de Eventarc mediante la CLI de Google Cloud o la página de la consola de Eventarc. Para obtener instrucciones sobre cómo crear un activador para un proveedor, un tipo de evento y un destino específicos, filtre la lista para obtener más información sobre los proveedores y destinos de eventos de Eventarc.
Ubicación de activación
Cuando creas un activador de Eventarc, debes especificar una ubicación. Debe coincidir con la ubicación del recurso Google Cloud del que quieras monitorizar los eventos. En la mayoría de los casos, también debes desplegar tu servicio de Cloud Run basado en eventos en la misma región. Para obtener más información, consulta ¿Qué son las ubicaciones de Eventarc?
Identidad de activador
La cuenta de servicio de tu activador de Eventarc debe tener permiso para invocar tu servicio. Es posible que tengas que verificar que la cuenta de servicio predeterminada de Compute Engine tiene los permisos correctos para invocar tu servicio. Para obtener más información, consulta Roles obligatorios.
Antes de empezar
Asegúrate de haber configurado un proyecto para Cloud Run tal como se describe en la página de configuración.
Habilita las APIs Artifact Registry, Cloud Build, Cloud Run Admin y Eventarc:
Roles obligatorios
Tú o tu administrador debéis conceder a la cuenta de implementación, a la identidad del activador y, opcionalmente, al agente de servicio de Pub/Sub los siguientes roles de gestión de identidades y accesos.
Roles necesarios para la cuenta de implementación
Para obtener los permisos que necesitas para configurar los activadores de Eventarc, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:
-
Editor de Cloud Build (
roles/cloudbuild.builds.editor) -
Administrador de Cloud Run (
roles/run.admin) -
Administrador de Eventarc (
roles/eventarc.admin) -
Usuario con permiso para ver registros (
roles/logging.viewAccessor) -
Administrador de gestión de identidades y accesos del proyecto (
roles/resourcemanager.projectIamAdmin) -
Administrador de cuentas de servicio (
roles/iam.serviceAccountAdmin) -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) -
Administrador de Uso de Servicio (
roles/serviceusage.serviceUsageAdmin)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Ten en cuenta que, de forma predeterminada, los permisos de Cloud Build incluyen permisos para subir y descargar artefactos de Artifact Registry.
Roles necesarios para la identidad del activador
Anota la cuenta de servicio predeterminada de Compute Engine, ya que la asociarás a un activador de Eventarc para representar la identidad del activador con fines de prueba. Esta cuenta de servicio se crea automáticamente después de habilitar o usar un servicio que utilice Compute Engine y tiene el siguiente formato de correo electrónico: Google Cloud
PROJECT_NUMBER-compute@developer.gserviceaccount.com
Sustituye
PROJECT_NUMBERpor el número de tu proyecto. Google Cloud Puedes encontrar el número de tu proyecto en la página Bienvenido de la consola Google Cloud o ejecutando el siguiente comando:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
En los entornos de producción, te recomendamos que crees una cuenta de servicio y le asignes uno o varios roles de IAM que contengan los permisos mínimos necesarios y que sigas el principio de privilegio mínimo.
- De forma predeterminada, solo los propietarios y editores de proyectos, así como los administradores y los invocadores de Cloud Run, pueden llamar a los servicios de Cloud Run.
Puedes controlar el acceso por servicio. Sin embargo, para hacer pruebas, otorga el rol Invocador de Cloud Run (
run.invoker) en el proyecto Google Cloud a la cuenta de servicio de Compute Engine. Concede el rol en todos los servicios y trabajos de Cloud Run de un proyecto.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/run.invoker
Ten en cuenta que, si creas un activador para un servicio de Cloud Run autenticado sin conceder el rol Invocador de Cloud Run, el activador se creará correctamente y estará activo. Sin embargo, el activador no funcionará como se espera y aparecerá un mensaje similar al siguiente en los registros:
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - Concede el rol Receptor de eventos de Eventarc (
roles/eventarc.eventReceiver) en el proyecto a la cuenta de servicio predeterminada de Compute Engine para que el activador de Eventarc pueda recibir eventos de proveedores de eventos.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/eventarc.eventReceiver
Rol opcional del agente de servicio de Pub/Sub
- Si habilitaste el agente de servicio de Cloud Pub/Sub el 8 de abril del 2021 o antes para admitir solicitudes push de Pub/Sub autenticadas, asigna el rol Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) al agente de servicio. De lo contrario, este rol se asigna de forma predeterminada:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Crear un activador para servicios
Puedes especificar un activador después de implementar un servicio.
Haga clic en la pestaña para ver las instrucciones sobre cómo usar la herramienta que prefiera.
Consola
Despliega tu servicio de Cloud Run mediante contenedores o desde fuentes.
En la Google Cloud consola, ve a Cloud Run:
En la lista de servicios, haz clic en uno que ya tengas.
En la página Detalles del servicio, ve a la pestaña Activadores.
Haz clic en Añadir activador y selecciona una opción.
En el panel Activador de Eventarc, modifica los detalles del activador de la siguiente manera:
En el campo Nombre del activador, escribe un nombre para el activador o usa el nombre predeterminado.
Seleccione un Tipo de activador de la lista para especificar uno de los siguientes tipos de activador:
Fuentes de Google para especificar activadores de Pub/Sub, Cloud Storage, Firestore y otros proveedores de eventos de Google.
Terceros: para integrarse con proveedores que no sean de Google y que ofrezcan una fuente de Eventarc. Para obtener más información, consulta Eventos de terceros en Eventarc.
Selecciona un proveedor de eventos en la lista Proveedor de eventos para elegir un producto que proporcione el tipo de evento que activará tu servicio. Para ver la lista de proveedores de eventos, consulte Proveedores y destinos de eventos.
Seleccione un tipo de evento en la lista Tipo de evento. La configuración del activador varía en función del tipo de evento admitido. Para obtener más información, consulta Tipos de eventos.
Si el campo Región está habilitado, selecciona una ubicación para el activador de Eventarc. Por lo general, la ubicación de un activador de Eventarc debe coincidir con la ubicación del Google Cloud recurso que quieras monitorizar para detectar eventos. En la mayoría de los casos, también debe desplegar su servicio en la misma región. Consulta ¿Qué son las ubicaciones de Eventarc? para obtener más información sobre las ubicaciones de los activadores de Eventarc.
En el campo Cuenta de servicio, selecciona una cuenta de servicio. Los activadores de Eventarc están vinculados a cuentas de servicio que se usan como identidad al invocar tu servicio. La cuenta de servicio del activador de Eventarc debe tener permiso para invocar tu servicio. De forma predeterminada, Cloud Run usa la cuenta de servicio predeterminada de Compute Engine.
Si quiere, especifique la ruta de la URL del servicio a la que se enviará la solicitud entrante. Es la ruta relativa del servicio de destino al que se deben enviar los eventos del activador. Por ejemplo:
/,/route,routeyroute/subroute.Una vez que haya completado los campos obligatorios, haga clic en Guardar activador.
Después de crear el activador, compruebe su estado asegurándose de que haya una marca de verificación check_circle en la pestaña Activadores.
gcloud
Despliega tu servicio de Cloud Run mediante contenedores o desde fuentes.
Ejecuta el siguiente comando para crear un activador que filtre eventos:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=SERVICE \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comSustituye:
TRIGGER_NAME con el nombre del activador.
EVENTARC_TRIGGER_LOCATION con la ubicación del activador de Eventarc. Por lo general, la ubicación de un activador de Eventarc debe coincidir con la ubicación del Google Cloud recurso que quieras monitorizar para detectar eventos. En la mayoría de los casos, también debes desplegar tu servicio en la misma región. Para obtener más información, consulta Ubicaciones de Eventarc.
SERVICE con el nombre del servicio que vas a implementar.
REGION con la región de Cloud Run del servicio. Por ejemplo,
europe-west1.PROJECT_NUMBER con el número de tu proyecto Google Cloud . Los activadores de Eventarc están vinculados a cuentas de servicio para usarse como identidad al invocar tu servicio. La cuenta de servicio del activador de Eventarc debe tener permiso para invocar el servicio. De forma predeterminada, Cloud Run usa la cuenta de servicio de Compute predeterminada.
Cada marca
event-filtersespecifica un tipo de evento. La función solo se activa cuando un evento cumple todos los criterios especificados en sus marcasevent-filters. Cada activador debe tener una marcaevent-filtersque especifique un tipo de evento admitido, como un documento nuevo escrito en Firestore o un archivo subido a Cloud Storage. No puedes cambiar el tipo de filtro de eventos después de crearlo. Para cambiar el tipo de filtro de eventos, debe crear un activador y eliminar el antiguo. Opcionalmente, puedes repetir la marca--event-filterscon un filtro admitido en el formatoATTRIBUTE=VALUEpara añadir más filtros.
Terraform
Para crear un activador de Eventarc para un servicio de Cloud Run, consulta Crear un activador con Terraform.
Crear un activador para funciones
Haga clic en la pestaña para ver las instrucciones sobre cómo usar la herramienta que prefiera.
Consola
Cuando usas la consola Google Cloud para crear una función, también puedes añadir un activador a la función. Sigue estos pasos para crear un activador para tu función:
En la Google Cloud consola, ve a Cloud Run:
Haz clic en Escribir una función e introduce los detalles de la función. Para obtener más información sobre cómo configurar funciones durante la implementación, consulta Implementar funciones.
En la sección Activador, haz clic en Añadir activador.
Selecciona una opción.
En el panel Activador de Eventarc, modifica los detalles del activador de la siguiente manera:
En el campo Nombre del activador, escriba un nombre para el activador o use el predeterminado.
Selecciona un Tipo de activador de la lista:
Fuentes de Google para especificar activadores de Pub/Sub, Cloud Storage, Firestore y otros proveedores de eventos de Google.
Terceros: para integrarse con proveedores que no sean de Google y que ofrezcan una fuente de Eventarc. Para obtener más información, consulta Eventos de terceros en Eventarc.
Selecciona un proveedor de eventos en la lista Event provider (Proveedor de eventos) para elegir un producto que proporcione el tipo de evento que activará tu función. Para ver la lista de proveedores de eventos, consulte Proveedores y destinos de eventos.
Seleccione un tipo de evento en la lista Tipo de evento. La configuración del activador varía en función del tipo de evento admitido. Para obtener más información, consulta Tipos de eventos.
Si el campo Región está habilitado, selecciona una ubicación para el activador de Eventarc. Por lo general, la ubicación de un activador de Eventarc debe coincidir con la ubicación del Google Cloud recurso que quieras monitorizar para detectar eventos. En la mayoría de los casos, también debes desplegar tu función en la misma región. Consulta ¿Qué son las ubicaciones de Eventarc? para obtener más información sobre las ubicaciones de los activadores de Eventarc.
En el campo Cuenta de servicio, selecciona una cuenta de servicio. Los activadores de Eventarc están vinculados a cuentas de servicio para usarlas como identidad al invocar tu función. La cuenta de servicio del activador de Eventarc debe tener permiso para invocar tu función. De forma predeterminada, Cloud Run usa la cuenta de servicio predeterminada de Compute Engine.
Si quiere, especifique la ruta de la URL del servicio a la que se enviará la solicitud entrante. Es la ruta relativa del servicio de destino al que se deben enviar los eventos del activador. Por ejemplo:
/,/route,routeyroute/subroute.
Una vez que haya completado los campos obligatorios, haga clic en Guardar activador.
gcloud
Cuando creas una función con la CLI de gcloud, primero debes desplegar la función y, a continuación, crear un activador. Sigue estos pasos para crear un activador para tu función:
Ejecuta el siguiente comando en el directorio que contiene el código de muestra para desplegar tu función:
gcloud run deploy FUNCTION \ --source . \ --function FUNCTION_ENTRYPOINT \ --base-image BASE_IMAGE_ID \ --region REGIONSustituye:
FUNCTION con el nombre de la función que vas a implementar. Puedes omitir este parámetro por completo, pero se te pedirá el nombre si lo haces.
FUNCTION_ENTRYPOINT con el punto de entrada de tu función en el código fuente. Este es el código que ejecuta Cloud Run cuando se ejecuta tu función. El valor de esta marca debe ser un nombre de función o un nombre de clase completo que exista en el código fuente.
BASE_IMAGE_ID con el entorno de la imagen base de tu función. Para obtener más información sobre las imágenes base y los paquetes incluidos en cada imagen, consulta Imágenes base de los entornos de ejecución.
REGION por la Google Cloud región en la que quieras desplegar tu función. Por ejemplo,
europe-west1.
Ejecuta el siguiente comando para crear un activador que filtre eventos:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=FUNCTION \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.comSustituye:
TRIGGER_NAME con el nombre del activador.
EVENTARC_TRIGGER_LOCATION con la ubicación del activador de Eventarc. Por lo general, la ubicación de un activador de Eventarc debe coincidir con la ubicación del Google Cloud recurso que quieras monitorizar para detectar eventos. En la mayoría de los casos, también debes implementar tu función en la misma región. Para obtener más información, consulta Ubicaciones de Eventarc.
FUNCTION con el nombre de la función que vas a implementar.
REGION con la región de Cloud Run de la función.
PROJECT_NUMBER con el número de tu proyecto Google Cloud . Los activadores de Eventarc están vinculados a cuentas de servicio para usarse como identidad al invocar tu función. La cuenta de servicio de tu activador de Eventarc debe tener permiso para invocar tu función. De forma predeterminada, Cloud Run usa la cuenta de servicio de Compute predeterminada.
Cada marca
event-filtersespecifica un tipo de evento. La función solo se activa cuando un evento cumple todos los criterios especificados en sus marcasevent-filters. Cada activador debe tener una marcaevent-filtersque especifique un tipo de evento admitido, como un documento nuevo escrito en Firestore o un archivo subido a Cloud Storage. No puedes cambiar el tipo de filtro de eventos después de crearlo. Para cambiar el tipo de filtro de eventos, debe crear un activador y eliminar el antiguo. Opcionalmente, puedes repetir la marca--event-filterscon un filtro admitido en el formatoATTRIBUTE=VALUEpara añadir más filtros.
Terraform
Para crear un activador de Eventarc para una función de Cloud Run, consulta Crear un activador con Terraform.
Definir el plazo de confirmación de Pub/Sub
Las funciones de Cloud Run basadas en eventos se implementan mediante Eventarc
en combinación con una suscripción de Pub/Sub. De forma predeterminada, el plazo de confirmación (ack) de esta suscripción de Pub/Sub es de 10 segundos. Este ajuste no es suficiente para muchas funciones y puede provocar ejecuciones duplicadas no deseadas.
Te recomendamos que definas el plazo ack de tu servicio o función con el valor máximo de 600 segundos de la siguiente manera:
Consola
Después de implementar la función, sigue estos pasos para modificar el plazo de la función:ack
En la Google Cloud consola, ve a Cloud Run:
Busca la función que quieras actualizar en la lista Servicios y haz clic en para abrir los detalles de esa función.
Abre la pestaña Activadores.
Haz clic en el nombre del activador para abrir Detalles del activador.
Haz clic en el enlace Tema para abrir el panel de edición del tema.
Haga clic en el nombre del ID de suscripción para ir al panel de suscripción y, en la parte superior de la página, haga clic en Editar.
Asigna el valor 600 al campo Plazo de confirmación y haz clic en Actualizar para guardar el cambio.
gcloud
Actualiza el plazo de ack por activador al valor máximo de 600 segundos.
Ten en cuenta que los siguientes comandos hacen referencia a variables (TRIGGER_NAME y REGION) cuyos valores has definido en los pasos anteriores.
## Per Cloud Run function: # Update Ack Deadline to max (600s) SUBSCRIPTION_ID=$(gcloud eventarc triggers describe "$TRIGGER_NAME" --location $REGION --format json | jq -r '.transport.pubsub.subscription') gcloud pubsub subscriptions update "$SUBSCRIPTION_ID" --ack-deadline=600
Realiza una actualización masiva de todos los activadores de servicios y funciones para definir sus
ack plazos en 600 segundos:
### Match all Cloud Run service triggers and update all deadlines to 600s (max timeout) ### This will change ALL Cloud Run Service and Cloud Run function TRIGGER_NAMES=($(gcloud eventarc triggers list | awk '/Cloud Run service/ {print $1}')) if [ ${#TRIGGER_NAMES[@]} -eq 0 ]; then echo "No matching triggers found" fi for trigger in "${TRIGGER_NAMES[@]}"; do echo "Updating ack deadline for trigger: $trigger" SUBSCRIPTION_ID=$(gcloud eventarc triggers describe "$trigger" --location $REGION --format json | jq -r '.transport.pubsub.subscription') if [ -z "$SUBSCRIPTION_ID" ]; then echo "Error: Could not retrieve subscription ID for trigger: $trigger" continue # Skip to the next trigger fi gcloud pubsub subscriptions update "$SUBSCRIPTION_ID" --ack-deadline=600 echo "Ack deadline updated for subscription: $SUBSCRIPTION_ID" done
Ver el ID y la fuente de CloudEvent
Para ver el ID y la fuente de CloudEvent que han activado tu servicio, consulta los siguientes recursos en los registros de servicio de Cloud Run:
LogEntry.labels.run.googleapis.com/cloud_event_idLogEntry.labels.run.googleapis.com/cloud_event_source
Siguientes pasos
- Más información sobre Eventarc
- Componentes facturables de Eventarc
- Crear activadores para funciones desplegadas en Cloud Run
- Tipos de eventos de Google compatibles con Eventarc.
- Habilitar los reintentos de eventos en Eventarc