本页介绍了如何创建 Eventarc 触发器,以便 Cloud Run 服务能够接收来自其他 Google Cloud 服务的事件。
Eventarc 是一种 Google Cloud 服务,可让您构建事件驱动型架构,而无需实现、自定义或维护底层基础架构。
您可以通过为触发器指定过滤条件并配置事件路由(包括事件来源和目标 Cloud Run 服务)来创建 Eventarc 触发器。当指定的事件或一组事件与过滤条件匹配时,系统会自动调用您的 Cloud Run 服务来响应相应事件。使用 Eventarc 触发器的服务称为事件驱动型服务。发送到 Cloud Run 服务的事件会被以 HTTP 请求的形式接收。
以下事件类型会触发对您的服务的请求:
您还可以使用 Google Cloud CLI 或通过 Eventarc 控制台页面创建 Eventarc 触发器。如需了解如何为特定提供方、事件类型和目的地创建触发器,请过滤列表,详细了解 Eventarc 的事件提供方和目的地。
触发器位置
创建 Eventarc 触发器时,您需要为其指定位置。此值应与您要监控事件的 Google Cloud 资源所在的位置一致。在大多数情况下,您还应在同一区域部署事件驱动型 Cloud Run 服务。如需了解详情,请参阅了解 Eventarc 位置。
触发器身份
Eventarc 触发器的服务账号必须具有调用服务的权限。您可能需要验证默认计算服务账号是否具有调用您的服务的正确权限。如需了解详情,请参阅必需的角色。
准备工作
确保您已按照设置页面中的说明为 Cloud Run 设置了新项目。
启用 Artifact Registry API、Cloud Build API、Cloud Run Admin API 和 Eventarc API:
所需的角色
-
如果您是项目创建者,则会被授予基本 Owner 角色 (
roles/owner)。默认情况下,此 Identity and Access Management (IAM) 角色可提供完全访问大多数 Google Cloud 资源所需的权限,您可以跳过此步骤。如果您不是项目创建者,则必须向主账号授予项目的必需权限。例如,主账号可以是 Google 账号(针对最终用户)或服务账号(针对应用和计算工作负载)。如需了解详情,请参阅事件目标位置的角色和权限页面。
请注意,默认情况下,Cloud Build 权限包含上传和下载 Artifact Registry 工件的权限。
所需权限
如需获得配置 Eventarc 触发器所需的权限,请让管理员向您授予项目的以下 IAM 角色:
-
Cloud Build Editor (
roles/cloudbuild.builds.editor) -
Cloud Run Admin (
roles/run.admin) -
Eventarc Admin (
roles/eventarc.admin) -
Logs View Accessor (
roles/logging.viewAccessor) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Service Account Admin (
roles/iam.serviceAccountAdmin) -
Service Account User (
roles/iam.serviceAccountUser) -
Service Usage Admin (
roles/serviceusage.serviceUsageAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
Cloud Build Editor (
记下 Compute Engine 默认服务账号,因为您将把它附加到 Eventarc 触发器以代表触发器的身份信息进行测试。启用或使用包含 Compute Engine 的 Google Cloud 服务后,系统会自动创建此服务账号,其电子邮件地址格式如下:
PROJECT_NUMBER-compute@developer.gserviceaccount.com
将
PROJECT_NUMBER替换为您的 Google Cloud 项目编号。您可以在 Google Cloud 控制台的欢迎页面上或者通过运行以下命令找到项目编号:gcloud projects describe PROJECT_ID --format='value(projectNumber)'
对于生产环境,我们强烈建议创建新的服务账号,并为其授予一个或多个 IAM 角色,这些角色包含所需的最小权限并遵循最小权限原则。
- 默认情况下,只有 Project Owner、Project Editor 以及 Cloud Run Admin 和 Invoker 才能调用 Cloud Run 服务。您可以按服务控制访问权限;但是,出于测试目的,请向 Compute Engine 服务账号授予 Google Cloud 项目的 Cloud Run Invoker 角色 (
run.invoker)。此操作会授予项目中所有 Cloud Run 服务和作业的角色。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/run.invoker
请注意,如果您在未授予 Cloud Run Invoker 角色的情况下为经过身份验证的 Cloud Run 服务创建触发器,则触发器会成功创建且处于活动状态。但是,触发器将无法按预期运行,并且日志中会显示类似于以下内容的消息:
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header. - 将项目的 Eventarc Event Receiver 角色 (
roles/eventarc.eventReceiver) 授予 Compute Engine 默认服务账号,以便 Eventarc 触发器可以接收来自事件提供程序的事件。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --role=roles/eventarc.eventReceiver
- 如果您在 2021 年 4 月 8 日或之前启用了 Cloud Pub/Sub 服务代理,以支持经过身份验证的 Pub/Sub 推送请求,请向该服务代理授予 Service Account Token Creator 角色 (
roles/iam.serviceAccountTokenCreator)。否则,系统会默认授予此角色:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
为服务创建触发器
您可以在部署服务后指定触发器。
点击相应标签页即可获取有关所选工具的使用说明。
控制台
在 Google Cloud 控制台中,前往 Cloud Run:
在服务列表中,点击现有服务。
在“服务详情”页面上,前往触发器标签页。
点击添加触发器,然后选择一个选项。
在 Eventarc 触发器窗格中,修改触发器详细信息,如下所示:
在触发器名称字段中,输入触发器的名称,或使用默认名称。
从列表中选择触发器类型以指定以下触发器类型之一:
Google 来源,用于为 Pub/Sub、Cloud Storage、Firestore 和其他 Google 事件提供方指定触发器。
第三方,用于与提供 Eventarc 来源的非 Google 提供方集成。如需了解详情,请参阅 Eventarc 中的第三方事件。
从事件提供方列表中选择事件提供方,以选择提供用于触发服务的事件类型的产品。如需查看事件提供方列表,请参阅事件提供方和目的地。
从事件类型列表中选择一种事件类型。触发器配置因支持的事件类型而异。如需了解详情,请参阅事件类型。
如果区域字段处于启用状态,请为 Eventarc 触发器选择一个位置。一般来说,Eventarc 触发器所在的位置应与您要监控事件的 Google Cloud 资源所在的位置一致。在大多数情况下,您还应在同一区域部署服务。如需详细了解 Eventarc 触发器位置,请参阅了解 Eventarc 位置。
在服务账号字段中,选择一个服务账号。Eventarc 触发器与调用服务时用作身份的服务账号相关联。Eventarc 触发器的服务账号必须具有调用服务的权限。默认情况下,Cloud Run 使用 Compute Engine 默认服务账号。
(可选)指定要将传入请求发送到的服务网址路径。 这是触发器的事件应该发送到的目的地服务上的相对路径。例如:
/、/route、route和route/subroute。填写必填字段后,点击保存触发器。
创建触发器后,通过确保触发器标签上有对勾标记 check_circle 来验证触发器运行状况良好。
gcloud
运行以下命令可创建用于过滤事件的触发器:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=SERVICE \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com您需要进行如下替换:
将 TRIGGER_NAME 替换为触发器的名称。
将 EVENTARC_TRIGGER_LOCATION 替换为 Eventarc 触发器的位置。一般来说,Eventarc 触发器所在的位置应与您要监控事件的 Google Cloud 资源所在的位置一致。在大多数情况下,您还应在同一区域部署服务。如需了解详情,请参阅 Eventarc 位置。
将 SERVICE 替换为您要部署的服务的名称。
将 REGION 替换为该服务的 Cloud Run 区域。
将 PROJECT_NUMBER 替换为您的 Google Cloud 项目编号。 Eventarc 触发器与调用服务时用作身份的服务账号相关联。Eventarc 触发器的服务账号必须具有调用服务的权限。默认情况下,Cloud Run 使用默认计算服务账号。
event-filters标志用于指定触发器监控的事件过滤条件。与所有event-filters过滤条件匹配的事件会触发对服务的调用。每个触发器都必须具有受支持的事件类型。创建后,您无法更改事件过滤条件类型。如需更改事件过滤条件类型,您必须创建新的触发器并删除旧触发器。您可以酌情使用格式为ATTRIBUTE=VALUE的受支持过滤条件重复--event-filters标志来添加更多过滤条件。
为函数创建触发器
点击相应标签页即可获取有关所选工具的使用说明。
控制台
使用 Google Cloud 控制台创建函数时,您还可以为函数添加触发器。请按照以下步骤为函数创建触发器:
在 Google Cloud 控制台中,前往 Cloud Run:
点击编写函数,然后输入函数详细信息。如需详细了解如何在部署期间配置函数,请参阅部署函数。
在触发器部分中,点击添加触发器。
选择一个选项。
在 Eventarc 触发器窗格中,修改触发器详细信息,如下所示:
在触发器名称字段中输入触发器的名称,或使用默认名称。
从列表中选择触发器类型以指定以下触发器类型之一:
Google 来源,用于为 Pub/Sub、Cloud Storage、Firestore 和其他 Google 事件提供方指定触发器。
第三方,用于与提供 Eventarc 来源的非 Google 提供方集成。如需了解详情,请参阅 Eventarc 中的第三方事件。
从事件提供方列表中选择事件提供方,以选择提供用于触发函数的事件类型的产品。如需查看事件提供方列表,请参阅事件提供方和目的地。
从事件类型列表中选择一种事件类型。触发器配置因支持的事件类型而异。如需了解详情,请参阅事件类型。
如果区域字段处于启用状态,请为 Eventarc 触发器选择一个位置。一般来说,Eventarc 触发器所在的位置应与您要监控事件的 Google Cloud 资源所在的位置一致。在大多数情况下,您还应在同一区域部署函数。如需详细了解 Eventarc 触发器位置,请参阅了解 Eventarc 位置。
在服务账号字段中,选择一个服务账号。Eventarc 触发器与调用函数时用作身份的服务账号相关联。Eventarc 触发器的服务账号必须具有调用函数的权限。默认情况下,Cloud Run 使用 Compute Engine 默认服务账号。
(可选)指定要将传入请求发送到的服务网址路径。 这是触发器的事件应该发送到的目的地服务上的相对路径。例如:
/、/route、route和route/subroute。
填写必填字段后,点击保存触发器。
gcloud
使用 gcloud CLI 创建函数时,您必须先deploy函数,然后再创建触发器。请按照以下步骤为函数创建触发器:
在包含示例代码的目录中运行以下命令,以部署函数:
gcloud beta run deploy FUNCTION \ --source . \ --function FUNCTION_ENTRYPOINT \ --base-image BASE_IMAGE_ID \ --region REGION您需要进行如下替换:
运行以下命令可创建用于过滤事件的触发器:
gcloud eventarc triggers create TRIGGER_NAME \ --location=REGION \ --destination-run-service=FUNCTION \ --destination-run-region=REGION \ --event-filters="EVENT_FILTER" \ --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com您需要进行如下替换:
将 TRIGGER_NAME 替换为触发器的名称。
将 EVENTARC_TRIGGER_LOCATION 替换为 Eventarc 触发器的位置。一般来说,Eventarc 触发器所在的位置应与您要监控事件的 Google Cloud 资源所在的位置一致。在大多数情况下,您还应在同一区域部署函数。如需了解详情,请参阅 Eventarc 位置。
将 FUNCTION 替换为您要部署的函数的名称。
将 REGION 替换为函数的 Cloud Run 区域。
将 PROJECT_NUMBER 替换为您的 Google Cloud 项目编号。 Eventarc 触发器与调用函数时用作身份的服务账号相关联。Eventarc 触发器的服务账号必须具有调用函数的权限。默认情况下,Cloud Run 使用默认计算服务账号。
event-filters标志用于指定触发器监控的事件过滤条件。与所有event-filters过滤条件匹配的事件会触发对函数的调用。每个触发器都必须具有受支持的事件类型。创建后,您无法更改事件过滤条件类型。如需更改事件过滤条件类型,您必须创建新的触发器并删除旧触发器。您可以酌情使用格式为ATTRIBUTE=VALUE的受支持过滤条件重复--event-filters标志来添加更多过滤条件。
后续步骤
- 详细了解 Eventarc
- 了解 Eventarc 的计费组件
- 为在 Cloud Run 中部署的函数创建触发器 *Eventarc 支持的 Google 事件类型。
- 在 Eventarc 中启用事件重试