Der Aufruf eines Google Cloud-Dienstes wie Cloud Functions oder Cloud Run über Workflows erfolgt über eine HTTP-Anfrage. Die gängigsten Methoden für HTTP-Anfragen haben eine Aufrufverknüpfung wie http.get und http.post. Sie können aber eine beliebige Methode verwenden, um Typ der HTTP-Anfrage. Dazu setzen Sie das Feld call
auf http.request
und geben den Anfragetyp im Feld method
an. Weitere Informationen finden Sie unter HTTP-Anfrage stellen.
So senden Sie authentifizierte Anfragen:
Ihr Workflow muss einem Dienstkonto zugeordnet sein, dem eine oder mehrere IAM-Rollen (Identity and Access Management) mit den erforderlichen Berechtigungen zugewiesen wurden.
Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen. Standardmäßig enthalten HTTP-Anfragen aus Sicherheitsgründen keine Identitäts- oder Zugriffstokens.
Weitere Informationen finden Sie unter Workflowberechtigung für den Zugriff auf Google Cloud-Ressourcen gewähren.
Wann sollte ein Dienst angerufen werden?
Woher wissen Sie, wann Sie mit der Workflows-Syntax Schritte in YAML oder JSON erstellen oder wann Sie stattdessen einen Dienst wie einen Cloud Run-Dienst oder eine Cloud Functions-Funktion erstellen müssen?
Mit Workflows können Sie Dienste direkt aus dem Workflow aufrufen und die Ergebnisse verarbeiten sowie einfache Aufgaben wie einen HTTP-Aufruf ausführen. Workflows können Dienste aufrufen, Antworten parsen und Eingaben für andere verbundene Dienste erstellen. Durch das Aufrufen eines Dienstes vermeiden Sie Komplikationen durch zusätzliche Aufrufe, zusätzliche Abhängigkeiten und Dienste, die Dienste aufrufen.
Erstellen Sie Dienste für Aufgaben, die für Workflows zu komplex sind. Implementieren Sie z. B. wiederverwendbare Geschäftslogik, komplexe Berechnungen oder Transformationen, die von Workflow-Ausdrücken und der zugehörigen Standardbibliothek nicht unterstützt werden. Ein komplizierter Fall lässt sich in der Regel einfacher im Code implementieren, anstatt YAML oder JSON und die Workflows-Syntax zu verwenden.
Dienste aufrufen, die auf internen Ingress beschränkt sind
Workflows können Cloud Functions- oder Cloud Run-Dienste im selben Google Cloud-Projekt aufrufen, bei denen eingehender Traffic auf internen Traffic beschränkt ist. Mit dieser Konfiguration sind Ihre Dienste über das Internet nicht erreichbar, können aber über Workflows erreicht werden.
Passen Sie die Einstellungen für eingehenden Traffic Ihres Dienstes oder Ihrer Funktion an, um diese Einschränkungen anzuwenden. Der Cloud Run-Dienst muss über seine run.app
-URL und nicht über eine benutzerdefinierte Domain erreicht werden. Weitere Informationen finden Sie unter Eingehenden Traffic einschränken (für Cloud Run) und Netzwerkeinstellungen konfigurieren (für Cloud Functions). Sie müssen keine weiteren Änderungen an Ihrem Workflow vornehmen.
Erstellen Sie ein Dienstkonto mit den erforderlichen Berechtigungen.
Beim Senden von Anfragen an andere Google Cloud-Dienste muss Ihr Workflow mit einem Dienstkonto verknüpft sein, das die erforderlichen Berechtigungen für den Zugriff auf die angeforderten Ressourcen hat. Informationen dazu, welches Dienstkonto mit einem vorhandenen Workflow verknüpft ist, finden Sie unter Verknüpftes Dienstkonto prüfen.
Wenn Sie ein Dienstkonto einrichten, verknüpfen Sie die anfragende Identität mit der Ressource, auf die Sie ihr Zugriff gewähren möchten. Sie machen die anfragende Identität zu einem Hauptkonto der Ressource und weisen dann die entsprechende Rolle zu. Die Rolle definiert, welche Berechtigungen die Identität im Kontext der Ressource hat.
Wenn Sie beispielsweise eine empfangende Cloud Functions-Funktion konfigurieren möchten, um Anfragen von einer bestimmten aufrufenden Funktion oder einem bestimmten Dienst zu akzeptieren, müssen Sie das Dienstkonto des Aufrufers als Hauptkonto der empfangenden Funktion hinzufügen und diesem Hauptkonto die Rolle "Cloud Functions Invoker" (roles/cloudfunctions.invoker
) zuweisen. Zum Einrichten eines Dienstkontos für Cloud Run weisen Sie diesem Dienstkonto die Rolle "Cloud Run Invoker" (roles/run.invoker
) zu. Weitere Informationen finden Sie unter Authentifizierungsinformationen für Cloud Functions oder Cloud Run-Authentifizierungsübersicht.
Cloud Functions (2nd gen) aufrufen
In Cloud Functions (2nd gen) sind Aufrufberechtigungen über die Verwaltung des zugrunde liegenden Cloud Run-Dienstes verfügbar. Wenn Ihr Workflow einen Cloud Function-Dienst (2. Generation) aufruft, müssen Sie dem Dienstkonto des Aufrufers nicht die Rolle „Cloud Functions Invoker“ (roles/cloudfunctions.invoker
) gewähren. Stattdessen müssen Sie die Rolle „Cloud Run Invoker“ (roles/run.invoker
) gewähren.
Weitere Informationen finden Sie unter Cloud Functions-Versionsvergleich.
Authentifizierungsinformationen zum Workflow hinzufügen
Verwenden Sie OIDC zur Authentifizierung von Anfragen an Cloud Functions oder Cloud Run.
Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth
in den Abschnitt args
der Workflowdefinition ein, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage gesendet, um eine Cloud Functions-Funktion aufzurufen:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience
kann die OIDC-Zielgruppe für das Token angegeben werden.
Standardmäßig ist er auf den gleichen Wert wie url
festgelegt, sollte jedoch auf die Stamm-URL Ihres Dienstes festgelegt werden. Beispiel: https://region-project.cloudfunctions.net/hello_world
.
Geben Sie den Medientyp für die Antwortdaten an
Wenn im Header Content-Type
für die Antwort der Medientyp application/json
angegeben ist, wird die in einer Variable gespeicherte JSON-Antwort automatisch in eine Karte konvertiert, auf die zugegriffen werden kann.
Ändern Sie bei Bedarf die aufgerufene API, um für den Antwortheader Content-Type
den Medientyp application/json
anzugeben. Andernfalls können Sie den Antworttext mit den Funktionen json.decode
und text.encode
in eine Zuordnung konvertieren. Beispiel:
json.decode(text.encode(RESPONSE_FROM_API))
Weitere Informationen finden Sie unter Auf HTTP-Antwortdaten zugreifen, die in einer Variablen gespeichert sind.
Cloud Run-Jobs ausführen
Im Gegensatz zu Cloud Run-Diensten überwachen Cloud Run-Jobs keine HTTP-Anfragen und stellen sie auch nicht bereit. Verwenden Sie den Cloud Run Admin API-Connector, um Cloud Run-Jobs aus einem Workflow auszuführen.
Ein End-to-End-Beispiel für die Ausführung eines Cloud Run-Jobs, der Daten verarbeitet, die als Umgebungsvariablen an den Job übergeben werden, finden Sie unter Cloud Run-Job mithilfe von Workflows ausführen.
Ein End-to-End-Beispiel für die Ausführung eines Cloud Run-Jobs, der in einem Cloud Storage-Bucket gespeicherte Daten verarbeitet, über die Sie die Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln können, finden Sie unter Cloud Run-Job ausführen, der Ereignisdaten in Cloud Storage verarbeitet.
Nächste Schritte
- HTTP-Endpunkt für die Funktion erstellen
- In Cloud Run gehosteten Dienst auslösen
- Workflows mit Cloud Run und Cloud Functions verwenden