Cloud Storage からの直接イベントでワークフローをトリガーする（gcloud CLI）

環境変数を設定する

このクイックスタートで使用する環境変数を設定します。

export PROJECT_ID=PROJECT_ID
export WORKFLOW_LOCATION=us-central1
export TRIGGER_LOCATION=us-central1
gcloud config set project ${PROJECT_ID}
gcloud config set workflows/location ${WORKFLOW_LOCATION}
gcloud config set eventarc/location ${TRIGGER_LOCATION}

プロジェクト ID は、 [ようこそ] ページで確認できます。 Google Cloud

サービス アカウントを設定する

このクイックスタートで使用するサービス アカウントに必要な権限を付与します。

1. プロジェクト作成者には、 基本オーナーロール （roles/owner）が付与されます。デフォルトでは、この Identity and Access Management（IAM）ロールには、ほとんどの Google Cloud リソースへのフルアクセスに必要な権限が含まれており、この手順は省略できます。

   プロジェクト作成者でない場合は、プロジェクトで適切なプリンシパルに必要な権限を付与する必要があります。プリンシパルは Google アカウント（エンドユーザーの場合）やサービス アカウント（アプリケーションとコンピューティング ワークロードの場合）になることもあります。詳細については、イベントの宛先のロールと権限のページをご覧ください。

   必要な権限

   このクイックスタートを完了するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

   • Eventarc 管理者 (roles/eventarc.admin)
   • ログ表示アクセス者（roles/logging.viewAccessor）
   • プロジェクト IAM 管理者（roles/resourcemanager.projectIamAdmin）
   • サービス アカウント管理者（roles/iam.serviceAccountAdmin）
   • サービス アカウント ユーザー（roles/iam.serviceAccountUser）
   • Service Usage 管理者（roles/serviceusage.serviceUsageAdmin）
   • ストレージ管理者 （roles/storage.admin）
   • ワークフロー管理者 （roles/workflows.admin）

   ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

   必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

2. Compute Engine のデフォルトのサービス アカウントをメモしておいてください。テスト目的で、Eventarc トリガーにこのサービス アカウントを関連付け、トリガーの ID として使用します。このサービス アカウントは、Compute Engine を使用する Google Cloud サービスを有効にするか使用すると自動的に作成されます。メールアドレスの形式は次のとおりです。

   PROJECT_NUMBER-compute@developer.gserviceaccount.com

   PROJECT_NUMBER は、使用する Google Cloudプロジェクト番号に置き換えます。プロジェクト番号は、 Google Cloud コンソールの [ようこそ] ページで確認できます。また、次のコマンドでも確認できます。

   gcloud projects describe PROJECT_ID --format='value(projectNumber)'

   本番環境では、新しいサービス アカウントを作成して、必要最小限の権限を含む、最小権限の原則に従った 1 つ以上の IAM ロールを付与することを強くおすすめします。

3. プロジェクトの Eventarc イベント レシーバーのロール（roles/eventarc.eventReceiver）を Compute Engine のデフォルト サービス アカウントに付与して、 Eventarc トリガーがイベント プロバイダからイベントを受信できるようにします。

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role=roles/eventarc.eventReceiver

4. プロジェクトのワークフロー起動元ロール（roles/workflows.invoker）を Compute Engine のデフォルト サービス アカウントに付与し、ワークフローをトリガーする権限を付与します。

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role=roles/workflows.invoker

5. ワークフローが Cloud Logging にログを送信できるように、プロジェクトの Logging ログ書き込みロール（roles/logging.logWriter）を Compute Engine のデフォルト サービス アカウントに付与します。

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role=roles/logging.logWriter

6. Cloud Storage からの直接イベントのトリガーを作成する前に、Cloud Storage サービス エージェントに Pub/Sub パブリッシャーのロール（roles/pubsub.publisher）を付与します。

   SERVICE_ACCOUNT="$(gcloud storage service-agent --project=PROJECT_ID)"
   
   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member="serviceAccount:${SERVICE_ACCOUNT}" \
       --role='roles/pubsub.publisher'

7. 2021 年 4 月 8 日以前に、認証済みの Pub/Sub push リクエストをサポートするために Cloud Pub/Sub サービス エージェントを有効にした場合は、サービス アカウント トークン作成者のロール（roles/iam.serviceAccountTokenCreator）をサービス エージェントに付与します。それ以外の場合、このロールはデフォルトで付与されます。

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
       --role=roles/iam.serviceAccountTokenCreator

Cloud Storage バケットを作成する

イベントソースとして使用する Cloud Storage バケットを作成します。

  gcloud storage buckets create gs://${PROJECT_ID}-bucket --location=us-central1

ワークフローを作成してデプロイする

Cloud Storage バケットで作成されたオブジェクトが HTTP リクエストでワークフローをトリガーするときに実行されるワークフローを作成してデプロイします。

1. ホーム ディレクトリで、myEventWorkflow.yaml または myEventWorkflow.json という名前の新しいファイルを作成します。

2. 次の内容をコピーして新しいファイルに貼り付け、保存します。

   YAML

     main:
       params: [event]
       steps:
           - log_event:
               call: sys.log
               args:
                   text: ${event}
                   severity: INFO
           - extract_bucket_object:
               assign:
               - bucket: ${event.data.bucket}
               - object: ${event.data.name}
           - return_bucket_object:
                   return:
                       bucket: ${bucket}
                       object: ${object}
     

   JSON

   {
   "main": {
   "params": [
     "event"
   ],
   "steps": [
     {
       "log_event": {
         "call": "sys.log",
         "args": {
           "text": "${event}",
           "severity": "INFO"
         }
       }
     },
     {
       "extract_bucket_object": {
         "assign": [
           {
             "bucket": "${event.data.bucket}"
           },
           {
             "object": "${event.data.name}"
           }
         ]
       }
     },
     {
       "return_bucket_object": {
         "return": {
           "bucket": "${bucket}",
           "object": "${object}"
         }
       }
     }
   ]
   }
   }

3. ワークフローをデプロイします。

   export MY_WORKFLOW=myEventWorkflow
   gcloud workflows deploy ${MY_WORKFLOW} --source=myEventWorkflow.yaml
   

   JSON バージョンのサンプル ワークフローをコピーした場合は、.yaml を .json に置き換えます。

Eventarc トリガーを作成する

Eventarc トリガーは、Cloud Storage バケットから Workflows の宛先にイベントを送信します。

1. Cloud Storage イベントをフィルタするトリガーを作成します。

   gcloud eventarc triggers create storage-events-trigger \
       --destination-workflow=${MY_WORKFLOW} \
       --event-filters="type=google.cloud.storage.object.v1.finalized" \
       --event-filters="bucket=${PROJECT_ID}-bucket" \
       --service-account="PROJECT_NUMBER-compute@developer.gserviceaccount.com"
   

   これにより、storage-events-trigger というトリガーが作成されます。

   Google Cloud プロジェクトで初めて Eventarc トリガーを作成する場合は、Eventarc サービス エージェントのプロビジョニングに遅延が発生する可能性があります。この問題は通常、トリガーを再度作成することで解決できます。詳細については、 権限拒否エラーをご覧ください。

2. storage-events-trigger が正常に作成されたことを確認するには、次のコマンドを実行します。

   gcloud eventarc triggers describe storage-events-trigger --location=${TRIGGER_LOCATION}
   

   作成時刻とトリガーのロケーションを含む出力は次のようになります。

   createTime: '2021-10-14T15:15:43.872360951Z'
   [...]
   name: projects/PROJECT_ID/locations/us-central1/triggers/storage-events-trigger
   

イベントを生成して表示する

1. イベントを生成するには、Cloud Storage にテキスト ファイルをアップロードします。

   echo "Hello World" > random.txt
   gcloud storage cp random.txt gs://${PROJECT_ID}-bucket/random.txt
   

   アップロードにより、ランタイム引数としてワークフローに渡されるイベントが生成されます。これにより、ストレージ バケットとアップロードされたファイルの名前が返されます。

2. ワークフローの実行がトリガーされたことを確認するには、直近の 5 つの実行を一覧表示します。

   gcloud workflows executions list ${MY_WORKFLOW} --limit=5
   

   出力は次のようになります。ワークフローを実行するたびに SUCCEEDED と等しい NAME と STATE が表示されます。

   NAME: projects/606789101455/locations/us-central1/workflows/myFirstWorkflow/executions/8c02b8f1-8836-4a6d-99d9-fc321eb9668f
   STATE: SUCCEEDED
   START_TIME: 2021-10-13T03:38:03.019148617Z
   END_TIME: 2021-10-13T03:38:03.249705805Z
   NAME: projects/606789101455/locations/us-central1/workflows/myFirstWorkflow/executions/a6319d9d-36a6-4117-904e-3d1118bdc90a
   STATE: SUCCEEDED
   START_TIME: 2021-10-13T17:28:51.492864252Z
   END_TIME: 2021-10-13T17:28:52.227212414Z
   

   上記の例の NAME フィールドで、a6319d9d-36a6-4117-904e-3d1118bdc90a はワークフロー実行の ID です。次のステップで使用するため、実行 ID をコピーします。

3. 実行ステータスを表示するには、次のコマンドを実行します。

   gcloud workflows executions describe WORKFLOW_EXECUTION_ID --workflow=${MY_WORKFLOW}
   

   WORKFLOW_EXECUTION_ID は、ファイルがバケットにアップロードされた時刻に対応するワークフロー実行の ID に置き換えます。

   出力は次のようになります。

   argument: [...]
   name: projects/218898424763/locations/us-central1/workflows/myEventWorkflow/executions/86d2567b-0f1e-49b3-8b10-cdac5d0f6239
   result: '{"bucket":"PROJECT_ID-bucket","object":"random.txt"}'
   startTime: '2021-10-13T03:38:03.019148617Z'
   state: SUCCEEDED
   

4. Cloud Storage バケットが更新されている時刻 "timeCreated": "2021-10-13T03:38" と、ワークフロー実行の startTime が互いに対応していることを確認します。

これで、Eventarc を使用した Workflows イベント レシーバーをトリガーする Cloud Storage イベントが正常に生成されました。