Ricevi gli eventi direttamente da Cloud Storage (gcloud CLI)

Standard

Questa guida rapida mostra come ricevere eventi diretti da Cloud Storage (senza utilizzare Cloud Audit Logs) in un servizio Cloud Run non autenticato utilizzando Eventarc.

Puoi configurare l'attivazione delle notifiche in risposta a vari eventi all'interno di un bucket Cloud Storage: creazione, eliminazione, archiviazione e aggiornamenti dei metadati degli oggetti. Per saperne di più, consulta Crea un trigger per il routing degli eventi di Cloud Storage a Cloud Run.

In questa guida rapida:

Creerai un bucket Cloud Storage come origine evento.
Eseguirai il deployment di un servizio di ricezione di eventi in Cloud Run.
Creerai un trigger Eventarc.
Genererai un evento caricando un file nel bucket Cloud Storage e lo visualizzerai nei log di Cloud Run.

Prima di iniziare

I vincoli di sicurezza definiti dalla tua organizzazione potrebbero impedirti di completare i passaggi seguenti. Per informazioni sulla risoluzione dei problemi, vedi Sviluppare applicazioni in un ambiente vincolato Google Cloud .

Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Crea o seleziona un Google Cloud progetto.

Ruoli richiesti per selezionare o creare un progetto

Seleziona un progetto: la selezione di un progetto non richiede un ruolo IAM specifico: puoi selezionare qualsiasi progetto su cui ti è stato concesso un ruolo.
Crea un progetto: per creare un progetto, devi disporre del ruolo Autore progetto (roles/resourcemanager.projectCreator), che contiene l' resourcemanager.projects.create autorizzazione. Scopri come concedere i ruoli.

Crea un Google Cloud progetto:
```
gcloud projects create PROJECT_ID
```
Sostituisci PROJECT_ID con un nome per il Google Cloud progetto che stai creando.
Seleziona il Google Cloud progetto che hai creato:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con il nome del Google Cloud progetto.

Verifica che la fatturazione sia attivata per il tuo Google Cloud progetto.

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Crea o seleziona un Google Cloud progetto.

Ruoli richiesti per selezionare o creare un progetto

Seleziona un progetto: la selezione di un progetto non richiede un ruolo IAM specifico: puoi selezionare qualsiasi progetto su cui ti è stato concesso un ruolo.
Crea un progetto: per creare un progetto, devi disporre del ruolo Autore progetto (roles/resourcemanager.projectCreator), che contiene l' resourcemanager.projects.create autorizzazione. Scopri come concedere i ruoli.

Crea un Google Cloud progetto:
```
gcloud projects create PROJECT_ID
```
Sostituisci PROJECT_ID con un nome per il Google Cloud progetto che stai creando.
Seleziona il Google Cloud progetto che hai creato:
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con il nome del Google Cloud progetto.

Verifica che la fatturazione sia attivata per il tuo Google Cloud progetto.

Abilita le API Cloud Run, Cloud Storage, Eventarc e Pub/Sub.

gcloud services enable \
eventarc.googleapis.com \
pubsub.googleapis.com \
run.googleapis.com \
storage.googleapis.com

Aggiorna i componenti gcloud:
```
gcloud components update
```
Accedi utilizzando il tuo account:
```
gcloud auth login
```

Imposta le variabili di configurazione utilizzate in questa guida rapida:

gcloud config set run/region us-central1
gcloud config set run/platform managed
gcloud config set eventarc/location us-central1

Se sei il creatore del progetto, ti viene concesso il ruolo di base Proprietario (roles/owner). Per impostazione predefinita, questo ruolo Identity and Access Management (IAM) include le autorizzazioni necessarie per l'accesso completo alla maggior parte delle Google Cloud risorse e puoi saltare questo passaggio.

Se non sei il creatore del progetto, le autorizzazioni richieste devono essere concesse al progetto all'entità appropriata. Ad esempio, un'entità può essere un Account Google (per gli utenti finali) o un account di servizio (per applicazioni e workload di calcolo). Per saperne di più, consulta la pagina Ruoli e autorizzazioni per la destinazione dell'evento.
Autorizzazioni obbligatorie

Per ottenere le autorizzazioni necessarie per completare questo tutorial, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
- Cloud Run Admin (roles/run.admin)
- Eventarc Admin (roles/eventarc.admin)
- Logs View Accessor (roles/logging.viewAccessor)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
- Service Account Admin (roles/iam.serviceAccountAdmin)
- Utente Service Account (roles/iam.serviceAccountUser)
- Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin)
- Storage Admin (roles/storage.admin)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Prendi nota del service account predefinito di Compute Engine, in quanto lo collegherai a un trigger Eventarc per rappresentare l'identità del trigger a scopo di test. Questo account di servizio viene creato automaticamente dopo l'attivazione o l'utilizzo di un Google Cloud servizio che utilizza Compute Engine e con il seguente formato email:
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
Sostituisci PROJECT_NUMBER con il Google Cloud numero del tuo progetto. Puoi trovare il numero di progetto nella pagina di benvenuto della Google Cloud console o eseguendo questo comando:
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
Per gli ambienti di produzione, ti consigliamo vivamente di creare un nuovo service account e di concedergli uno o più ruoli IAM che contengano le autorizzazioni minime richieste e di seguire il principio del privilegio minimo.

Nota:
Il vincolo della policy dell'organizzazione iam.automaticIamGrantsForDefaultServiceAccounts impedisce che il ruolo Editor venga concesso automaticamente ai service account predefiniti. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.

Ti consigliamo vivamente di applicare questo vincolo per disattivare la concessione automatica dei ruoli. Se disattivi la concessione automatica dei ruoli, devi decidere quali ruoli concedere ai service account predefiniti, quindi concederli personalmente.

Se il account di servizio predefinito dispone già del ruolo Editor, ti consigliamo di sostituire il ruolo Editor con ruoli meno permissivi.Per modificare in sicurezza i ruoli del account di servizio, utilizza Policy Simulator per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.
Concedi il ruolo Eventarc Event Receiver (roles/eventarc.eventReceiver) nel progetto al account di servizio predefinito di Compute Engine in modo che il trigger Eventarc possa ricevere eventi dai provider di eventi.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role=roles/eventarc.eventReceiver
```

Prima di creare un trigger per gli eventi diretti da Cloud Storage, concedi il ruolo Pub/Sub Publisher (roles/pubsub.publisher) all' agente di servizio Cloud Storage:

SERVICE_ACCOUNT="$(gcloud storage service-agent --project=PROJECT_ID)"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:${SERVICE_ACCOUNT}" \
    --role='roles/pubsub.publisher'

Se hai attivato l'agente di servizio Cloud Pub/Sub il giorno 8 aprile 2021 o in una data precedente per supportare le richieste push Pub/Sub autenticate, concedi il ruolo Service Account Token Creator (roles/iam.serviceAccountTokenCreator) all'agente di servizio. In caso contrario, questo ruolo viene concesso per impostazione predefinita:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```

Crea un bucket Cloud Storage

Crea un bucket Cloud Storage da utilizzare come origine evento:

gcloud storage buckets create gs://PROJECT_ID-bucket/ --location=us-central1

Dopo aver creato l'origine evento, puoi eseguire il deployment del servizio di ricezione di eventi su Cloud Run.

Esegui il deployment del servizio di ricezione di eventi in Cloud Run

Esegui il deployment di un servizio Cloud Run che riceverà e registrerà gli eventi utilizzando un'immagine predefinita, us-docker.pkg.dev/cloudrun/container/hello:

gcloud run deploy helloworld-events \
    --image=us-docker.pkg.dev/cloudrun/container/hello \
    --allow-unauthenticated

Se il deployment ha esito positivo, la riga di comando visualizza l'URL del servizio.

Ora che hai eseguito il deployment di un servizio di ricezione di eventi chiamato helloworld-events in Cloud Run, puoi configurare il trigger.

Crea un trigger Eventarc

Il trigger Eventarc invia gli eventi dal bucket Cloud Storage al servizio Cloud Run helloworld-events.

Crea un trigger che filtri gli eventi Cloud Storage e che utilizzi il account di servizio predefinito di Compute Engine.
```
  gcloud eventarc triggers create storage-events-trigger \
      --destination-run-service=helloworld-events \
      --destination-run-region=us-central1 \
      --event-filters="type=google.cloud.storage.object.v1.finalized" \
      --event-filters="bucket=PROJECT_ID-bucket" \
      --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
Viene creato un trigger denominato storage-events-trigger.

Tieni presente che quando crei un trigger Eventarc per la prima volta in un Google Cloud progetto, potrebbe verificarsi un ritardo nel provisioning dell'agente di servizio Eventarc. Questo problema può essere in genere risolto tentando di creare di nuovo il trigger. Per saperne di più, consulta Errori di autorizzazione negata.

Per confermare che storage-events-trigger è stato creato correttamente, esegui:

  gcloud eventarc triggers list --location=us-central1

L'output è simile al seguente:

 NAME                    TYPE                                      DESTINATION_RUN_SERVICE  DESTINATION_RUN_PATH  ACTIVE
 storage-events-trigger  google.cloud.storage.object.v1.finalized  helloworld-events                              Yes

Genera e visualizza un evento

Per generare un evento, carica un file di testo in Cloud Storage:
```
 echo "Hello World" > random.txt
 gcloud storage cp random.txt gs://PROJECT_ID-bucket/random.txt
```
Il caricamento genera un evento e il servizio Cloud Run registra il messaggio dell'evento.

Per visualizzare la voce di log, filtra le voci di log e restituisci l'output in formato JSON:

gcloud logging read 'jsonPayload.message: "Received event of type google.cloud.storage.object.v1.finalized."'

Cerca una voce di log simile alla seguente:

jsonPayload:
  event:
  ...
  eventType: google.cloud.storage.object.v1.finalized
  message: |
    Received event of type google.cloud.storage.object.v1.finalized. Event data: {
      "kind": "storage#object",
      "id": "PROJECT_ID-bucket/random.txt/1713970683868432",
      "selfLink": "https://www.googleapis.com/storage/v1/b/PROJECT_ID-bucket/o/random.txt",
      "name": "random.txt",
      "bucket": "PROJECT_ID-bucket",
      ...
    }

Complimenti! Hai eseguito correttamente il deployment di un servizio di ricezione di eventi in Cloud Run, creato un trigger Eventarc, generato un evento da Cloud Storage e visualizzato nei log di Cloud Run.

Libera spazio

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato.

Puoi:

In alternativa, puoi eliminare il Google Cloud progetto per evitare addebiti. L'eliminazione del tuo Google Cloud progetto interrompe la fatturazione di tutte le risorse utilizzate al suo interno.

Elimina un Google Cloud progetto:

gcloud projects delete PROJECT_ID

Se intendi esplorare più tutorial e guide rapide, il riuso dei progetti ti aiuta a non superare i limiti di quota.