Cloud Deploy-Ausführungsumgebungen verwenden

Eine Cloud Deploy-Ausführungsumgebung ist die Umgebung, in der Cloud Deploy seine Rendering-, Vorabbereitstellungs-, Bereitstellungs-, Überprüfungs- und Bereitstellungsnachbereitungsvorgänge ausführt. Die Ausführungsumgebung besteht aus den folgenden Komponenten:

  • Der Cloud Build-Worker-Pool (Standard oder privat), in dem Cloud Deploy Rendering-, Vorabbereitstellungs-, Bereitstellungs-, Überprüfungs- und Bereitstellungsnachbereitungsvorgänge ausführt

  • Das Dienstkonto (Standard oder Alternativ), das Cloud Deploy zum Ausführen dieser Aktionen aufruft

  • Der Speicherort (Standard oder Alternativ) für gerenderte Manifeste in Cloud Storage.

  • Die Cloud Build-Zeitüberschreitung für Vorgänge (Standard oder benutzerdefiniert)

In diesem Artikel werden die Standardausführungsumgebung, die Dienstkonten und der Speicher für Cloud Deploy beschrieben, sowie Gründe und Vorgehensweisen für die Änderung dieser Standardeinstellungen.

Standardeinstellungen

Im Folgenden finden Sie die Standardwerte, die Cloud Deploy zum Ausführen, zum Rendering, zur Bereitstellung sowie zum Speichern von Assets, darunter gerenderte Manifeste, verwendet:

  • Standard-Worker-Pool

    Standardmäßig wird Cloud Deploy im standardmäßigen Cloud Build-Worker-Pool ausgeführt. Sie können jedoch Cloud Deploy so konfigurieren, dass ein privater Cloud Build-Worker-Pool verwendet wird.

    Weitere Informationen zu Worker-Pools finden Sie in der Cloud Build-Übersicht zu Standardpools und privaten Pools.

  • Standard-Ausführungsdienstkonto

    Cloud Deploy verwendet standardmäßig das Compute Engine-Standarddienstkonto.

  • Standardspeicherort für Cloud Deploy

    Dieser Wert ist der Cloud Storage-Bucket, in dem Cloud Deploy Ihre gerenderten Manifeste speichert. Standardmäßig erstellt Cloud Deploy einen Cloud Storage-Bucket in derselben Region wie die Cloud Deploy-Ressourcen. Er hat folgende Form:

    <location>.deploy-artifacts.<project ID>.appspot.com

  • Standard-Zeitlimit für Cloud Build

    Standardmäßig hat Cloud Build eine Zeitüberschreitung von einer Stunde für Vorgänge, die für Cloud Deploy ausgeführt werden. Sie können diese Zeitüberschreitung in der Ausführungsumgebungsspezifikation in der Zielkonfiguration ändern.

  • Standardausführlichkeit für Skaffold, gcloud CLI und kubectl

    Standardmäßig sind die Logebenen für diese Tools auf die jeweiligen Standardwerte festgelegt, in der Regel warn oder ein entsprechender Wert. Sie können dies ändern und debug oder ein ähnliches Zeichen verwenden.

In folgenden Abschnitten werden die Umstände beschrieben, unter denen Sie diese Werte ändern würden, sowie Links zu entsprechenden Anleitungen.

Cloud Build-Worker-Pools

Für die Cloud Deploy-Ausführungsumgebung kann Folgendes verwendet werden:

  • Der Cloud Build-Standardpool

    Der Standard-Worker-Pool ist eine sichere, gehostete Umgebung mit Zugriff auf das öffentliche Internet. In diesem Pool werden von anderen Arbeitslasten isolierte Rendering-, Bereitstellungs-, Vorabbereitstellungs-, Nachbereitstellungs- und Überprüfungsvorgänge ausgeführt.

  • Privater Pool

    Private Worker-Pools sind private, dedizierte Pools, die stärker angepasst werden können als der standardmäßige Worker-Pool. Diese Anpassung kann die Möglichkeit bieten, auf Ressourcen in einem privaten Netzwerk zuzugreifen. Wie der Standard-Worker-Pool werden auch private Worker-Pools von Cloud Build gehostet und vollständig verwaltet. Diese Pools können vertikal und horizontal auf null skaliert werden. Dabei muss keine Infrastruktur eingerichtet, aktualisiert oder skaliert werden.

    In der Übersicht über private Pools von Cloud Build werden Standard-Worker-Pools und private Worker-Pools ausführlicher beschrieben. Dort findet sich auch eine Tabelle, in der die Funktionen verglichen werden.

Cloud Deploy-Ausführungsumgebung ändern

Unter folgenden Umständen können Sie die Cloud Deploy-Ausführungsumgebung ändern:

  • Sie möchten eine Bereitstellung in einem privaten Google Kubernetes Engine-Cluster vornehmen.

  • Sie möchten, dass Render-, Bereitstellungs-, Vorabbereitstellungs-, Nachbereitstellungs- oder Überprüfungsvorgänge oder eine Kombination aus diesen fünf Vorgängen in einer Umgebung ausgeführt werden, die von anderen Organisationen isoliert ist.

  • Sie möchten, dass diese Vorgänge in einer Umgebung ausgeführt werden, die nicht mit dem öffentlichen Internet verbunden ist.

  • Sie möchten separate Umgebungen für Rendering und Bereitstellung erstellen.

  • Sie möchten ein dediziertes Dienstkonto mit Berechtigungen verwenden, die für Ihre Nutzung spezifischer sind als die im Standarddienstkonto verfügbaren Berechtigungen.

  • Sie möchten gerenderte Manifeste an einem anderen Speicherort als dem standardmäßigen Cloud Storage-Bucket speichern.

Die Konfiguration aller drei Teile der Ausführungsumgebung (Worker-Pool, Dienstkonto und Speicher) erfolgt pro Ziel in der YAML-Konfiguration der einzelnen Ziele.

Vom Standardpool zu einem privaten Pool wechseln

Sie konfigurieren Worker-Pools pro Ziel, sodass der Pool für RENDER, DEPLOY, PREDEPLOY, POSTDEPLOY oder VERIFY (oder eine Kombination dieser fünf) nur für das jeweilige Ziel verwendet wird.

Wenn Sie den Standard-Worker-Pool sowohl für Rendering- als auch für Bereitstellungsvorgänge verwenden möchten, müssen Sie nichts weiter tun.

Im folgenden Beispiel wird eine Zielkonfiguration mit einem privaten Worker-Pool für DEPLOY und dem Standard-Worker-Pool für RENDER, PREDEPLOY, POSTDEPLOY und VERIFY gezeigt:

executionConfigs:
- usages:
  - DEPLOY
  privatePool:
    workerPool: "projects/p123/locations/us-central1/workerPools/wp123"
- usages:
  - RENDER
  - PREDEPLOY
  - VERIFY
  - POSTDEPLOY

Weitere Informationen zum Konfigurieren privater Pools für Ziele finden Sie in der Dokumentation zur Konfiguration der Lieferpipeline.

Vom Standarddienstkonto zum benutzerdefinierten Ausführungsdienstkonto wechseln

Wie beim Worker-Pool können Sie ein alternatives Dienstkonto angeben, das für Rendering oder Bereitstellung (oder beides) pro Ziel verwendet werden soll. Fügen Sie dazu folgende Zeile in die Zielkonfiguration ein, nach dem workerPool-Element:

serviceAccount: "[name]@[project_name].iam.gserviceaccount.com"

Das angegebene Dienstkonto muss die Rolle clouddeploy.jobRunner haben, wie im Dokument Cloud Deploy-Dienstkonten beschrieben.

Weitere Informationen zu dieser Konfiguration finden Sie unter Zieldefinitionen.

Speicherort ändern

Um den Storage-Bucket vom Cloud Deploy-Standard zu ändern, fügen Sie folgende Zeile der Zieldefinition in der workerPool-Stanza hinzu:

artifactStorage: "gs://[bucket_name]/[dir]"

Mit dieser Konfiguration wird geändert, wo die gerenderten Manifeste gespeichert werden. Wo die Renderingquelle gespeichert wird, bleibt davon unberührt.

Logebene für Skaffold, gcloud-Befehlszeile und kubectl ändern

Wenn Sie die Protokollebene für Skaffold, die gcloud-Befehlszeile und kubectl von den jeweiligen Standardwerten in debug (oder einem entsprechenden Wert) ändern möchten, setzen Sie in den Ausführungskonfigurationen verbose auf true. Beispiel:

executionConfigs:
- usages:
  - [RENDER | PREDEPLOY|  DEPLOY | VERIFY | POSTDEPLOY]
  workerPool:
  serviceAccount:
  artifactStorage:
  executionTimeout:
  verbose: true

Cloud Deploy in einem VPC Service Controls-Perimeter verwenden

Cloud Deploy unterstützt VPC Service Controls.

Folgen Sie der Kurzanleitung zu VPC Service Controls, um einen Dienstperimeter einzurichten.

Beschränkungen

  • Sie müssen einen privaten Cloud Build-Worker-Pool für die Ausführungsumgebung des Ziels verwenden – also nicht den Standard-Worker-Pool.

  • Das Projekt, das den Worker-Pool enthält, und das Projekt, das Ihre Cloud Deploy-Ressourcen enthält, müssen sich im selben VPC Service Controls-Sicherheitsperimeter befinden.

  • GKE-Cluster, die Sie im VPC Service Controls-Perimeter bereitstellen, müssen private Cluster sein.

    Informationen zum Einrichten eines privaten Pools für einen privaten Cluster finden Sie in dieser Anleitung.

Nächste Schritte