Convalida configurazioni

Questo tutorial mostra come convalidare le configurazioni con Cloud Build quando utilizzi i cluster Google Kubernetes Engine (GKE) Enterprise. La stessa configurazione funziona in qualsiasi altro sistema CI/CD basato su container, come CircleCI, con modifiche minime.

Ti consigliamo di convalidare le modifiche alla configurazione nella pipeline CI/CD, oltre a verificare la validità delle configurazioni eseguendo il comando nomos vet.

Obiettivi

  • Crea un file di configurazione di Cloud Build che indichi a Config Sync di utilizzare nomos vet nelle configurazioni del repository.
  • Crea un trigger Cloud Build in modo che le configurazioni vengano controllate ogni volta che viene apportata una modifica al ramo di sviluppo.

Costi

In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi Google Cloud utenti potrebbero avere diritto a una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per ulteriori informazioni, vedi Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Build API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Cloud Build API.

    Enable the API

    8.
  8. Crea o accedi a un cluster GKE Enterprise che soddisfi i requisiti per Config Sync. Per informazioni dettagliate su come creare un cluster di questo tipo, vedi Inizia a utilizzare Config Sync.

    9. Concedi l'autorizzazione al account di servizio Cloud Build

    Concedi all'account di servizio Cloud Build l'autorizzazione per accedere al tuo cluster GKE Enterprise.

    gcloud

    Per aggiungere il ruolo Kubernetes Engine Developer al account di servizio Cloud Build, esegui questo comando:

    PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUM=$(gcloud projects list --filter="$PROJECT_ID" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUM@cloudbuild.gserviceaccount.com \
    --role=roles/container.developer

    Console

    1. Apri la pagina IAM nella console Google Cloud .

      Vai alla pagina IAM

    2. Nella colonna membro, trova la riga con il service account Cloud Build:

      PROJECT_NUMBER@cloudbuild.gserviceaccount.com

    3. In quella riga, fai clic su Modifica entità.

    4. Fai clic su Aggiungi un altro ruolo.

    5. Nell'elenco Seleziona un ruolo, seleziona Kubernetes Engine Developer e poi fai clic su Salva.

    Crea una configurazione di Cloud Build

    Crea un file di configurazione Cloud Build e archivialo nella directory principale del repository contenente i file di configurazione (ad esempio, my-repo/cloudbuild.yaml).

    steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/config-management-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

    Sostituisci quanto segue:

    • ZONE: la zona in cui è in esecuzione il cluster
    • CLUSTER_NAME: il nome del tuo cluster
    • POLICY_DIR: il percorso all'interno del repository Git che rappresenta il livello superiore del repository da sincronizzare

    Questa configurazione prevede tre passaggi:

    1. Esegui kubectl config current-context per generare il file kubeconfig necessario per l'autenticazione al cluster GKE my-cluster. L'utente roott genera questo file con autorizzazioni limitate.
    2. Esegui chmod 444 /kube/config per rendere questo file leggibile nel passaggio successivo.
    3. Esegui nomos vet sul repository Git clonato automaticamente in /workspace. Se utilizzi un repository non strutturato, esegui nomos vet --source-format=unstructured.

    Crea un trigger di build

    L'esempio seguente crea un trigger che viene eseguito per ogni commit al ramo master di un repository Cloud Source Repositories.

    1. Apri la pagina Trigger nella console Google Cloud .

      Vai alla pagina dei trigger

    2. Fai clic su Connetti repository.

    3. Seleziona GitHub (mirroring), quindi fai clic su Continua.

    4. Seleziona il repository, quindi fai clic su Connetti repository.

    5. Fai clic su Aggiungi attivatore.

    6. Inserisci o seleziona la voce corrispondente in ogni campo descritto nella tabella seguente:

      Campo Voce
      Evento Push su un branch
      Branch ^master$
      Configurazione File di configurazione di Cloud Build (yaml o json)
      Posizione file di configurazione Cloud Build / cloudbuild.yaml

    7. Fai clic su Crea per salvare il trigger di build.

    Testa il trigger di build

    Verifica manualmente la configurazione eseguendo il trigger:

    1. Apri la pagina Trigger nella console Google Cloud .

      Vai alla pagina dei trigger

    2. Individua il trigger che hai creato, quindi fai clic su Esegui trigger.

      Viene visualizzato il messaggio "Build started on master branch" (Build avviata sul ramo principale).

    3. Fai clic su Mostra.

      I passaggi di Cloud Build vengono visualizzati in verde se configurati correttamente.

    Configurazioni di Cloud Build non valide

    Un trigger non può essere eseguito se il file di configurazione di Cloud Build non è valido.

    Per testare questa funzionalità, aggiorna la configurazione di Cloud Build nel repository con il seguente file. Nota il rientro non valido alla riga 6:

    steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
  path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/nomos-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

    Se esegui di nuovo manualmente il trigger, ricevi il seguente messaggio di errore perché path: alla riga 6 non è rientrato correttamente:

    Failed to trigger build: failed unmarshalling build config cloudbuild.yaml:
unknown field "path" in cloudbuild_go_proto.BuildStep.

    Per correggere questa configurazione, rientra path: alla riga 6 allo stesso livello di name: alla riga 5. Per saperne di più sulla struttura di un file di configurazione di Cloud Build, consulta Creazione di una configurazione di base di Cloud Build.

    Esegui la pulizia

    Elimina il progetto

      Delete a Google Cloud project:

      gcloud projects delete PROJECT_ID

    Elimina singole risorse

    Per eliminare le singole risorse:

    1. Elimina il file di configurazione di Cloud Build.
    2. Elimina il trigger di Cloud Build che hai creato.
    3. Elimina il cluster che hai utilizzato per questo tutorial.

    Passaggi successivi