Convalida configurazioni

Questo tutorial mostra come convalidare le configurazioni con Cloud Build quando utilizzi i cluster Google Kubernetes Engine (GKE) Enterprise Edition. La stessa configurazione funziona in qualsiasi altro sistema CI/CD basato su container, come CircleCI, con modifiche minime.

Ti consigliamo di convalidare eventuali modifiche alla configurazione nella pipeline CI/CD, oltre a controllare la validità delle configurazioni, eseguendo il comando nomos vet.

Obiettivi

  • Crea un file di configurazione Cloud Build che indichi a Config Sync di utilizzare nomos vet per le configurazioni nel tuo repository.
  • Crea un trigger Cloud Build in modo che le configurazioni vengano controllate ogni volta che viene apportata una modifica al ramo di sviluppo.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Build API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Cloud Build API.

    Enable the API

    8.
  8. Crea o accedi a un cluster GKE Enterprise che soddisfi i requisiti per Config Sync. Per informazioni dettagliate su come creare un cluster di questo tipo, consulta la guida introduttiva all'utilizzo di Config Sync.

Concedi l'autorizzazione all'account di servizio Cloud Build

Concedi all'account di servizio Cloud Build l'autorizzazione per accedere al tuo cluster GKE Enterprise.

gcloud

Per aggiungere il ruolo Kubernetes Engine Developer all'account di servizio Cloud Build, esegui il seguente comando:

PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUM=$(gcloud projects list --filter="$PROJECT_ID" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUM@cloudbuild.gserviceaccount.com \
    --role=roles/container.developer

Console

  1. Apri la pagina IAM nella console Google Cloud.

    Vai alla pagina IAM

  2. Nella colonna member, trova la riga con l'account di servizio Cloud Build:

    PROJECT_NUMBER@cloudbuild.gserviceaccount.com

  3. In quella riga, fai clic su Modifica principale.

  4. Fai clic su Aggiungi un altro ruolo.

  5. Nell'elenco Seleziona un ruolo, seleziona Kubernetes Engine Developer e poi fai clic su Salva.

Crea una configurazione di Cloud Build

Crea un file di configurazione Cloud Build e memorizzalo nella directory principale del repository contenente i file di configurazione (ad es.my-repo/cloudbuild.yaml).

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/config-management-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Sostituisci quanto segue:

  • ZONE: la zona in cui è in esecuzione il cluster
  • CLUSTER_NAME: il nome del cluster
  • POLICY_DIR: il percorso all'interno del repository Git che rappresenta il livello superiore del repository da sincronizzare

Questa configurazione prevede tre passaggi:

  1. Esegui kubectl config current-context per generare il file kubeconfig necessario per autenticarti al cluster GKE my-cluster. L'utente root genera questo file con autorizzazioni limitate.
  2. Esegui chmod 444 /kube/config per rendere il file leggibile nel passaggio successivo.
  3. Esegui nomos vet sul repository Git che viene clonato automaticamente in /workspace. Se utilizzi un repository non strutturato, esegui nomos vet --source-format=unstructured.

Creare un trigger di build

L'esempio seguente crea un trigger che viene eseguito per ogni commit al ramo master di un repository Cloud Source Repositories.

  1. Apri la pagina Trigger nella console Google Cloud.

    Vai alla pagina degli attivatori

  2. Fai clic su Connetti repository.

  3. Seleziona GitHub (mirrored) e poi fai clic su Continua.

  4. Seleziona il tuo repository, quindi fai clic su Connetti repository.

  5. Fai clic su Aggiungi attivatore.

  6. Inserisci o seleziona la voce corrispondente in ogni campo descritto nella tabella seguente:

    Campo Voce
    Evento Push su un branch
    Branch ^master$
    Configurazione File di configurazione di Cloud Build (yaml o json)
    Posizione file di configurazione Cloud Build / cloudbuild.yaml

  7. Fai clic su Crea per salvare il trigger di build.

Testa l'trigger di build

Testa manualmente la configurazione eseguendo l'attivatore:

  1. Apri la pagina Trigger nella console Google Cloud.

    Vai alla pagina degli attivatori

  2. Individua l'attivatore che hai creato e fai clic su Esegui trigger.

    Viene visualizzato il messaggio "Compilazione avviata nel ramo master".

  3. Fai clic su Mostra.

    I passaggi di Cloud Build vengono visualizzati in verde se sono configurati correttamente.

Configurazioni Cloud Build non valide

Un trigger non può essere eseguito se il file di configurazione di Cloud Build non è valido.

Per verificare, aggiorna la configurazione di Cloud Build nel tuo repository con il seguente file. Nota il rientro non valido nella riga 6:

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
  path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/nomos-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Se esegui di nuovo manualmente l'attivatore, ricevi il seguente messaggio di errore perché path: nella riga 6 non è rientrato correttamente:

Failed to trigger build: failed unmarshalling build config cloudbuild.yaml:
unknown field "path" in cloudbuild_go_proto.BuildStep.

Per correggere questa configurazione, inserisci path: nella riga 6 allo stesso livello di name: nella riga 5. Per ulteriori informazioni sulla struttura di un file di configurazione di Cloud Build, consulta Creare una configurazione di Cloud Build di base.

Esegui la pulizia

Elimina il progetto

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

Elimina singole risorse

Per eliminare le singole risorse:

  1. Elimina il file di configurazione di Cloud Build.
  2. Elimina l'trigger di Cloud Build che hai creato.
  3. Elimina il cluster che hai utilizzato per questo tutorial.

Passaggi successivi