Implementa en Cloud Run y visualiza estadísticas de seguridad
Esta guía de inicio rápido explica cómo implementar una imagen de contenedor en Cloud Run y ver las estadísticas de seguridad para la implementación en Software Delivery Shield Panel Seguridad en la consola de Google Cloud. Harás lo siguiente:
- Implementar una imagen en Cloud Run con Cloud Deploy Cloud Deploy es un servicio de Google Cloud que automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una promoción definida secuencia.
Consulta las siguientes estadísticas de seguridad de la implementación:
- Información de identidad y encriptación para la implementación.
- Niveles de la cadena de suministro para el nivel de los artefactos de software (SLSA), que identifica el nivel de seguridad de la implementación.
- Vulnerabilidades en los artefactos de compilación.
- Lista de materiales de software (SBOM) para los artefactos de compilación.
- Procedencia de la compilación, que es una colección de metadatos verificables sobre una compilación. Incluye detalles como los resúmenes de las imágenes compiladas, las entradas las ubicaciones de las fuentes, la cadena de herramientas de compilación, los pasos y la duración de la compilación.
Antes de comenzar
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Cloud Build, Artifact Registry, Cloud Deploy, Cloud Run, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com clouddeploy.googleapis.com run.googleapis.com containerscanning.googleapis.com - Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Cloud Build, Artifact Registry, Cloud Deploy, Cloud Run, and Container Scanning APIs:
gcloud services enable cloudbuild.googleapis.com
artifactregistry.googleapis.com clouddeploy.googleapis.com run.googleapis.com containerscanning.googleapis.com
Establece la configuración predeterminada
Establece una variable de entorno para el ID del proyecto:
export PROJECT_ID=$(gcloud config get project)
Configura la región predeterminada para Cloud Deploy:
gcloud config set deploy/region us-central1
Otorgar acceso
Otorga funciones de IAM a la cuenta de servicio predeterminada de Compute Engine. Esto es necesario para que Cloud Deploy implemente cargas de trabajo en Cloud Run.
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
--format="value(projectNumber)")-compute@developer.gserviceaccount.com \
--role="roles/clouddeploy.jobRunner"
gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe $PROJECT_ID \
--format="value(projectNumber)")-compute@developer.gserviceaccount.com \
--member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
--format="value(projectNumber)")-compute@developer.gserviceaccount.com \
--role="roles/iam.serviceAccountUser" \
--project=$PROJECT_ID
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
--format="value(projectNumber)")-compute@developer.gserviceaccount.com \
--role="roles/run.developer"
Si tienes problemas para agregar cualquiera de estos roles, comunícate con el administrador de tu proyecto.
Crea un repositorio de Docker en Artifact Registry
Crea un nuevo repositorio de Docker llamado
containers
en la ubicaciónus-central1
con la descripción “Repositorio de Docker”:gcloud artifacts repositories create containers --repository-format=docker \ --location=us-central1 --description="Docker repository"
Verifica que se haya creado el repositorio:
gcloud artifacts repositories list
Deberías ver
containers
en la lista de repositorios que se muestran.
Prepara la aplicación de ejemplo
Necesitarás algún código fuente de muestra para compilar e implementar. En esta sección, clonarás un repositorio de origen existente que contiene una muestra de código Java.
Clona el repositorio que contiene la muestra de código Java:
git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git cd software-delivery-shield-demo-java/backend
Actualiza
cloudrun.clouddeploy.yaml
para reemplazarPROJECT_ID
por el ID de tu proyecto:sed -i "s/PROJECT_ID/${PROJECT_ID}/g" cloudrun.clouddeploy.yaml
Compila la aplicación
Compilar y alojar en contenedores la aplicación de Java con Cloud Build El siguiente comando compila y aloja en contenedores la aplicación de Java y almacena las contenedor compilado en el repositorio de Docker de Artifact Registry:
gcloud builds submit --config=cloudbuild.yaml --region=us-central1
Cuando se complete la compilación, verás un mensaje de estado de éxito similar al lo siguiente:
DONE ----------------------------------------------------------------------------- ID: 3e08565f-7f57-4449-bc68-51c46cf33d03 CREATE_TIME: 2022-09-19T15:41:07+00:00 DURATION: 54S SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart STATUS: SUCCESS
Genera SBOM para la imagen compilada
Una SBOM es un inventario completo de una aplicación que identifica los paquetes y en las que se basa tu software. El contenido puede incluir software de terceros de artefactos internos y bibliotecas de código abierto.
Genera la SBOM para la imagen que compilaste en la sección anterior:
gcloud artifacts sbom export \
--uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
Implementa el contenedor en Cloud Run con Cloud Deploy
Registra tu canalización y destinos con el servicio de Cloud Deploy:
gcloud deploy apply --file cloudrun.clouddeploy.yaml
Ahora tienes una canalización con destinos, lista para implementar la aplicación en el primer destino.
Para verificar que tu canalización exista, ve a la página Canalizaciones de entrega en la consola de Google Cloud:
Abrir la página Canalizaciones de entrega
La canalización de entrega que acabas de crear,
cloudrun-guestbook-backend-delivery
el código fuente.Haz clic en
cloudrun-guestbook-backend-delivery
para supervisar el progreso. El Se abrirá la página Detalles de la canalización de entrega.En Cloud Shell, crea una versión en Cloud Deploy:
gcloud deploy releases create test-release-007 \ --delivery-pipeline=cloudrun-guestbook-backend-delivery \ --skaffold-file=cloudrun.skaffold.yaml \ --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
El nuevo lanzamiento aparecerá en la sección Lanzamientos de la página Publicación detalles de la canalización.
Supervisa la vista Visualización de la canalización en la canalización de entrega detalles hasta que aparezca el botón Ascender para
dev-cluster
. Es posible que debas actualizar la página.En el primer destino de la visualización de la canalización de entrega,
cloudrun-dev
, Haz clic en Ascender.Se muestra el cuadro de diálogo Promocionar la versión. Muestra los detalles del destino al que promocionarás.
Haz clic en Promover.
La versión ahora está en cola para su implementación en
cloudrun-prod
. Cuando la implementación es completa, la visualización de la canalización de entrega la mostrará como implementada:
Ver estadísticas de seguridad en Cloud Deploy
Abre la página Canalizaciones de entrega de Cloud Deploy en la Consola de Google Cloud
En la tabla Canalizaciones de entrega, haz clic en cloudrun-Guest-backend-delivery.
En la página Detalles de canalizaciones de entrega, haz clic en test-release-008.
En la página Detalles de la versión, haz clic en la pestaña Artefactos.
En la tabla Artefactos de compilación, ubica la fila con el artefacto java-Guest-backend. y en la columna Estadísticas de seguridad correspondiente, haz clic en Ver.
Verás el panel Seguridad de Software Delivery Shield para la implementación.
En este panel, se muestra la siguiente información:
Nivel SLSA: Esta compilación alcanzó el nivel 3 de SLSA. Haz clic en el botón Más información para obtener más información sobre el significado de este nivel de seguridad.
Vulnerabilidades: Cualquier vulnerabilidad que se encuentre en tus artefactos. Haz clic en el ícono nombre de la imagen (java-guestbook-backend) para ver los artefactos que se analizado en busca de vulnerabilidades.
Dependencias para los artefactos de compilación.
Detalles de compilación: Detalles de la compilación, como el compilador y el vínculo a y visualizar registros.
Visualiza las estadísticas de seguridad en Cloud Run
Abre la página Servicios de Cloud Run.
En la tabla Servicios de Cloud Run, haz clic en Guest-backend-prod.
En la página Detalles del servicio, haz clic en Revisiones.
En el panel Revisiones, haz clic en Seguridad.
Verás el panel Seguridad de Software Delivery Shield para la implementación.
En este panel, se muestra la siguiente información:
Identidad y encriptación: la dirección de correo electrónico de la instancia predeterminada de Compute Engine la cuenta de servicio y la clave de encriptación que se usó para la implementación.
Nivel de SLSA: Esta compilación alcanzó el nivel 3 de la SLSA. Haz clic en el botón Más información para obtener más información sobre el significado de este nivel de seguridad.
Vulnerabilidades: Cualquier vulnerabilidad que se encuentre en tus artefactos. Haz clic en el ícono nombre de la imagen (java-guestbook-backend) para ver los artefactos que se analizado en busca de vulnerabilidades.
Dependencias para los artefactos de compilación.
Detalles de la compilación: Son los detalles de la compilación, como el compilador y el vínculo para ver los registros.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en esta página, borra el proyecto de Cloud que tiene los recursos.
Inhabilita la API de Container Scanning:
gcloud services disable containerscanning.googleapis.com --force
Borra el servicio
guestbook-backend-dev
de Cloud Run:gcloud run services delete guestbook-backend-dev --region=us-central1 \ --project=${PROJECT_ID}
Borra el servicio
guestbook-backend-prod
:gcloud run services delete guestbook-backend-prod --region=us-central1 \ --project=${PROJECT_ID}
Borra la canalización de entrega, incluidos el lanzamiento y los lanzamientos:
gcloud deploy delivery-pipelines delete cloudrun-guestbook-backend-delivery \ --force --region=us-central1 --project=${PROJECT_ID}
Este comando borra la canalización de entrega en sí, además de todos los recursos de seguridad de la cadena de suministro de software
release
yrollout
que se crearon para esa canalización.Borra el repositorio de Artifact Registry:
gcloud artifacts repositories delete containers \ --location=us-central1 --async
Eso es todo, finalizaste la guía de inicio rápido.
¿Qué sigue?
- Obtén más información sobre la Panel de estadísticas de seguridad de Software Delivery Shield en Cloud Run.
- Aprende a ver las estadísticas de seguridad cuando realizas implementaciones en GKE.
- Aprende a ver las estadísticas de seguridad de las compilaciones.
- Obtén más información sobre Software Delivery Shield.