Cloud Workstations te permite crear y usar imágenes para tus estaciones de trabajo. Después de usar una imagen personalizada, es útil automatizar su recompilación con el fin de incorporar las correcciones y actualizaciones disponibles en las imágenes base.
En este instructivo, aprenderás a compilar una canalización automatizada para garantizar que incluyas actualizaciones de seguridad y parches en tus imágenes de estaciones de trabajo personalizadas.
Objetivos
Con este instructivo, compilarás una canalización automatizada para tu imagen base. con estos pasos:
- Crea un repositorio de Artifact Registry para almacenar y analizar tu imagen personalizada.
- Configura GitHub con Google Cloud para almacenar los parámetros de configuración de las imágenes.
- Crear un activador de Cloud Build para automatizar la creación y la implementación de imágenes personalizadas a Artifact Registry.
- Configurar Cloud Scheduler para iniciar compilaciones de forma periódica
- Revisa los resultados de los procesos automatizados.
Costos
En este documento, usarás los siguientes componentes facturables de Google Cloud:
Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios.
Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.
Antes de comenzar
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Prepare el entorno
Antes de continuar, asegúrate de configurar las siguientes variables de entorno.
Establece el ID del proyecto de la nube que planeas usar:
PROJECT_ID=$PROJECT_ID
Establece el nombre de usuario de GitHub en el que planeas almacenar tu repositorio:
GITHUB_USER=$GITHUB_ID
Configura las variables
PROJECT_NUMBER
yREGION
para usar durante el proceso:PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \ --format='value(projectNumber)') REGION=$REGION
En el ejemplo anterior, reemplaza $REGION por el nombre de la región. que planeas usar, por ejemplo,
us-central1
.Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Cloud Workstations.
Crea un repositorio de Artifact Registry
En este instructivo, usarás Artifact Registry para almacenar y analizar tus imágenes.
Crea un repositorio con el siguiente comando:
gcloud artifacts repositories create custom-images \ --repository-format=docker \ --location=$REGION \ --description="Docker repository"
Reemplaza $REGION por el nombre de la región que planeas. usar.
Configura Docker para que use tus credenciales de la CLI de
gcloud
cuando accediendo a Artifact Registry.gcloud auth configure-docker $REGION-docker.pkg.dev
Para desactivar Artifact Analysis, ejecuta el siguiente comando:
gcloud services disable containerscanning.googleapis.com
Configura tu repositorio de GitHub
En la práctica, se conserva el Dockerfile para las imágenes personalizadas en un repositorio de Git. El el proceso automatizado accede a ese repositorio durante el proceso de compilación para extraer parámetros de configuración relevantes y Dockerfile.
Bifurca el repositorio de muestra
Para bifurcar un repositorio de muestra que proporciona definiciones de contenedores, sigue estos pasos: pasos:
- Haz clic en este vínculo para
Crea una bifurcación nueva.
del repositorio
software-delivery-workshop
. - Si se te solicita, accede a GitHub.
- Selecciona tu nombre de usuario de GitHub como propietario. El nombre del repositorio aparece como
software-delivery-workshop
- Haz clic en Crear bifurcación y espera unos segundos a que se complete el proceso.
Conecta Cloud Build a GitHub
A continuación, conecta ese repositorio a Cloud Build con el Capacidad de conexión con GitHub. Haz clic en el vínculo al repositorio de GitHub y sigue las instrucciones que describen cómo completar el proceso. No es necesario crea el activador en el último paso del asistente y puedes omitir el último ya que puedes hacerlo más adelante desde la línea de comandos.
Si usas una solución de repositorio de Git diferente, también puedes seguir instrucciones para Conectar Cloud Build a GitLab o Bitbucket.
Crea un activador de Cloud Build
El repositorio de muestra contiene una definición de contenedor y una
de Terraform que se usa para compilar la imagen del contenedor. En este paso, crearás un
activador de Cloud Build que ejecuta las instrucciones del
cloudbuild.yaml
, que puedes encontrar en la
labs/cloudbuild-scheduled-jobs/code-oss-java
carpeta.
gcloud builds triggers create manual \
--name=custom-image-trigger \
--repo=$GITHUB_USER/software-delivery-workshop \
--repo-type=GITHUB \
--branch=main \
--build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
--substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java
TRIGGER_ID=$(gcloud builds triggers list \
--filter=name="custom-image-trigger" --format="value(id)")
En este ejemplo, se configura lo siguiente:
- El comando
gcloud
de la CLI crea una activación manual dentro de Cloud Build con el nombrecustom-image-trigger
como lo indica la marcaname
en la segunda línea. - Las siguientes tres líneas contienen marcas relacionadas con el repositorio de código fuente de GitHub:
- Ruta de acceso al repositorio
- Tipo del repositorio
- Rama de Git para compilar
- La marca
build-config
indica la ruta de acceso Archivo de Cloud Build en el repositorio de Git. Para que el trabajo sea dinámico, usa la marca
substitutions
. Para este trabajo, el comando pasa las siguientes variables:- Región,
$_REGION
- Nombre del repositorio de Artifact Registry,
$_AR_REPO_NAME
- Nombre de la imagen del contenedor,
$_AR_IMAGE_NAME
- Ubicación del Dockerfile que se compilará,
$_IMAGE_DIR
Consulta el cloudbuild.yaml para ver cómo se usan estas variables en el proceso.
- Región,
Después de crear el activador, se recupera su nombre único y se almacenará en la variable de entorno
$TRIGGER_ID
para su uso posterior.
Configura Cloud Scheduler
Para ayudar a garantizar que tus imágenes estén al día con las actualizaciones más recientes parches, usa Cloud Scheduler para ejecutar Cloud Build se activa en una frecuencia establecida. En este instructivo, el trabajo se ejecuta todos los días. En establece esta frecuencia en una frecuencia que se alinee con las necesidades de tu organización garantizar que siempre se incluyan las actualizaciones más recientes.
Otorga el rol necesario a la cuenta de servicio predeterminada que debes invocar Activador de Cloud Build:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \ --role="roles/cloudbuild.builds.editor"
Otorga el rol necesario a la cuenta de servicio de Cloud Build para subir imágenes a Artifact Registry:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role="roles/artifactregistry.admin"
Crea el trabajo de Cloud Scheduler con el siguiente comando:
gcloud scheduler jobs create http run-build \ --schedule='0 1 * * *' \ --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \ --location=us-central1 \ --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform
El trabajo está configurado para ejecutarse una vez al día. Sin embargo, para probar de inmediato, ejecuta el trabajo de forma manual Cloud Scheduler:
- En la página de Cloud Scheduler, busca la entrada que acabas de crear. llamada run-build.
- En la columna Acciones, haz clic en el menú more_vertMás opciones para eso. fila.
- Haz clic en Forzar la ejecución de un trabajo para probar el sistema manualmente.
Después de que el comando se ejecute correctamente, cambia a Página Historial de Cloud Build para revisar el progreso:
Revisa los resultados
Porque habilitaste la API de Container Scanning como parte de la configuración Artifact Registry analiza automáticamente las imágenes por motivos de seguridad vulnerabilidades.
Para revisar las vulnerabilidades, sigue estos pasos:
Abre la página Repositorios de Artifact Registry:
En la lista de repositorios, haz clic en un repositorio.
Haz clic en el nombre de una imagen. Los totales de vulnerabilidades para cada resumen de imágenes aparecen en la columna Vulnerabilidades.
Para ver la lista de vulnerabilidades de una imagen, haz clic en el vínculo de la columna Vulnerabilidades. En la lista de vulnerabilidades, severity, disponibilidad de una solución y el nombre del paquete que contiene de seguridad en la nube.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos utilizados en esta página, asegúrate de borrar los recursos que que ya no necesitas.
Para borrar un proyecto de Google Cloud de la consola de Google Cloud o
CLI de gcloud
:
Console
- En la consola de Google Cloud, ve a la página Administrar recursos.
- En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
- En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.
gcloud
Borra un proyecto de Google Cloud:
gcloud projects delete PROJECT_ID
¿Qué sigue?
- Revisa la lista de imágenes base preconfiguradas disponibles.
- Personaliza tus imágenes de contenedor.
- Revisa los tipos de máquinas disponibles.
- Configura las prácticas recomendadas de seguridad.
- Explora arquitecturas de referencia, diagramas y prácticas recomendadas sobre Google Cloud. Consulta nuestro Cloud Architecture Center.