Automatiza la reconstrucción de imágenes de contenedor para sincronizar las actualizaciones de imágenes base

Cloud Workstations te permite crear y usar imágenes personalizadas para tus estaciones de trabajo. Después de que se usa una imagen personalizada, es útil automatizar la compilación de la imagen personalizada para extraer las correcciones y actualizaciones disponibles en las imágenes base.

En este instructivo, aprenderás a compilar una canalización automatizada para asegurarte de incluir actualizaciones de seguridad y parches en las imágenes de tu estación de trabajo personalizada.

Objetivos

Si sigues este instructivo, compilarás una canalización automatizada para tu imagen base con estos pasos:

  1. Crea un repositorio de Artifact Registry para almacenar y analizar tu imagen personalizada.
  2. Configura GitHub con Google Cloud para almacenar las configuraciones de tus imágenes.
  3. Crea un activador de Cloud Build para automatizar la creación y la implementación de imágenes personalizadas en Artifact Registry.
  4. Configura Cloud Scheduler para iniciar compilaciones de forma periódica.
  5. Revisa los resultados de los procesos automatizados.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Prepare el entorno

Antes de continuar, asegúrate de configurar las siguientes variables de entorno.

  1. Establece el ID del proyecto de Cloud que planeas usar:

    PROJECT_ID=$PROJECT_ID

  2. Establece el nombre de usuario de GitHub en el que planeas almacenar tu repositorio:

    GITHUB_USER=$GITHUB_ID

  3. Establece las variables PROJECT_NUMBER y REGION para usarlas durante el proceso:

    PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \
    --format='value(projectNumber)')

REGION=$REGION

    En el ejemplo anterior, reemplaza $REGION por el nombre de la región que planeas usar, por ejemplo, us-central1.

    Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Cloud Workstations.

Crea un repositorio de Artifact Registry

En este instructivo, usarás Artifact Registry para almacenar y analizar tus imágenes.

  1. Crea un repositorio con el siguiente comando:

    gcloud artifacts repositories create custom-images \
      --repository-format=docker \
      --location=$REGION \
      --description="Docker repository"

    Reemplaza $REGION por el nombre de la región que planeas usar.

  2. Configura Docker para que use tus credenciales de CLI de gcloud cuando accedas a Artifact Registry.

    gcloud auth configure-docker $REGION-docker.pkg.dev

    Para desactivar Artifact Analysis, ejecuta el siguiente comando:

    gcloud services disable containerscanning.googleapis.com

Configura tu repositorio de GitHub

En la práctica, conservas el Dockerfile para tus imágenes personalizadas en un repositorio de Git. El proceso automatizado accede a ese repositorio durante el proceso de compilación para extraer las configuraciones y el Dockerfile relevantes.

Bifurca el repositorio de muestra

Para crear una bifurcación de un repositorio de muestra que proporcione definiciones de contenedores, sigue estos pasos:

  1. Haz clic en este vínculo para crear una bifurcación nueva del repositorio software-delivery-workshop.
  2. Si se te solicita, accede a GitHub.
  3. Selecciona tu nombre de usuario de GitHub como propietario. El nombre del repositorio aparece como software-delivery-workshop.
  4. Haz clic en Create fork y espera unos segundos a que se complete el proceso.

Conecta Cloud Build a GitHub

A continuación, conecta ese repositorio a Cloud Build con la función de conexión de GitHub integrada. Haz clic en el vínculo al repositorio de GitHub y sigue las instrucciones que describen cómo completar el proceso. No es necesario que crees el activador en el último paso del asistente, y puedes omitir los últimos pasos, ya que puedes hacerlo más adelante desde la línea de comandos.

Si usas una solución de repositorio de Git diferente, también puedes seguir las instrucciones para conectar Cloud Build a GitLab o Bitbucket.

Crea un activador de Cloud Build

El repositorio de muestra contiene una definición de contenedor y una configuración de Cloud Build que se usa para compilar la imagen del contenedor. En este paso, crearás un activador de Cloud Build que ejecute las instrucciones del archivo cloudbuild.yaml que puedes encontrar en la carpeta labs/cloudbuild-scheduled-jobs/code-oss-java.

gcloud builds triggers create manual \
    --name=custom-image-trigger \
    --repo=$GITHUB_USER/software-delivery-workshop \
    --repo-type=GITHUB \
    --branch=main \
    --build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
    --substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java

TRIGGER_ID=$(gcloud builds triggers list \
    --filter=name="custom-image-trigger" --format="value(id)")

En este ejemplo, se configura lo siguiente:

  • El comando CLI gcloud crea un activador manual dentro de Cloud Build llamado custom-image-trigger, como lo indica la marca name en la segunda línea.
  • Las siguientes tres líneas contienen marcas relacionadas con el repositorio de GitHub de origen:
  • La marca build-config indica la ruta de acceso al archivo de Cloud Build en el repositorio de Git.

  • Para que el trabajo sea dinámico, usa la marca substitutions. Para esta tarea, el comando pasa las siguientes variables:

    • Región, $_REGION
    • Nombre del repositorio de Artifact Registry, $_AR_REPO_NAME
    • Nombre de la imagen del contenedor, $_AR_IMAGE_NAME
    • Ubicación del Dockerfile que se compilará, $_IMAGE_DIR

    Consulta el archivo cloudbuild.yaml para ver cómo se usan estas variables en el proceso.

  • Después de crear el activador, se recupera el nombre único del activador y se almacena en la variable de entorno $TRIGGER_ID para usarlo más adelante.

Configura Cloud Scheduler

Para asegurarte de que tus imágenes estén actualizadas con las actualizaciones y los parches más recientes, usa Cloud Scheduler para ejecutar el activador de Cloud Build con una frecuencia establecida. En este instructivo, la tarea se ejecuta todos los días. En la práctica, establece una frecuencia alineada con las necesidades de tu organización para garantizar que siempre se incluyan las actualizaciones más recientes.

  1. Otorga un rol requerido a la cuenta de servicio predeterminada para invocar el activador de Cloud Build:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --role="roles/cloudbuild.builds.editor"

  2. Otorga un rol requerido a la cuenta de servicio de Cloud Build para subir imágenes a Artifact Registry:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \
    --role="roles/artifactregistry.admin"

  3. Crea el trabajo de Cloud Scheduler con el siguiente comando:

    gcloud scheduler jobs create http run-build \
    --schedule='0 1 * * *' \
    --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \
    --location=us-central1 \
    --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform

  4. La tarea se configura para ejecutarse una vez al día. Sin embargo, para probar la función de inmediato, ejecútala de forma manual desde Cloud Scheduler:

    Ir a Cloud Scheduler

    1. En la página de Cloud Scheduler, busca la entrada que acabas de crear llamada run-build.
    2. En la columna Acciones, haz clic en el menú de opciones more_vertMás de esa fila.
    3. Haz clic en Forzar la ejecución de un trabajo para probar el sistema de forma manual.

    4. Después de que el comando se ejecute correctamente, cambia a la página del historial de Cloud Build para revisar el progreso:

      Ir al historial de Cloud Build

Revisa los resultados

Debido a que habilitaste la API de Container Scanning como parte del proceso de configuración, Artifact Registry analiza automáticamente las imágenes en busca de vulnerabilidades de seguridad.

Para revisar las vulnerabilidades, haz lo siguiente:

  1. Abre la página Repositories de Artifact Registry:

    Ir a Repositorios de Artifact Registry

  2. En la lista de repositorios, haz clic en uno.

  3. Haz clic en el nombre de una imagen. Los totales de vulnerabilidades de cada resumen de imagen aparecen en la columna Vulnerabilidades.

    Página Repositorios de Artifact Registry que muestra el nombre de una imagen de muestra

  4. Para ver la lista de vulnerabilidades de una imagen, haz clic en el vínculo de la columna Vulnerabilidades. En la lista de vulnerabilidades, se muestra la gravedad, la disponibilidad de una corrección y el nombre del paquete que contiene la vulnerabilidad.

    Página Vulnerabilidades de Artifact Registry que muestra una lista de ejemplo de vulnerabilidades

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página, asegúrate de borrar los recursos que ya no necesites.

Para borrar un proyecto de Google Cloud desde la consola de Google Cloud o desde la CLI de gcloud, haz lo siguiente:

Console

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

gcloud

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

Para obtener más información sobre cómo borrar otros recursos, como clústeres de estaciones de trabajo, configuraciones de estaciones de trabajo y estaciones de trabajo, consulta Borra recursos.

¿Qué sigue?