Automatiza las recompilaciones de imágenes de contenedor para sincronizar las actualizaciones de imágenes base

Cloud Workstations te permite crear y usar imágenes para tus estaciones de trabajo. Después de usar una imagen personalizada, es útil automatizar su recompilación con el fin de incorporar las correcciones y actualizaciones disponibles en las imágenes base.

En este instructivo, aprenderás a compilar una canalización automatizada para garantizar que incluyas actualizaciones de seguridad y parches en tus imágenes de estaciones de trabajo personalizadas.

Objetivos

Con este instructivo, compilarás una canalización automatizada para tu imagen base. con estos pasos:

  1. Crea un repositorio de Artifact Registry para almacenar y analizar tu imagen personalizada.
  2. Configura GitHub con Google Cloud para almacenar los parámetros de configuración de las imágenes.
  3. Crear un activador de Cloud Build para automatizar la creación y la implementación de imágenes personalizadas a Artifact Registry.
  4. Configurar Cloud Scheduler para iniciar compilaciones de forma periódica
  5. Revisa los resultados de los procesos automatizados.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  9. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Prepare el entorno

Antes de continuar, asegúrate de configurar las siguientes variables de entorno.

  1. Establece el ID del proyecto de la nube que planeas usar:

    PROJECT_ID=$PROJECT_ID

  2. Establece el nombre de usuario de GitHub en el que planeas almacenar tu repositorio:

    GITHUB_USER=$GITHUB_ID

  3. Configura las variables PROJECT_NUMBER y REGION para usar durante el proceso:

    PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \
    --format='value(projectNumber)')

REGION=$REGION

    En el ejemplo anterior, reemplaza $REGION por el nombre de la región. que planeas usar, por ejemplo, us-central1.

    Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Cloud Workstations.

Crea un repositorio de Artifact Registry

En este instructivo, usarás Artifact Registry para almacenar y analizar tus imágenes.

  1. Crea un repositorio con el siguiente comando:

    gcloud artifacts repositories create custom-images \
      --repository-format=docker \
      --location=$REGION \
      --description="Docker repository"

    Reemplaza $REGION por el nombre de la región que planeas. usar.

  2. Configura Docker para que use tus credenciales de la CLI de gcloud cuando accediendo a Artifact Registry.

    gcloud auth configure-docker $REGION-docker.pkg.dev

    Para desactivar Artifact Analysis, ejecuta el siguiente comando:

    gcloud services disable containerscanning.googleapis.com

Configura tu repositorio de GitHub

En la práctica, se conserva el Dockerfile para las imágenes personalizadas en un repositorio de Git. El el proceso automatizado accede a ese repositorio durante el proceso de compilación para extraer parámetros de configuración relevantes y Dockerfile.

Bifurca el repositorio de muestra

Para bifurcar un repositorio de muestra que proporciona definiciones de contenedores, sigue estos pasos: pasos:

  1. Haz clic en este vínculo para Crea una bifurcación nueva. del repositorio software-delivery-workshop.
  2. Si se te solicita, accede a GitHub.
  3. Selecciona tu nombre de usuario de GitHub como propietario. El nombre del repositorio aparece como software-delivery-workshop
  4. Haz clic en Crear bifurcación y espera unos segundos a que se complete el proceso.

Conecta Cloud Build a GitHub

A continuación, conecta ese repositorio a Cloud Build con el Capacidad de conexión con GitHub. Haz clic en el vínculo al repositorio de GitHub y sigue las instrucciones que describen cómo completar el proceso. No es necesario crea el activador en el último paso del asistente y puedes omitir el último ya que puedes hacerlo más adelante desde la línea de comandos.

Si usas una solución de repositorio de Git diferente, también puedes seguir instrucciones para Conectar Cloud Build a GitLab o Bitbucket.

Crea un activador de Cloud Build

El repositorio de muestra contiene una definición de contenedor y una de Terraform que se usa para compilar la imagen del contenedor. En este paso, crearás un activador de Cloud Build que ejecuta las instrucciones del cloudbuild.yaml, que puedes encontrar en la labs/cloudbuild-scheduled-jobs/code-oss-java carpeta.

gcloud builds triggers create manual \
    --name=custom-image-trigger \
    --repo=$GITHUB_USER/software-delivery-workshop \
    --repo-type=GITHUB \
    --branch=main \
    --build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
    --substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java

TRIGGER_ID=$(gcloud builds triggers list \
    --filter=name="custom-image-trigger" --format="value(id)")

En este ejemplo, se configura lo siguiente:

  • El comando gcloud de la CLI crea una activación manual dentro de Cloud Build con el nombre custom-image-trigger como lo indica la marca name en la segunda línea.
  • Las siguientes tres líneas contienen marcas relacionadas con el repositorio de código fuente de GitHub:
  • La marca build-config indica la ruta de acceso Archivo de Cloud Build en el repositorio de Git.

  • Para que el trabajo sea dinámico, usa la marca substitutions. Para este trabajo, el comando pasa las siguientes variables:

    • Región, $_REGION
    • Nombre del repositorio de Artifact Registry, $_AR_REPO_NAME
    • Nombre de la imagen del contenedor, $_AR_IMAGE_NAME
    • Ubicación del Dockerfile que se compilará, $_IMAGE_DIR

    Consulta el cloudbuild.yaml para ver cómo se usan estas variables en el proceso.

  • Después de crear el activador, se recupera su nombre único y se almacenará en la variable de entorno $TRIGGER_ID para su uso posterior.

Configura Cloud Scheduler

Para ayudar a garantizar que tus imágenes estén al día con las actualizaciones más recientes parches, usa Cloud Scheduler para ejecutar Cloud Build se activa en una frecuencia establecida. En este instructivo, el trabajo se ejecuta todos los días. En establece esta frecuencia en una frecuencia que se alinee con las necesidades de tu organización garantizar que siempre se incluyan las actualizaciones más recientes.

  1. Otorga el rol necesario a la cuenta de servicio predeterminada que debes invocar Activador de Cloud Build:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --role="roles/cloudbuild.builds.editor"

  2. Otorga el rol necesario a la cuenta de servicio de Cloud Build para subir imágenes a Artifact Registry:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \
    --role="roles/artifactregistry.admin"

  3. Crea el trabajo de Cloud Scheduler con el siguiente comando:

    gcloud scheduler jobs create http run-build \
    --schedule='0 1 * * *' \
    --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \
    --location=us-central1 \
    --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform

  4. El trabajo está configurado para ejecutarse una vez al día. Sin embargo, para probar de inmediato, ejecuta el trabajo de forma manual Cloud Scheduler:

    Ir a Cloud Scheduler

    1. En la página de Cloud Scheduler, busca la entrada que acabas de crear. llamada run-build.
    2. En la columna Acciones, haz clic en el menú more_vertMás opciones para eso. fila.
    3. Haz clic en Forzar la ejecución de un trabajo para probar el sistema manualmente.

    4. Después de que el comando se ejecute correctamente, cambia a Página Historial de Cloud Build para revisar el progreso:

      Ir al historial de Cloud Build

Revisa los resultados

Porque habilitaste la API de Container Scanning como parte de la configuración Artifact Registry analiza automáticamente las imágenes por motivos de seguridad vulnerabilidades.

Para revisar las vulnerabilidades, sigue estos pasos:

  1. Abre la página Repositorios de Artifact Registry:

    Ir a Repositorios de Artifact Registry

  2. En la lista de repositorios, haz clic en un repositorio.

  3. Haz clic en el nombre de una imagen. Los totales de vulnerabilidades para cada resumen de imágenes aparecen en la columna Vulnerabilidades.

    Página de repositorios de Artifact Registry en la que se muestra el nombre de una imagen de muestra

  4. Para ver la lista de vulnerabilidades de una imagen, haz clic en el vínculo de la columna Vulnerabilidades. En la lista de vulnerabilidades, severity, disponibilidad de una solución y el nombre del paquete que contiene de seguridad en la nube.

    Página de vulnerabilidades de Artifact Registry en la que se muestra una lista de muestra de las vulnerabilidades

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos utilizados en esta página, asegúrate de borrar los recursos que que ya no necesitas.

Para borrar un proyecto de Google Cloud de la consola de Google Cloud o CLI de gcloud:

Console

  1. En la consola de Google Cloud, ve a la página Administrar recursos.

    Ir a Administrar recursos

  2. En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
  3. En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

gcloud

    Borra un proyecto de Google Cloud:

    gcloud projects delete PROJECT_ID

Para obtener más información sobre cómo borrar otros recursos, como clústeres de estaciones de trabajo, configuraciones de estaciones de trabajo y estaciones de trabajo, consulta Borra recursos.

¿Qué sigue?