Diese Seite wurde von der Cloud Translation API übersetzt.

Migrieren einer App Engine-Anwendung mit flexibler Umgebung zu Cloud Run

Regions-ID

REGION_ID ist ein abgekürzter Code, den Google anhand der Region zuweist, die Sie beim Erstellen Ihrer Anwendung ausgewählt haben. Der Code bezieht sich nicht auf ein Land oder eine Provinz, auch wenn einige Regions-IDs häufig verwendeten Länder- und Provinzcodes ähneln können. Bei Anwendungen, die nach Februar 2020 erstellt wurden, ist REGION_ID.r in den App Engine-URLs enthalten. Bei Anwendungen, die vor diesem Datum erstellt wurden, ist die Regions-ID in der URL optional.

Hier finden Sie weitere Informationen zu Regions-IDs.

In dieser Anleitung wird beschrieben, wie Sie eine vorhandene App Engine-Anwendung migrieren, die eine Verbindung zu einer Cloud SQL-Instanz mit einer öffentlichen IP-Adresse herstellt.

Generell wird an den Schritten in diesem Leitfaden gezeigt, wie Sie denselben Anwendungsquellcode in Cloud Run bereitstellen und dann für die Verwendung desselben Cloud SQL-Datenbanknutzers zur Verbindung Ihrer vorhandenen Instanz und Datenbank konfigurieren.

In diesem Leitfaden wird nicht beschrieben, wie Sie eine interne private IP-Verbindung verwenden, da Sie dazu zuerst Ihren Anwendungscode ändern müssen. Nachdem Sie Ihre Anwendung jedoch für Cloud Run bereitgestellt haben, können Sie die Schritte unter Über Cloud Run mit Cloud SQL verbinden ausführen, um die Anforderungen und die Verwendung von privaten IP-Adressen zu erfahren.

Weitere Informationen zu den Gemeinsamkeiten und Unterschieden zwischen App Engine und Cloud Run, einschließlich der Vorteile für die Migration zu Cloud Run, finden Sie in der vergleichenden Zusammenfassung.

Hinweise

Achten Sie darauf, dass Cloud Run Ihre Anwendungsanforderungen erfüllt. Sehen Sie sich den Vergleich von App Engine und Cloud Run an, um festzustellen, ob die Cloud Run-Ressourcen wie CPU und Arbeitsspeicher Ihren Anforderungen entsprechen.
Sie benötigen Zugriff auf Ihre Cloud SQL-Instanz, einschließlich des Datenbank-Nutzernamens und des Passworts für die Verbindung der Anwendung. Cloud Run verwendet Verschlüsselung und stellt die Verbindung über den Cloud SQL Auth-Proxy entweder über Unix-Sockets oder Cloud SQL-Konnektoren her.
Aktivieren Sie die Cloud Run Admin API und die Artifact Registry API.

APIs aktivieren
Beachten Sie die folgenden Unterschiede bei Cloud Run:
- In Cloud Run wird der Begriff Revision anstelle von Version verwendet, um jedes Mal darzustellen, wenn Sie Änderungen an einem bestimmten Dienst bereitstellen. Wenn Sie Ihre App zum ersten Mal in einem Cloud Run-Dienst bereitstellen, wird die erste Revision erstellt. Bei jeder nachfolgenden Bereitstellung eines Dienstes wird eine weitere Revision erstellt. Weitere Informationen zum Bereitstellen in Cloud Run
- Sie können Ihren Quellcode mit der Google Cloud CLI oder der Google Cloud Console in Cloud Run bereitstellen, um die Einstellungen Ihrer Apps zu konfigurieren und zu verwalten. Cloud Run erfordert keine dateibasierte Konfiguration. Die YAML-Konfiguration wird jedoch unterstützt und Sie können das app2run-Tool verwenden, um Ihre vorhandene App Engine-Datei für Cloud Run zu übersetzen.
- Für jeden Dienst, den Sie in Cloud Run bereitstellen, wird die Domain run.app in der URL verwendet, um öffentlich auf den Dienst zuzugreifen.
- Im Gegensatz zu standardmäßig öffentlichen App Engine-Diensten sind Cloud Run-Dienste standardmäßig privat. Bei diesen Diensten müssen Sie sie für den öffentlichen (nicht authentifizierten) Zugriff konfigurieren.
- Cloud Run unterstützt keine gebündelten Legacy-Dienste von App Engine.

In diesem Leitfaden wird davon ausgegangen, dass Ihre App Engine-Anwendung fehlerfrei ausgeführt wird.

Erforderliche Rollen

Sie können entweder ein neues Dienstkonto erstellen oder dasselbe nutzerverwaltete Dienstkonto in Cloud Run verwenden, das Sie für App Engine verwenden. Sie oder Ihr Administrator müssen dem Bereitstellerkonto und dem Cloud Build-Dienstkonto die folgenden IAM-Rollen zuweisen.

Klicken, um die erforderlichen Rollen für das Bereitstellerkonto aufzurufen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Bereitstellen aus der Quelle benötigen:

Cloud Run Source Developer (roles/run.sourceDeveloper) für Ihr Projekt
Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) für Ihr Projekt
Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für die Cloud Run-Dienstidentität

Klicken, um die erforderlichen Rollen für das Cloud Build-Dienstkonto aufzurufen

Cloud Build verwendet automatisch das Compute Engine-Standarddienstkonto als Standard-Cloud Build-Dienstkonto zum Erstellen Ihres Quellcodes und Ihrer Cloud Run-Ressource, sofern Sie dieses Verhalten nicht überschreiben. Damit Cloud Build Ihre Quellen erstellen kann, bitten Sie Ihren Administrator, dem Compute Engine-Standarddienstkonto in Ihrem Projekt die Rolle Cloud Run Builder (roles/run.builder) zuzuweisen:

  gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
      --role=roles/run.builder

Ersetzen Sie PROJECT_NUMBER durch Ihre Google CloudProjektnummer und PROJECT_ID durch Ihre Google CloudProjekt-ID. Eine detaillierte Anleitung zum Ermitteln der Projekt-ID und der Projektnummer finden Sie unter Projekte erstellen und verwalten.

Es dauert einige Minuten, bis die Zuweisung der Rolle „Cloud Run-Builder“ für das Compute Engine-Standarddienstkonto übertragen wurde.

Hinweis:

Die Einschränkung für die Organisationsrichtlinie iam.automaticIamGrantsForDefaultServiceAccounts verhindert, dass die Rolle „Bearbeiter“ automatisch Standarddienstkonten zugewiesen wird. Wenn Sie Ihre Organisation nach dem 3. Mai 2024 erstellt haben, wird diese Einschränkung standardmäßig erzwungen.

Wir empfehlen dringend, diese Einschränkung zu erzwingen, um die automatische Rollenzuweisung zu deaktivieren. Wenn Sie die automatische Rollenzuweisung deaktivieren, müssen Sie entscheiden, welche Rollen den Standarddienstkonten zugeteilt werden sollen, und diese Rollen dann selbst zuweisen.

Wenn das Standarddienstkonto bereits die Rolle „Bearbeiter“ hat, sollten Sie die Rolle „Bearbeiter“ durch weniger strikte Rollen ersetzen.Verwenden Sie zum sicheren Ändern der Rollen des Dienstkontos Policy Simulator, um die Auswirkungen der Änderung zu sehen, und weisen Sie die entsprechenden Rollen zu und widerrufen Sie sie.

Eine Liste der IAM-Rollen und -Berechtigungen im Zusammenhang mit Cloud Run finden Sie unter IAM-Rollen für Cloud Run und IAM-Berechtigungen für Cloud Run. Wenn Ihr Cloud Run-Dienst mitGoogle Cloud -APIs wie Cloud-Clientbibliotheken verknüpft ist, lesen Sie die Konfigurationsanleitung für Dienstidentitäten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Bereitstellungsberechtigungen und Zugriff verwalten.

Für öffentliche IP-Verbindungen zu Cloud SQL benötigen Sie eine der folgenden Rollen:

Cloud SQL Client (empfohlen)
Cloud SQL-Administrator
Entsprechende Cloud SQL-Berechtigungen

App zu Cloud Run migrieren

Sie müssen keine Änderungen am Code vornehmen, um Ihre App Engine-App in Cloud Run bereitzustellen.

In den folgenden Schritten stellen Sie Ihre App in einem neuen Dienst in Cloud Run bereit und konfigurieren diesen Dienst gleichzeitig für die Verbindung zu Cloud SQL.

Wichtig: Bei den nächsten Schritten wird davon ausgegangen, dass Sie Zugriff auf die app.yaml-Datei, die Sie ursprünglich in App Engine bereitgestellt haben, haben, damit Sie die Konfigurationsinformationen von Cloud SQL kopieren können. Informationen zum manuellen Suchen der erforderlichen Konfigurationsinformationen für Ihre Cloud SQL-Datenbank finden Sie unter:

Wie die flexible App Engine-Umgebung unterstützt Cloud Run sowohl container- als auch quellcodebasierte Bereitstellungen. Je nach verwendeter Bereitstellungsmethode benötigen Sie Zugriff auf Ihr Container-Image oder das Quellcode-Repository.

Container-Images bereitstellen

Wenn Ihre App Engine-Dienste mit einem manuell erstellten Container bereitgestellt werden, können Sie dasselbe Container-Image verwenden, um Ihren Dienst in Cloud Run bereitzustellen. So stellen Sie Ihr App Engine-Container-Image in Cloud Run bereit:

Notieren Sie sich die Registry-URL, unter der sich Ihr Container-Image befindet. Dies ist dieselbe URL, die Sie beim Bereitstellen in App Engine im Flag --image-url angeben.
Stellen Sie das Container-Image bereit:
Console
1. Rufen Sie in der Google Cloud -Console die Seite Cloud Run auf.
  
  Öffnen Sie Cloud Run.
2. Klicken Sie auf Dienst erstellen.
3. Klicken Sie im Feld Container-Image-URL auf die Schaltfläche Auswählen und wählen Sie das Container-Image aus, das Sie für App Engine bereitgestellt haben.
4. Geben Sie einen Namen für den Dienst ein. Wählen Sie einen eindeutigen Namen aus, der die App repräsentiert, die Sie bereitstellen.
5. Wählen Sie im Bereich Authentifizierung die Option Nicht authentifizierte Aufrufe zulassen aus.
6. Sie müssen für Cloud Run dieselben Umgebungsvariablen erstellen, die Sie in der Datei app.yaml Ihrer App Engine-Anwendung definiert haben. Maximieren Sie den Bereich Container, Netzwerk, Sicherheit und erstellen Sie die folgenden Umgebungsvariablen, indem Sie unter Umgebungsvariablen auf Variable hinzufügen klicken.
  - Für Unix-Sockets fügen Sie Folgendes hinzu:
    
    INSTANCE_UNIX_SOCKET: /cloudsql/INSTANCE_CONNECTION_NAME
  - Für Cloud SQL-Connectors fügen Sie Folgendes hinzu:
    
    INSTANCE_CONNECTION_NAME:INSTANCE_CONNECTION_NAME
    
    Ersetzen Sie INSTANCE_CONNECTION_NAME durch Ihre Projekt-ID, Region und Instanz im Format von project:region:instance-id. Sie finden sie in der Google Cloud Console auf der Seite Übersicht für Ihre Instanz.
    
    Solche Verbindungen werden ohne zusätzliche Konfiguration automatisch verschlüsselt.
  - DB_NAME: Name Ihrer Datenbank.
  - DB_USER: Nutzername Ihres Datenbanknutzers.
  - DB_PASS: Das Passwort, das Sie beim Erstellen der Datenbank angegeben haben.
7. Klicken Sie im Abschnitt Cloud SQL-Verbindungen auf die Schaltfläche Verbindung hinzufügen und wählen Sie die Instanz aus, die Sie zuvor für App Engine erstellt haben.
8. Klicken Sie auf Bereitstellen. Wenn der Cloud Run-Dienst bereitgestellt ist, wird oben auf der Seite Dienstdetails eine URL angezeigt. Klicken Sie auf den Link URL, um in Cloud Run die bereitgestellte Anwendung zu sehen, die mit Cloud SQL verbunden ist.
gcloud
Führen Sie den folgenden Befehl aus, um einen neuen Dienst in Cloud Run zu erstellen. Sie müssen Konfigurations-Flags festlegen, um dieselben SQL-Verbindungsumgebungsvariablen einzuschließen, die in der app.yaml-Datei Ihrer App Engine-Anwendung definiert sind:
```
gcloud run deploy run-sql --image IMAGE \
  --allow-unauthenticated \
  --add-cloudsql-instances INSTANCE_CONNECTION_NAME\
  --set-env-vars INSTANCE_UNIX_SOCKET="/cloudsql/INSTANCE_CONNECTION_NAME" \
  --set-env-vars INSTANCE_CONNECTION_NAME="INSTANCE_CONNECTION_NAME" \
  --set-env-vars DB_NAME="DB_NAME" \
  --set-env-vars DB_USER="DB_USER" \
  --set-env-vars DB_PASS="DB_PASS"
```
Ersetzen Sie:
- IMAGE durch das Image, das Sie bereitstellen
- INSTANCE_CONNECTION_NAME durch den Namen der Verbindung Ihrer Cloud SQL-Instanz oder eine durch Kommas getrennte Liste von Verbindungsnamen. Sie finden die INSTANCE_CONNECTION_NAME durch Ausführen von:
  gcloud instances describe INSTANCE_NAME
- DB_NAME durch den Namen Ihrer Datenbank.
- DB_USER durch den Nutzernamen Ihrer Datenbank.
- DB_PASS durch das Passwort Ihres Datenbanknutzers.

Quellcode bereitstellen

Cloud Run verwendet intern Buildpacks und Cloud Build, um automatisch Container-Images aus Ihrem Quellcode zu erstellen. Sie müssen also keinen Container manuell erstellen oder ein Dockerfile angeben. Wenn aber ein Dockerfile vorhanden ist, wird es verwendet. Da die Bereitstellung eines Cloud Run-Dienstes aus der Quelle Artifact Registry verwendet, ist dieses Feature nur in von Artifact Registry unterstützten Regionen verfügbar.

So stellen Sie denselben Quellcode bereit, den Sie zuvor in App Engine bereitgestellt haben:

Wechseln Sie in das Quellverzeichnis, in dem sich der Quellcode Ihrer Anwendung befindet.
```
  cd YOUR_APPENGINE_CODE_DIR
```
In Cloud Run bereitstellen

Führen Sie den Befehl „deploy“ mit dem Flag --source aus, um den Quellcode zu erstellen und die Anwendung bereitzustellen. Sie müssen Konfigurations-Flags festlegen, um dieselben SQL-Verbindungsumgebungsvariablen einzuschließen, die in der app.yaml-Datei Ihrer App Engine-Anwendung definiert sind:
```
  gcloud run deploy run-sql --source . \
    --allow-unauthenticated \
    --add-cloudsql-instances INSTANCE_CONNECTION_NAME\
    --set-env-vars INSTANCE_UNIX_SOCKET="/cloudsql/INSTANCE_CONNECTION_NAME" \
    --set-env-vars INSTANCE_CONNECTION_NAME="INSTANCE_CONNECTION_NAME" \
    --set-env-vars DB_NAME="DB_NAME" \
    --set-env-vars DB_USER="DB_USER" \
    --set-env-vars DB_PASS="DB_PASS"
```
Ersetzen Sie INSTANCE_CONNECTION_NAME durch den Namen der Verbindung Ihrer Cloud SQL-Instanz oder eine durch Kommas getrennte Liste von Verbindungsnamen. Sie können den INSTANCE_CONNECTION_NAME mit dem folgenden Befehl finden:
```
    gcloud instances describe INSTANCE_NAME
```
- DB_NAME durch den Namen Ihrer Datenbank.
- DB_USER durch den Nutzernamen Ihrer Datenbank.
- DB_PASS durch das Passwort Ihres Datenbanknutzers.
Geben Sie einen Namen für den SERVICE ein, wenn Sie dazu aufgefordert werden.
Beantworten Sie die Aufforderungen, die erforderlichen APIs zu installieren, indem Sie nach Aufforderung y antworten. Dies ist nur einmal für ein Projekt erforderlich. Warten Sie, bis der Build und die Bereitstellung abgeschlossen sind. Anschließend wird eine Meldung wie die folgende angezeigt:
```
Service [my-app] revision [my-app-00000-xxx] has been deployed and is serving 100 percent of traffic. Service URL: https://sample.run.app
```
Weitere Informationen zum Bereitstellen von Quellcode in Cloud Run finden Sie unter Aus Quellcode bereitstellen.

Nächste Schritte

Best Practices für Cloud SQL zum Herstellen einer Verbindung zu Ihrer Cloud SQL-Instanz über Cloud Run
Hier erfahren Sie, wie Sie Abhängigkeiten für Ihren Dienst mithilfe eines Secret Managers speichern, die API-Schlüssel, Passwörter oder andere vertrauliche Informationen erfordern.
Cloud Run-Dienste verwalten
Informationen zu den Anforderungen und Verhaltensweisen von Containern in Cloud Run finden Sie im Cloud Run-Containerlaufzeitvertrag.