יצירה וניהול של סודות באמצעות Cloud Code

איך יוצרים ומנהלים סודות באמצעות השילוב של Cloud Code עם Secret Manager.

בלחיצה על תראו לי איך תקבלו הסבר מפורט על המשימה ישירות ב-Cloud Shell Editor:

תראו לי איך

לפני שמתחילים

  1. נכנסים לדף לבחירת הפרויקט במסוף Google Cloud .

    כניסה לדף לבחירת הפרויקט

  2. בוחרים או יוצרים Google Cloud פרויקט.

    תפקידים שנדרשים כדי לבחור או ליצור פרויקט

    • Select a project: כדי לבחור פרויקט לא צריך תפקיד IAM ספציפי – אפשר לבחור כל פרויקט שקיבלתם בו תפקיד.
    • יצירת פרויקט: כדי ליצור פרויקט, צריך את התפקיד Project Creator (יצירת פרויקטים) (roles/resourcemanager.projectCreator), שכולל את ההרשאה resourcemanager.projects.create. איך מקצים תפקידים
  3. מתקינים את Git כדי ש-Cloud Code יוכל לבצע פעולות Git, כמו שיבוט של דוגמה.

  4. אם עוד לא עשיתם זאת, מתקינים את הפלאגין Cloud Code.

יצירת שירות Cloud Run

משתמשים ב-Cloud Shell Editor כסביבה ליצירת שירות וסוד ב-Cloud Run. העורך מגיע עם הכלים שנדרשים לפיתוח בענן.

כדי ליצור את השירות:

  1. בסרגל הסטטוס של Cloud Code, לוחצים על שם הפרויקט הפעיל.

    שם הפרויקט הפעיל בשורת הסטטוס

  2. בתפריט 'בחירה מהירה' שמופיע, לוחצים על New Application (אפליקציה חדשה) ואז על Cloud Run Application (אפליקציית Cloud Run).

  3. ברשימת הדוגמאות של Cloud Run, בוחרים באפשרות Python (Flask): Cloud Run.

  4. בוחרים תיקייה לדוגמה ולוחצים על יצירת אפליקציה חדשה.

אחרי שהשירות נטען בסביבת עבודה חדשה ב-Cloud Shell Editor, אפשר לראות את הקבצים שלו בתצוגת הסייר.

יצירת סוד

Secret Manager מאפשר לכם לאחסן, לנהל ולגשת לסודות בצורה מאובטחת כ-blob בינארי או כמחרוזת טקסט. בנוסף, הוא מנהל את הסודות שלכם, כך שלא תצטרכו להתעסק במכונות וירטואליות או בשירותי הפעלה.

כדי ליצור סוד באמצעות השילוב של Secret Manager ב-Cloud Code:

  1. לוחצים על Secret Manager ומחכים כמה רגעים עד שהדף ייטען.
  2. אם מתבקשים לאשר ל-Cloud Shell לבצע קריאות ל-Google Cloud API, לוחצים על Authorize (אישור).
  3. לוחצים על add (הוספה) Create Secret (יצירת סוד).
  4. אם מוצגת הנחיה, בוחרים את פרויקט הענן ב-Google Cloud מהתפריט הנפתח.
  5. אם מופיעה בקשה, מפעילים את Secret Manager API.

  6. בכרטיסייה Secret Manager - Create Secret שמופיעה, מזינים את הפרטים הבאים בשדה Name:

    my-secret

  7. בשדה ערך סודי, מזינים:

    Hello secret!

  8. לוחצים על Create Secret (יצירת סוד) ומופיעה הודעה שהסוד נוצר בהצלחה.

הוספת סוד לקוד

הסודות מצוינים לאחסון פרטי הגדרה כמו סיסמאות למסדי נתונים, מפתחות API או אישורי TLS שנדרשים לאפליקציה בזמן הריצה.

כדי להוסיף סוד לקוד:

  1. פותחים את התצוגה Cloud API ובוחרים באפשרות Secret Manager API.

    ייפתח כרטיסייה עם פרטים על Google Cloud API, והכותרת שלה תהיה Secret Manager API.

  2. בקטע Install Client Library (התקנת ספריית לקוח), לוחצים על הכרטיסייה Python ואז על play_arrow Run in terminal (הפעלה במסוף). הפעולה הזו תתקין את ספריית הלקוח google-cloud-secret-manager.

  3. פותחים את הקובץ requirements.txt ומוסיפים את השורה הבאה לתחתית הקובץ:

    google-cloud-secret-manager==VERSION_NUMBER

    אחרי שמריצים את ההתקנה מהשלב הקודם, מספר הגרסה מופיע במסוף. לדוגמה, יכול להיות שיוצג במסוף: Successfully installed google-cloud-secret-manager-2.23.1

    השינויים נשמרים אוטומטית.

  4. כדי לקבל את הערך העדכני של הסוד, פותחים את הקובץ app.py ומעתיקים ומדביקים את הפונקציה הבאה: אחרי פונקציית hello:

    def access_secret_version(secret_version_id):
    """Return the value of a secret's version"""
    from google.cloud import secretmanager

    # Create the Secret Manager client.
    client = secretmanager.SecretManagerServiceClient()

    # Access the secret version.
    response = client.access_secret_version(name=secret_version_id)

    # Return the decoded payload.
    return response.payload.data.decode('UTF-8')

  5. כדי לקרוא לפונקציה access_secret_version, מחליפים את משתנה ההודעה באלה:

    message = access_secret_version("<SECRET_VERSION_ID>")

  6. אם הכרטיסייה Secret Manager - Create Secret עדיין פתוחה, לוחצים על file_copy Copy כדי להעתיק את המזהה.

    כדי לקבל את המזהה של גרסת סוד בכל שלב, עוברים אל Secret Manager > [SECRET_NAME] > Versions, מעבירים את מצביע העכבר מעל הגרסה ולוחצים על Copy resource ID (העתקת מזהה המשאב).

  7. כדי להוסיף את מזהה הגרסה, מחליפים את ה-placeholder <SECRET_VERSION_ID> במזהה הגרסה שהעתקתם.

הפעלה באמולטור Cloud Run

כדי לבדוק את הסוד החדש, מריצים את שירות Cloud Run באופן מקומי באמולטור Cloud Run.

  1. מפעילים את התפריט Cloud Code מסרגל הסטטוס.
  2. כדי ליצור ולפרוס את השירות לאמולטור, בוחרים באפשרות Run on Cloud Run Emulator.
  3. בכרטיסייה Run/Debug on Cloud Run Emulator שמופיעה, לוחצים על Run.

  4. כשמריצים את ההגדרה בפעם הראשונה, התהליך הזה יכול להימשך עד 5 דקות. בחלונית Output מוצגת ההתקדמות של בניית האפליקציה והפריסה שלה.

  5. אחרי שהאפליקציה מוכנה, מפעילים אותה בלחיצה על הקישור localhost שמופיע בחלונית Output. הערך של הסוד מוצג מתחת לגרפיקה של ההצלחה.

הצגה ויצירה של גרסה חדשה של סוד

בתצוגה Secret Manager ב-Cloud Code אפשר לראות במהירות את הסודות של הפרויקט, וגם לבצע פעולות לניהול שלהם.

הצגת הערך של גרסת סוד

  1. לוחצים על התצוגה Secret Manager.
  2. לוחצים על הסוד כדי להרחיב אותו.
  3. בתיקייה Versions, לוחצים לחיצה ימנית על הגרסה הממוספרת שרוצים לראות את הערך שלה ובוחרים באפשרות Show Version Value (הצגת ערך הגרסה).

שימו לב שאי אפשר לערוך גרסה סודית. כדי לעדכן את הערך של סוד, צריך ליצור גרסה חדשה.

יצירת גרסה חדשה של סוד

הערך של סוד מאוחסן בגרסה של הסוד. יכולות להיות הרבה גרסאות של סוד. האפשרות הזו שימושית במצבים שבהם הסוד משתנה. עדכון סוד עם גרסה חדשה מאפשר לכם לא לעדכן את הקוד.

  1. לוחצים על התצוגה Secret Manager.
  2. לוחצים לחיצה ימנית על שם ה-Secret ובוחרים באפשרות יצירת גרסת Secret.
  3. בכרטיסייה Secret Manager - Create Version שמופיעה, מזינים ערך חדש ולוחצים על Create Version.
  4. אחרי שהכרטיסייה Secret Manager - Create Secret (ניהול סודות – יצירת סוד) נפתחת, לוחצים על file_copy Copy (העתקה) כדי להעתיק את המזהה.
  5. כדי להוסיף את מזהה הגרסה החדשה, מחליפים את הגרסה הנוכחית שמופיעה במשתנה של ההודעה בקובץ app.py במזהה הגרסה החדשה שהעתקתם.

אם רוצים שהקוד תמיד ישתמש בגרסה העדכנית ביותר, צריך להחליף את מספר הגרסה בסוף מזהה הגרסה ב-latest.

הצגה וניהול של סודות

השבתה של גרסת סוד

גרסאות סודיות מופעלות כברירת מחדל אחרי היצירה, כלומר אפשר לגשת אליהן. לא ניתן לגשת לסוד מושבת, אבל תמיד אפשר לשחזר את הגישה אליו.

כדי להשבית גרסת סוד:

  1. לוחצים על Cloud Code (קוד Cloud) ואז מרחיבים את הקטע Secret Manager (ניהול סודות).
  2. לוחצים על הסוד כדי להרחיב אותו.
  3. בתיקייה Versions, לוחצים לחיצה ימנית על הגרסה הממוספרת שרוצים להשבית.
  4. בוחרים באפשרות השבתת הגרסה.

השמדת גרסה של סוד

אחרי שמשמידים גרסה של סוד, אי אפשר לגשת אליה. השמדה של גרסה סודית היא פעולה בלתי הפיכה.

  1. לוחצים על Cloud Code (קוד Cloud) ואז מרחיבים את הקטע Secret Manager (ניהול סודות).
  2. לוחצים על הסוד כדי להרחיב אותו.
  3. בתיקייה Versions, לוחצים לחיצה ימנית על הגרסה שרוצים להשמיד.
  4. בוחרים באפשרות Destroy Version (השמדת גרסה).

סידור וארגון

כדי למחוק רק את האשכול שיצרתם במדריך למתחילים:

  1. לוחצים על Cloud Code ואז מרחיבים את הקטע Kubernetes.
  2. מעבירים את מצביע העכבר מעל שם האשכול ולוחצים על open_in_new ואז על Open in Google Cloud console (פתיחה במסוף).
  3. לוחצים על מחיקה ואז על מחיקה.

כדי למחוק את הפרויקט (ואת המשאבים שמשויכים אליו, כולל אשכולות):

  1. נכנסים לדף Projects במסוף Google Cloud :

    כניסה לדף Projects

  2. בוחרים את הפרויקט שיצרתם במדריך למתחילים ולוחצים על מחיקה.

  3. כדי לאשר את הפעולה, מקלידים את מזהה הפרויקט ולוחצים על Shut down.

    הפעולה הזו משביתה את הפרויקט ומתזמנת את המחיקה שלו.