Menggunakan kebijakan deployment untuk membatasi peluncuran
Panduan memulai ini menunjukkan cara mencegah peluncuran Cloud Deploy ke target selama waktu yang ditentukan, dan cara mengganti batasan tersebut.
Dalam panduan memulai ini, Anda akan melakukan hal-hal berikut:
Membuat konfigurasi Skaffold dan manifes Kubernetes atau definisi layanan Cloud Run untuk menentukan image container (yang telah dibuat sebelumnya) yang akan di-deploy.
Menentukan pipeline pengiriman Cloud Deploy dan satu deployment target, yang mengarah ke satu cluster GKE atau layanan Cloud Run.
Pipeline ini hanya mencakup satu tahap, untuk satu target.
Mengonfigurasi kebijakan deployment untuk target.
Kebijakan ini menentukan rentang tanggal selama peluncuran ke target tersebut dilarang.
Membuat rilis.
Biasanya, saat Anda membuat rilis, Cloud Deploy akan membuat peluncuran untuk target pertama dalam progres pipeline pengiriman Anda. Dalam hal ini, karena ada kebijakan yang mencegah deployment ke target, peluncuran untuk target tersebut tidak dibuat.
Melihat hasil di Google Cloud konsol.
Karena kebijakan tersebut, Anda tidak akan melihat peluncuran untuk rilis, dan tidak ada tindakan tertunda dalam visualisasi pipeline pengiriman.
Mengganti kebijakan deployment.
Penggantian ini akan menyebabkan Cloud Deploy membuat peluncuran untuk target.
Melihat hasil di Google Cloud konsol.
Karena kebijakan tersebut telah diganti, Anda dapat melihat bahwa ada peluncuran yang sedang berlangsung (atau selesai, jika waktu yang cukup telah berlalu).
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Instal Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Instal Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init - Pastikan akun layanan Compute Engine default memiliki izin yang memadai.
Akun layanan mungkin sudah memiliki izin yang diperlukan. Langkah-langkah ini disertakan untuk project yang menonaktifkan pemberian peran otomatis untuk akun layanan default.
- Pertama, tambahkan peran
clouddeploy.jobRunner:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:$(gcloud projects describe PROJECT_ID \ --format="value(projectNumber)")-compute@developer.gserviceaccount.com \ --role="roles/clouddeploy.jobRunner" - Tambahkan peran developer untuk runtime tertentu.
- Untuk GKE:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:$(gcloud projects describe PROJECT_ID \ --format="value(projectNumber)")-compute@developer.gserviceaccount.com \ --role="roles/container.developer" - Untuk Cloud Run:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:$(gcloud projects describe PROJECT_ID \ --format="value(projectNumber)")-compute@developer.gserviceaccount.com \ --role="roles/run.developer" -
Tambahkan peran
iam.serviceAccountUser, yang mencakup izinactAsuntuk men-deploy ke runtime:gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \ --format="value(projectNumber)")-compute@developer.gserviceaccount.com \ --member=serviceAccount:$(gcloud projects describe PROJECT_ID \ --format="value(projectNumber)")-compute@developer.gserviceaccount.com \ --role="roles/iam.serviceAccountUser" \ --project=PROJECT_ID
Jika Anda sudah menginstal Google Cloud CLI, pastikan Anda menjalankan versi terbaru:
gcloud components update
Membuat lingkungan runtime
Jika Anda men-deploy ke Cloud Run, Anda dapat melewati perintah ini.
Untuk GKE, buat satu cluster: quickstart-cluster-qsprod.
Endpoint Kubernetes API cluster harus dapat dijangkau oleh jaringan dari internet publik. Cluster GKE dapat diakses secara eksternal secara default.
gcloud container clusters create-auto quickstart-cluster-qsprod \
--project=PROJECT_ID \
--region=us-central1
Menyiapkan konfigurasi Skaffold dan manifes aplikasi
Cloud Deploy menggunakan Skaffold untuk memberikan detail tentang apa yang akan di-deploy dan cara men-deploy-nya ke target Anda.
Dalam panduan memulai ini, Anda akan membuat file skaffold.yaml, yang mengidentifikasi manifes Kubernetes yang akan digunakan untuk men-deploy aplikasi contoh.
Buka jendela terminal.
Buat direktori baru dan buka direktori tersebut.
mkdir deploy-policy-quickstart cd deploy-policy-quickstartBuat file bernama
skaffold.yamldengan konten berikut:GKE
apiVersion: skaffold/v4beta1 kind: Config manifests: rawYaml: - k8s-pod.yaml deploy: kubectl: {}Cloud Run
apiVersion: skaffold/v4beta1 kind: Config manifests: rawYaml: - service.yaml deploy: cloudrun: {}File ini adalah konfigurasi Skaffold minimal. Untuk panduan memulai ini, Anda akan membuat file tersebut. Namun, Anda juga dapat meminta Cloud Deploy untuk membuatnya, untuk aplikasi dasar non-produksi.
Lihat referensi
skaffold.yamluntuk mengetahui informasi selengkapnya tentang file konfigurasi ini.Buat manifes untuk aplikasi Anda—definisi layanan untuk Cloud Run atau manifes Kubernetes untuk GKE.
GKE
Buat file bernama
k8s-pod.yaml, dengan konten berikut:apiVersion: v1 kind: Pod metadata: name: getting-started spec: containers: - name: nginx image: my-app-imageFile ini adalah manifes Kubernetes dasar, yang diterapkan ke cluster untuk men-deploy aplikasi. Image container yang akan di-deploy ditetapkan di sini sebagai placeholder,
my-app-image, yang diganti dengan image tertentu saat Anda membuat rilis.Cloud Run
Buat file bernama
service.yaml, dengan konten berikut:apiVersion: serving.knative.dev/v1 kind: Service metadata: name: my-deploy-policy-run-service spec: template: spec: containers: - image: my-app-imageFile ini adalah definisi layanan Cloud Run dasar, yang digunakan untuk men-deploy aplikasi. Image container yang akan di-deploy ditetapkan di sini sebagai placeholder,
my-app-image, yang diganti dengan image tertentu saat Anda membuat rilis.
Membuat pipeline dan target pengiriman
Anda dapat menentukan pipeline dan target pengiriman dalam satu file atau dalam file terpisah. Dalam panduan memulai ini, Anda akan membuat satu file dengan keduanya.
Buat definisi pipeline dan target pengiriman:
GKE
Di direktori
deploy-policy-quickstart, buat file baru:clouddeploy.yaml, dengan konten berikut:apiVersion: deploy.cloud.google.com/v1 kind: DeliveryPipeline metadata: name: deploy-policy-pipeline serialPipeline: stages: - targetId: prod-target --- apiVersion: deploy.cloud.google.com/v1 kind: Target metadata: name: prod-target description: production cluster gke: cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprodCloud Run
Di direktori
deploy-policy-quickstart, buat file baru:clouddeploy.yaml, dengan konten berikut:apiVersion: deploy.cloud.google.com/v1 kind: DeliveryPipeline metadata: name: deploy-policy-pipeline serialPipeline: stages: - targetId: prod-target --- apiVersion: deploy.cloud.google.com/v1 kind: Target metadata: name: prod-target description: production Run service run: location: projects/PROJECT_ID/locations/us-central1Daftarkan resource pipeline dan target Anda dengan layanan Cloud Deploy:
gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID
Sekarang Anda memiliki pipeline pengiriman dengan satu target.
Konfirmasi pipeline dan target Anda:
Di Google Cloud konsol, buka halaman Delivery pipelines Cloud Deploy untuk melihat daftar pipeline pengiriman yang tersedia.
Buka halaman Delivery pipelines
Pipeline pengiriman yang baru saja Anda buat akan ditampilkan, dengan satu target yang tercantum di kolom Targets.
Membuat kebijakan deployment
Anda dapat menentukan kebijakan deployment dalam file yang sama dengan pipeline dan target pengiriman, atau Anda dapat menentukannya dalam file terpisah. Untuk panduan memulai ini, kita akan menentukannya secara terpisah.
Di direktori yang sama tempat Anda membuat pipeline dan target pengiriman, buat file baru,
deploypolicy.yaml, dengan konten berikut:apiVersion: deploy.cloud.google.com/v1 description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years kind: DeployPolicy metadata: name: quickstart-deploy-policy selectors: - deliveryPipeline: id: 'deploy-policy-pipeline' rules: - rolloutRestriction: id: no-rollouts timeWindows: timeZone: America/New_York oneTimeWindows: - start: 2024-01-01 00:00 end: 2034-01-01 24:00Kebijakan ini memblokir peluncuran selama 10 tahun, mulai 1 Januari 2024. Ini bukan kebijakan yang realistis; kebijakan ini dibuat seperti ini hanya untuk panduan memulai ini, untuk memastikan bahwa kebijakan tersebut ada saat Anda membuat rilis.
Daftarkan resource kebijakan deployment Anda dengan layanan Cloud Deploy:
gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID
Konfirmasi kebijakan deployment Anda:
Di Google Cloud konsol, buka halaman Deploy policies Cloud Deploy untuk melihat daftar kebijakan yang tersedia.
Kebijakan deployment yang baru saja Anda buat akan ditampilkan.
Membuat rilis
Rilis adalah resource Cloud Deploy pusat yang mewakili perubahan yang di-deploy. Pipeline pengiriman menentukan siklus proses rilis tersebut. Lihat Arsitektur layanan Cloud Deploy untuk mengetahui detail tentang siklus proses tersebut.
GKE
Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk
membuat rilis:
gcloud deploy releases create test-release-001 \
--project=PROJECT_ID \
--region=us-central1 \
--delivery-pipeline=deploy-policy-pipeline \
--images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa
Perhatikan tanda
--images= flag,
yang Anda gunakan untuk mengganti placeholder (my-app-image) dalam
manifes atau definisi layanan dengan image tertentu yang memenuhi syarat SHA. Google merekomendasikan agar Anda membuat template manifes
dengan cara ini, dan menggunakan nama image yang memenuhi syarat SHA saat membuat rilis.
Cloud Run
Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk
membuat rilis:
gcloud deploy releases create test-release-001 \
--project=PROJECT_ID \
--region=us-central1 \
--delivery-pipeline=deploy-policy-pipeline \
--images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a
Perhatikan tanda
--images= flag,
yang Anda gunakan untuk mengganti placeholder (my-app-image) dalam
manifes atau definisi layanan dengan image tertentu yang memenuhi syarat SHA. Google merekomendasikan agar Anda membuat template manifes
dengan cara ini, dan menggunakan nama image yang memenuhi syarat SHA saat membuat rilis.
Dalam keadaan normal, Cloud Deploy akan membuat peluncuran ke target pertama saat Anda membuat rilis menggunakan perintah ini. Dalam hal ini, karena peluncuran dibatasi sesuai dengan kebijakan deployment, tidak ada peluncuran yang dibuat. Pesan error akan ditampilkan di command line:
ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy"
policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"
Mengganti batasan kebijakan
Untuk men-deploy aplikasi contoh, yang diblokir oleh kebijakan deployment, Anda harus mengganti kebijakan tersebut. Untuk melakukannya, Anda akan membuat peluncuran baru terhadap rilis ini, kali ini menyertakan opsi --override-deploy-policies:
GKE
Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk
membuat rilis:
gcloud deploy releases promote --release=test-release-001 \
--project=PROJECT_ID \
--region=us-central1 \
--delivery-pipeline=deploy-policy-pipeline \
--to-target=prod-target \
--override-deploy-policies=quickstart-deploy-policy
Cloud Run
Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk
membuat rilis:
gcloud deploy releases promote --release=test-release-001 \
--project=PROJECT_ID \
--region=us-central1 \
--delivery-pipeline=deploy-policy-pipeline \
--to-target=prod-target \
--override-deploy-policies=quickstart-deploy-policy
Karena Anda menyertakan --override-deploy-policies=quickstart-deploy-policy, dan karena Anda memiliki peran roles/clouddeploy.policyAdmin, Cloud Deploy akan mengabaikan kebijakan deployment yang Anda buat dan membuat peluncuran ke prod-target.
Melihat hasil di Google Cloud konsol
Di Google Cloud konsol, buka kembali halaman Delivery pipelines Cloud Deploy untuk melihat pipeline pengiriman Anda (
deploy-policy-pipeline).Klik nama pipeline pengiriman Anda (
deploy-policy-pipeline).Visualisasi pipeline menunjukkan status deployment aplikasi. Dalam hal ini, karena kebijakan tersebut diganti, peluncuran berhasil dibuat.
Rilis Anda tercantum di tab Releases di bagian Delivery pipeline details.
Pembersihan
Agar akunAnda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut. Google Cloud
Hapus cluster GKE atau layanan Cloud Run:
GKE
gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_IDCloud Run
gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_IDHapus kebijakan deployment:
gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_IDHapus pipeline pengiriman, target, rilis, dan peluncuran:
gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_IDHapus kedua bucket Cloud Storage yang dibuat Cloud Deploy.
Selesai. Anda telah menyelesaikan panduan memulai ini.