Menggunakan kebijakan deployment untuk membatasi peluncuran

Panduan memulai ini menunjukkan cara mencegah peluncuran Cloud Deploy ke target selama waktu tertentu, dan cara mengganti batasan tersebut.

Dalam panduan memulai ini, Anda akan melakukan hal berikut:

  1. Buat konfigurasi Skaffold dan manifes Kubernetes atau definisi layanan Cloud Run untuk menentukan image container (yang telah di-build sebelumnya) yang akan di-deploy.

  2. Tentukan pipeline pengiriman Cloud Deploy dan satu target deployment, yang mengarah ke satu cluster GKE atau layanan Cloud Run.

    Pipeline ini hanya mencakup satu tahap, untuk satu target.

  3. Mengonfigurasi kebijakan deployment untuk target.

    Kebijakan ini menentukan rentang tanggal selama peluncuran ke target tersebut dilarang.

  4. Buat rilis.

    Biasanya, saat Anda membuat rilis, Cloud Deploy akan membuat peluncuran untuk target pertama dalam progres pipeline pengiriman Anda. Dalam hal ini, karena ada kebijakan yang mencegah deployment ke target, peluncuran untuk target tersebut tidak dibuat.

  5. Lihat hasilnya di konsol Google Cloud .

    Karena kebijakan tersebut, Anda tidak akan melihat peluncuran untuk rilis, dan tidak ada tindakan tertunda dalam visualisasi pipeline pengiriman.

  6. Ganti kebijakan deployment.

    Penggantian ini menyebabkan Cloud Deploy kini membuat peluncuran untuk target.

  7. Lihat hasilnya di konsol Google Cloud .

    Karena kebijakan kini telah diganti, Anda dapat melihat bahwa ada peluncuran yang sedang berlangsung (atau telah selesai, jika sudah cukup lama).

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

    14. Jika Anda sudah menginstal Google Cloud CLI, pastikan Anda menjalankan versi terbaru:

    gcloud components update
  14. Pastikan akun layanan Compute Engine default memiliki izin yang memadai.

    Akun layanan mungkin sudah memiliki izin yang diperlukan. Langkah-langkah ini disertakan untuk project yang menonaktifkan pemberian peran otomatis untuk akun layanan default.

    1. Pertama, tambahkan peran clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Tambahkan peran developer untuk runtime tertentu Anda.
      • Untuk GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Untuk Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Tambahkan peran iam.serviceAccountUser, yang mencakup izin actAs untuk men-deploy ke runtime: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

    Buat lingkungan runtime Anda

    Jika men-deploy ke Cloud Run, Anda dapat melewati perintah ini.

    Untuk GKE, buat satu cluster: quickstart-cluster-qsprod. Endpoint Kubernetes API cluster harus dapat dijangkau melalui jaringan dari internet publik. Cluster GKE dapat diakses secara eksternal secara default.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

    Siapkan konfigurasi Skaffold dan manifes aplikasi Anda

    Cloud Deploy menggunakan Skaffold untuk memberikan detail tentang apa yang akan di-deploy dan cara men-deploy-nya ke target Anda.

    Dalam panduan memulai ini, Anda akan membuat file skaffold.yaml, yang mengidentifikasi manifes Kubernetes yang akan digunakan untuk men-deploy aplikasi contoh.

    1. Buka jendela terminal.

    2. Buat direktori baru dan buka direktori tersebut.

      mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    3. Buat file bernama skaffold.yaml dengan konten berikut:

      GKE 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

      Cloud Run 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

      File ini adalah konfigurasi Skaffold minimal. Untuk panduan memulai ini, Anda akan membuat file. Namun, Anda juga dapat meminta Cloud Deploy membuatnya untuk Anda, untuk aplikasi dasar non-produksi.

      Lihat referensi skaffold.yaml untuk mengetahui informasi selengkapnya tentang file konfigurasi ini.

    4. Buat manifes untuk aplikasi Anda—definisi layanan untuk Cloud Run atau manifes Kubernetes untuk GKE.

      GKE

      Buat file bernama k8s-pod.yaml, dengan konten berikut:

      apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

      File ini adalah manifes Kubernetes dasar, yang diterapkan ke cluster untuk men-deploy aplikasi. Image container yang akan di-deploy ditetapkan di sini sebagai placeholder, my-app-image, yang diganti dengan image tertentu saat Anda membuat rilis.

      Cloud Run

      Buat file bernama service.yaml, dengan konten berikut:

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

      File ini adalah definisi layanan Cloud Run dasar, yang digunakan untuk men-deploy aplikasi. Image container yang akan di-deploy ditetapkan di sini sebagai placeholder, my-app-image, yang diganti dengan image tertentu saat Anda membuat rilis.

    Membuat target dan pipeline pengiriman

    Anda dapat menentukan pipeline dan target pengiriman dalam satu file atau dalam file terpisah. Dalam panduan memulai ini, Anda akan membuat satu file dengan keduanya.

    1. Buat definisi target dan pipeline pengiriman Anda:

      GKE

      Di direktori deploy-policy-quickstart, buat file baru: clouddeploy.yaml, dengan konten berikut:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

      Cloud Run

      Di direktori deploy-policy-quickstart, buat file baru: clouddeploy.yaml, dengan konten berikut:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

    2. Daftarkan resource pipeline dan target Anda dengan layanan Cloud Deploy:

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

      Sekarang Anda memiliki pipeline pengiriman dengan satu target.

    3. Konfirmasi pipeline dan target Anda:

      Di konsol Google Cloud , buka halaman Cloud Deploy Delivery pipelines untuk melihat daftar pipeline pengiriman yang tersedia.

      Buka halaman Delivery pipelines

      Pipeline pengiriman yang baru saja Anda buat akan ditampilkan, dengan satu target yang tercantum di kolom Target.

      Halaman pipeline pengiriman di konsol Google Cloud , yang menampilkan pipeline Anda

    Buat kebijakan deployment Anda

    Anda dapat menentukan kebijakan deployment dalam file yang sama dengan pipeline dan target pengiriman, atau Anda dapat menentukannya dalam file terpisah. Untuk panduan memulai ini, kami mendefinisikannya secara terpisah.

    1. Di direktori yang sama tempat Anda membuat pipeline dan target pengiriman, buat file baru, deploypolicy.yaml, dengan konten berikut:

      apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

      Kebijakan ini memblokir peluncuran selama 10 tahun, mulai 1 Januari 2024. Kebijakan ini tidak realistis; kebijakan ini dibuat seperti ini hanya untuk panduan memulai cepat ini, untuk memastikan bahwa kebijakan sudah diterapkan saat Anda membuat rilis.

    2. Daftarkan resource kebijakan deployment Anda dengan layanan Cloud Deploy:

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Konfirmasi kebijakan deployment Anda:

      Di konsol Google Cloud , buka halaman Cloud Deploy Deploy policies untuk melihat daftar kebijakan yang tersedia.

      Buka halaman Deploy policies

      Kebijakan deployment yang baru saja Anda buat akan ditampilkan.

      Halaman kebijakan deployment di konsol Google Cloud

    Membuat rilis

    Rilis adalah resource Cloud Deploy pusat yang merepresentasikan perubahan yang di-deploy. Pipeline pengiriman menentukan siklus proses rilis tersebut. Lihat Arsitektur layanan Cloud Deploy untuk mengetahui detail tentang siklus proses tersebut.

    GKE

    Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk membuat rilis:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

    Perhatikan flag --images=, yang Anda gunakan untuk mengganti placeholder (my-app-image) dalam manifes atau definisi layanan dengan image spesifik yang memenuhi syarat SHA. Google merekomendasikan agar Anda membuat template manifes dengan cara ini, dan menggunakan nama image yang memenuhi syarat SHA saat pembuatan rilis.

    Cloud Run

    Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk membuat rilis:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

    Perhatikan flag --images=, yang Anda gunakan untuk mengganti placeholder (my-app-image) dalam manifes atau definisi layanan dengan image spesifik yang memenuhi syarat SHA. Google merekomendasikan agar Anda membuat template manifes dengan cara ini, dan menggunakan nama image yang memenuhi syarat SHA saat pembuatan rilis.

    Dalam keadaan normal, Cloud Deploy membuat peluncuran ke target pertama saat Anda membuat rilis menggunakan perintah ini. Dalam hal ini, karena peluncuran dibatasi sesuai dengan kebijakan deployment, tidak ada peluncuran yang dibuat. Pesan error akan ditampilkan di command line:

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Mengganti pembatasan kebijakan

    Untuk men-deploy aplikasi contoh, yang diblokir oleh kebijakan deployment, Anda harus mengganti kebijakan tersebut. Untuk melakukannya, Anda membuat peluncuran baru terhadap rilis ini, kali ini termasuk opsi --override-deploy-policies:

    GKE

    Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk membuat rilis:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Cloud Run

    Jalankan perintah berikut dari direktori deploy-policy-quickstart untuk membuat rilis:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Karena Anda menyertakan --override-deploy-policies=quickstart-deploy-policy, dan karena Anda memiliki peran roles/clouddeploy.policyAdmin, Cloud Deploy mengabaikan kebijakan deployment yang Anda buat dan membuat peluncuran ke prod-target.

    Melihat hasil di konsol Google Cloud

    1. Di konsol Google Cloud , buka kembali halaman Delivery pipelines Cloud Deploy untuk melihat pipeline pengiriman Anda (deploy-policy-pipeline).

      Buka halaman Delivery pipelines

    2. Klik nama pipeline pengiriman Anda (deploy-policy-pipeline).

      Visualisasi pipeline menampilkan status deployment aplikasi. Dalam hal ini, karena kebijakan diganti, peluncuran dibuat dan berhasil.

      Visualisasi pipeline pengiriman yang menampilkan peluncuran

      Rilis Anda akan tercantum di tab Rilis di bagian Detail pipeline pengiriman.

    Pembersihan

    Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

    1. Hapus cluster GKE atau layanan Cloud Run:

      GKE 

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

      Cloud Run 

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

    2. Hapus kebijakan deployment:

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Hapus pipeline pengiriman, target, rilis, dan peluncuran:

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

    4. Hapus kedua bucket Cloud Storage yang dibuat Cloud Deploy.

      Buka halaman browser Cloud Storage

    Selesai, Anda telah menyelesaikan panduan memulai ini.

    Langkah berikutnya