Utilizzare una policy di deployment per limitare le implementazioni

Questa guida rapida mostra come impedire le implementazioni di Cloud Deploy in un target durante un periodo di tempo specificato e come ignorare questa limitazione.

In questa guida rapida imparerai a:

  1. Crea una configurazione Skaffold e un manifest Kubernetes o una definizione del servizio Cloud Run per specificare l'immagine container (precompilata) di cui eseguire il deployment.

  2. Definisci la pipeline di distribuzione di Cloud Deploy e un target di deployment, che punta a un cluster GKE o a un servizio Cloud Run.

    Questa pipeline include una sola fase, per un solo target.

  3. Configura una policy di deployment per un target.

    La policy definisce un intervallo di date durante il quale vietare le implementazioni nel target.

  4. Crea una release.

    In genere, quando crei una release, Cloud Deploy crea un'implementazione per il primo target nella progressione della pipeline di distribuzione. In questo caso, poiché esiste una policy che impedisce il deployment nel target, l'implementazione per quel target non viene creata.

  5. Visualizza i risultati nella Google Cloud console.

    A causa della policy, non vedrai un'implementazione per la release e non ci sono azioni in attesa nella visualizzazione della pipeline di distribuzione.

  6. Ignora la policy di deployment.

    Questo override fa sì che Cloud Deploy crei l'implementazione per il target.

  7. Visualizza i risultati nella Google Cloud console.

    Poiché la policy è stata ignorata, puoi vedere che è in corso un'implementazione (o è stata completata, se è trascorso un tempo sufficiente).

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Installa Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

    14. Se hai già installato Google Cloud CLI, assicurati di eseguire l'ultima versione:

    gcloud components update
  14. Assicurati che il service account predefinito di Compute Engine disponga delle autorizzazioni necessarie.

    Il account di servizio potrebbe già disporre delle autorizzazioni necessarie. Questi passaggi sono inclusi per i progetti che disattivano la concessione automatica dei ruoli per i service account predefiniti.

    1. Innanzitutto, aggiungi il ruolo clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Aggiungi il ruolo di sviluppatore per il runtime specifico.
      • Per GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Per Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Aggiungi il ruolo iam.serviceAccountUser, che include l'autorizzazione actAs per eseguire il deployment nel runtime: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

Crea l'ambiente di runtime

Se esegui il deployment in Cloud Run, puoi saltare questo comando.

Per GKE, crea un cluster: quickstart-cluster-qsprod. L'endpoint API Kubernetes del cluster deve essere raggiungibile dalla rete internet pubblica. I cluster GKE sono accessibili esternamente per impostazione predefinita.

gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

Prepara la configurazione Skaffold e il manifest dell'applicazione

Cloud Deploy utilizza Skaffold per fornire i dettagli su cosa e come eseguire il deployment nel target.

In questa guida rapida, crei un file skaffold.yaml, che identifica il manifest Kubernetes da utilizzare per eseguire il deployment dell'app di esempio.

  1. Apri una finestra del terminale.

  2. Crea una nuova directory e spostati al suo interno.

    mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

  3. Crea un file denominato skaffold.yaml con il seguente contenuto:

    GKE 

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

    Cloud Run 

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

    Questo file è una configurazione Skaffold minima. Per questa guida rapida, crei il file. Tuttavia, puoi anche chiedere a Cloud Deploy di crearne uno per te, per le applicazioni di base non di produzione.

    Per ulteriori informazioni su questo file di configurazione, consulta il riferimento skaffold.yaml.

  4. Crea il manifest per l'applicazione: una definizione del servizio per Cloud Run o un manifest Kubernetes per GKE.

    GKE

    Crea un file denominato k8s-pod.yaml con il seguente contenuto:

    apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

    Questo file è un manifest Kubernetes di base, che viene applicato al cluster per eseguire il deployment dell'applicazione. L'immagine container di cui eseguire il deployment è impostata qui come un segnaposto, my-app-image, che viene sostituita con l'immagine specifica quando crei la release.

    Cloud Run

    Crea un file denominato service.yaml con il seguente contenuto:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

    Questo file è una definizione di base del servizio Cloud Run, utilizzata per eseguire il deployment dell'applicazione. L'immagine container di cui eseguire il deployment è impostata qui come segnaposto, my-app-image, che viene sostituita con l'immagine specifica quando crei la release.

Crea la pipeline di distribuzione e il target

Puoi definire la pipeline di distribuzione e i target in un unico file o in file separati. In questa guida rapida, crei un singolo file con entrambi.

  1. Crea la pipeline di distribuzione e la definizione del target:

    GKE

    Nella directory deploy-policy-quickstart, crea un nuovo file: clouddeploy.yaml, con il seguente contenuto:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

    Cloud Run

    Nella directory deploy-policy-quickstart, crea un nuovo file: clouddeploy.yaml, con il seguente contenuto:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

  2. Registra le risorse della pipeline e del target con il servizio Cloud Deploy:

    gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

    Ora hai una pipeline di distribuzione con un target.

  3. Conferma la pipeline e i target:

    Nella Google Cloud console, vai alla pagina Pipeline di distribuzione di Cloud Deploy per visualizzare un elenco delle pipeline di distribuzione disponibili.

    Apri la pagina Pipeline di distribuzione

    Viene visualizzata la pipeline di distribuzione appena creata, con un target elencato nella colonna Target.

    Pagina della pipeline di distribuzione nella console Google Cloud , che mostra la pipeline

Crea la policy di deployment

Puoi definire la policy di deployment nello stesso file della pipeline di distribuzione e dei target oppure in un file separato. Per questa guida rapida, la definiamo separatamente.

  1. Nella stessa directory in cui hai creato la pipeline di distribuzione e i target, crea un nuovo file, deploypolicy.yaml, con il seguente contenuto:

    apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

    Questa policy blocca le implementazioni per 10 anni, a partire dal 1° gennaio 2024. Non si tratta di una policy realistica; viene eseguita in questo modo solo per questa guida rapida, per garantire che la policy sia attiva quando crei la release.

  2. Registra la risorsa della policy di deployment con il servizio Cloud Deploy:

    gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Conferma la policy di deployment:

    Nella Google Cloud console, vai alla pagina Policy di deployment di Cloud Deploy per visualizzare un elenco delle policy disponibili.

    Apri la pagina Policy di deployment

    Viene visualizzata la policy di deployment appena creata.

    Pagina delle policy di deployment nella console Google Cloud

Crea una release

Una release è la risorsa centrale di Cloud Deploy che rappresenta le modifiche di cui viene eseguito il deployment. La pipeline di distribuzione definisce il ciclo di vita di questa release. Per informazioni dettagliate su questo ciclo di vita, consulta Architettura del servizio Cloud Deploy.

GKE

Esegui il comando seguente dalla directory deploy-policy-quickstart per creare la release:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

Nota il --images= flag, che utilizzi per sostituire il segnaposto (my-app-image) nel manifest o nella definizione del servizio con l' immagine specifica qualificata con SHA. Google consiglia di creare un modello dei manifest in questo modo e di utilizzare nomi di immagini qualificati con SHA durante la creazione della release.

Cloud Run

Esegui il comando seguente dalla directory deploy-policy-quickstart per creare la release:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

Nota il --images= flag, che utilizzi per sostituire il segnaposto (my-app-image) nel manifest o nella definizione del servizio con l' immagine specifica qualificata con SHA. Google consiglia di creare un modello dei manifest in questo modo e di utilizzare nomi di immagini qualificati con SHA durante la creazione della release.

In circostanze normali, Cloud Deploy crea l' implementazione nel primo target quando crei la release utilizzando questo comando. In questo caso, poiché le implementazioni sono limitate in base alla policy di deployment, non viene creata alcuna implementazione. Nella riga di comando viene visualizzato un messaggio di errore:

ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

Ignora la limitazione della policy

Per eseguire il deployment dell'applicazione di esempio, bloccata dalla policy di deployment, devi ignorare questa policy. Per farlo, crea una nuova implementazione per questa release, questa volta includendo l'opzione --override-deploy-policies:

GKE

Esegui il comando seguente dalla directory deploy-policy-quickstart per creare la release:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Cloud Run

Esegui il comando seguente dalla directory deploy-policy-quickstart per creare la release:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Poiché hai incluso --override-deploy-policies=quickstart-deploy-policy e hai il ruolo roles/clouddeploy.policyAdmin, Cloud Deploy ignora la policy di deployment che hai creato e crea l'implementazione in prod-target.

Visualizza i risultati nella Google Cloud console

  1. Nella Google Cloud console, vai di nuovo alla pagina Pipeline di distribuzione di Cloud Deploy per visualizzare la pipeline di distribuzione (deploy-policy-pipeline).

    Apri la pagina Pipeline di distribuzione

  2. Fai clic sul nome della pipeline di distribuzione (deploy-policy-pipeline).

    La visualizzazione della pipeline mostra lo stato del deployment dell'app. In questo caso, poiché la policy è stata ignorata, l'implementazione è stata creata ed è andata a buon fine.

    Visualizzazione della pipeline di distribuzione che mostra l'implementazione

    La release è elencata nella scheda Release in Dettagli pipeline di distribuzione.

Libera spazio

Per evitare che al tuo Google Cloud account vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

  1. Elimina il cluster GKE o il servizio Cloud Run:

    GKE 

    gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

    Cloud Run 

    gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

  2. Elimina la policy di deployment:

    gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Elimina la pipeline di distribuzione, il target, la release e l'implementazione:

    gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

  4. Elimina entrambi i bucket Cloud Storage creati da Cloud Deploy.

    Apri la pagina del browser Cloud Storage

Ecco fatto, hai completato questa guida rapida.

Passaggi successivi