Jika Anda membuat fungsi baru, lihat Panduan Memulai Konsol di Cloud Run.

Keamanan lingkungan eksekusi

Halaman ini memberikan informasi tambahan untuk kebijakan update keamanan pada fungsi yang dibuat menggunakan perintah gcloud functions atau Cloud Functions v2 API.

Untuk mengetahui deskripsi mendetail tentang cara menyetel update otomatis untuk image dasar, termasuk runtime bahasa, paket OS, dan sistem operasi, lihat dokumen Cloud Run Mengonfigurasi update otomatis image dasar.

Image runtime

Setiap runtime memiliki image runtime terkait (juga dikenal sebagai image run) di repositori publik di Artifact Registry. Untuk mengetahui daftar ID runtime dan image runtime-nya, lihat runtime.

Mengidentifikasi image runtime Anda

Anda dapat mengidentifikasi image runtime yang digunakan untuk membuat fungsi dengan memeriksa log build untuk fungsi Anda.

Dalam log build, telusuri google.run-image. Hal ini memberi Anda entri log dari langkah build yang menjelaskan versi image runtime yang digunakan untuk membangun fungsi. Misalnya, entri log untuk fungsi Nodejs mungkin terlihat seperti berikut:

{
  ...
  "textPayload": "Step #2 - \"build\": Adding image label google.run-image:
    us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22:nodejs20_20230924_20_6_1_RC00",
  ...
}

Kebijakan update keamanan

Anda dapat memilih salah satu kebijakan update keamanan berikut:

Update otomatis (default): Update dan patch keamanan pada lingkungan runtime dipublikasikan dalam image runtime versi baru. Setelah periode pengujian stabilitas dan keandalan, runtime yang diupdate akan diluncurkan ke semua fungsi sehingga update berlangsung tanpa waktu non-operasional. Update keamanan otomatis tersedia dengan Cloud Run Functions (generasi ke-1) dan Cloud Run Functions. Untuk menerapkan perbaikan keamanan tingkat bahasa, Anda mungkin perlu membangun ulang fungsi yang menggunakan bahasa yang dikompilasi seperti Go atau Java.
Update saat deployment: Update dan patch keamanan diterapkan ke runtime hanya ketika fungsi di-deploy atau di-deploy ulang, kecuali jika dinyatakan lain. Update saat deployment tersedia di Cloud Run Functions (generasi ke-1) dan Cloud Run Functions.

Kebijakan update runtime dapat diubah menggunakan flag --runtime-update-policy dalam perintah gcloud functions deploy Anda.

Secara default, update keamanan otomatis diaktifkan untuk fungsi yang di-deploy menggunakan:

gcloud functions
Cloud Functions v2 API
gcloud run dengan flag --functions dan flag --base-image

Menetapkan kebijakan update fungsi

Anda dapat mengubah kebijakan update fungsi menggunakan perintah berikut:

  gcloud functions deploy FUNCTION_NAME \
    --runtime-update-policy=POLICY ...

Ganti:

FUNCTION_NAME dengan nama fungsi Anda
POLICY dengan automatic atau on-deploy

Memeriksa kebijakan update fungsi Anda

Anda dapat memeriksa kebijakan update fungsi dengan perintah berikut:

  gcloud functions describe FUNCTION_NAME \

Dengan FUNCTION_NAME sebagai nama fungsi Anda

Fungsi dengan update keamanan otomatis yang aktif akan memiliki kunci automaticUpdatePolicy
Fungsi yang diupdate saat deployment akan memiliki kunci onDeployUpdatePolicy

Pemindaian keamanan di Cloud Run Functions

Cloud Run Functions yang mengaktifkan update otomatis dibangun di atas image scratch. Akibatnya, container yang merepresentasikan fungsi Anda di Artifact Registry tidak akan memiliki image dasar dan akan jauh lebih kecil daripada fungsi yang menggunakan update saat deployment. Image dasar digabungkan dengan image fungsi saat runtime untuk membuat fungsi yang lengkap. Untuk mengetahui informasi selengkapnya, lihat Membangun di scratch.