הפעלת Django בסביבת Cloud Run

הכנת הסביבה

שכפול של אפליקציה לדוגמה

הקוד של אפליקציית Django לדוגמה נמצא במאגר GoogleCloudPlatform/python-docs-samples ב-GitHub.

1. אפשר להוריד את הדוגמה כקובץ ZIP ולחלץ אותה, או לשכפל את המאגר למכונה המקומית:

   git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
   

2. עוברים לספרייה שמכילה את הקוד לדוגמה:

   ‫Linux/macOS

   cd python-docs-samples/run/django
   

   Windows

   cd python-docs-samples\run\django
   

אישור הגדרת Python

המדריך הזה מסתמך על Python להרצת האפליקציה לדוגמה במחשב שלכם. כדי להשתמש בקוד לדוגמה צריך גם להתקין יחסי תלות

פרטים נוספים זמינים במדריך לסביבת פיתוח בשפת Python.

1. מוודאים שגרסת Python היא 3.10 לפחות.

    python -V
   

   הגרסה שמופיעה צריכה להיות Python 3.10.0 ומעלה.

2. יוצרים סביבה וירטואלית של Python ומתקינים את יחסי התלות:

   ‫Linux/macOS

   python -m venv venv
   source venv/bin/activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

   Windows

   python -m venv venv
   venv\scripts\activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

הורדת Cloud SQL Auth Proxy כדי להתחבר ל-Cloud SQL מהמחשב המקומי

אחרי הפריסה, האפליקציה משתמשת בשרת ה-proxy ל-Cloud SQL Auth שמוטמע בסביבת Cloud Run כדי לתקשר עם מכונת Cloud SQL. עם זאת, כדי לבדוק את האפליקציה באופן מקומי, צריך להתקין ולהשתמש בעותק מקומי של ה-proxy בסביבת הפיתוח. פרטים נוספים זמינים במדריך לשרת proxy ל-Cloud SQL Auth.

שרת proxy ל-Cloud SQL Auth משתמש ב-Cloud SQL API כדי ליצור אינטראקציה עם מופע SQL. כדי לעשות את זה, צריך לאמת את האפליקציה באמצעות ה-CLI של gcloud.

1. אימות וקבלת פרטי כניסה ל-API:

   gcloud auth application-default login
   

2. מורידים ומתקינים את Cloud SQL Auth Proxy במחשב המקומי.

   לפני שמתחילים, צריך לקבוע את הארכיטקטורה של המכונה.

   אם מריצים את הפקודה ב-Linux או ב-Mac, אפשר למצוא את המידע הזה באמצעות הפקודה הבאה:

     uname -a
     

   ‏Linux‏ 64 סיביות

   1. מורידים את שרת ה-proxy ל-Cloud SQL Auth:

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.linux.amd64

   2. הופכים את שרת ה-proxy ל-Cloud SQL Auth לקובץ הפעלה:

      chmod +x cloud-sql-proxy

   ‏Linux‏ 32 סיביות

   1. מורידים את שרת ה-proxy ל-Cloud SQL Auth:

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.linux.386

   2. אם הפקודה curl לא נמצאה, מריצים את הפקודה sudo apt install curl וחוזרים על פקודת ההורדה.
   3. הופכים את שרת ה-proxy ל-Cloud SQL Auth לקובץ הפעלה:

      chmod +x cloud-sql-proxy

   macOS‏ 64 סיביות

   1. מורידים את שרת ה-proxy ל-Cloud SQL Auth:

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.darwin.amd64

   2. הופכים את שרת ה-proxy ל-Cloud SQL Auth לקובץ הפעלה:

      chmod +x cloud-sql-proxy

   Mac M1

   1. מורידים את שרת ה-proxy ל-Cloud SQL Auth:

        curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.darwin.arm64
        

   2. הופכים את שרת ה-proxy ל-Cloud SQL Auth לקובץ הפעלה:

        chmod +x cloud-sql-proxy
        

   ‏Windows‏ 64 סיביות

   לוחצים לחיצה ימנית על https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.x64.exe ובוחרים באפשרות שמירת קישור בשם כדי להוריד את שרת ה-proxy ל-Cloud SQL Auth. משנים את שם הקובץ ל-cloud-sql-proxy.exe.

   ‏Windows‏ 32 סיביות

   לוחצים לחיצה ימנית על https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.22.1/cloud-sql-proxy.x86.exe ובוחרים באפשרות שמירת קישור בשם כדי להוריד את שרת ה-proxy ל-Cloud SQL Auth. משנים את שם הקובץ ל-cloud-sql-proxy.exe.

   קובץ אימג' של Docker לשרת proxy ל-Cloud SQL Auth

   לשרת ה-proxy ל-Cloud SQL Auth יש תמונות קונטיינר שונות, כמו distroless, alpine ו-buster. קובץ האימג' של קונטיינר ברירת המחדל של שרת proxy ל-Cloud SQL Auth משתמש ב-distroless, שלא מכיל מעטפת. אם אתם צריכים מעטפת או כלים קשורים, אתם יכולים להוריד תמונה שמבוססת על alpine או על buster. מידע נוסף זמין במאמר תמונות קונטיינר של Cloud SQL Auth Proxy.

   אפשר למשוך את התמונה העדכנית ביותר למחשב המקומי באמצעות Docker באמצעות הפקודה הבאה:

   docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.22.1
   

   מערכת הפעלה אחרת

   במערכות הפעלה אחרות שלא נכללות כאן, אפשר לקמפל את Cloud SQL Auth Proxy מהמקור.

   אתם יכולים להעביר את ההורדה למיקום נפוץ, כמו מיקום בPATH או בספריית הבית. אם תבחרו לעשות את זה, כשתפעילו את שרת ה-proxy ל-Cloud SQL Auth בהמשך המדריך, תצטרכו לציין את המיקום שבחרתם כשמשתמשים בפקודות cloud-sql-proxy.

יצירת שירותי גיבוי

במדריך הזה נעשה שימוש בכמה Google Cloud שירותים כדי לספק את מסד הנתונים, אחסון המדיה ואחסון הסודות שתומכים בפרויקט Django שנפרס. השירותים האלה פרוסים באזור ספציפי. כדי לשפר את היעילות בין השירותים, מומלץ לפרוס את כל השירותים באותו אזור. מידע נוסף על האזור הקרוב ביותר אליכם זמין במאמר מוצרים שזמינים לפי אזור.

הגדרת מכונה של Cloud SQL ל-PostgreSQL

‫Django תומך רשמית במספר מסדי נתונים רלציוניים, אבל התמיכה הכי טובה היא ב-PostgreSQL. ‫Cloud SQL תומך ב-PostgreSQL, ולכן במדריך הזה נבחר להשתמש בסוג הזה של מסד נתונים.

בקטע הבא מתואר תהליך היצירה של מכונת PostgreSQL, מסד נתונים ומשתמש במסד הנתונים עבור האפליקציה.

1. יוצרים את מכונת PostgreSQL:

   המסוף

   1. נכנסים לדף Cloud SQL Instances במסוף Google Cloud .

      כניסה לדף Cloud SQL Instances

   2. לוחצים על Create Instance.

   3. לוחצים על Choose PostgreSQL (בחירת PostgreSQL).

   4. ב-SQL Edition, בוחרים באפשרות Enterprise.

   5. בקטע Edition Preset (הגדרות קבועות מראש של מהדורה), בוחרים באפשרות Sandbox (ארגז חול).

   6. בשדה Instance ID (מזהה המופע), מזינים את הערך INSTANCE_NAME.

   7. מזינים סיסמה למשתמש postgres.

   8. משאירים את ערכי ברירת המחדל בשאר השדות.

   9. לוחצים על Create Instance.

   לוקח כמה דקות עד שהמכונה מוכנה לשימוש.

   gcloud

   • יוצרים את מכונת PostgreSQL:

     gcloud sql instances create INSTANCE_NAME \
         --project PROJECT_ID \
         --database-version POSTGRES_16 \
         --tier db-n1-standard-2 \
         --region REGION
     

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫INSTANCE_NAME: שם המכונה של Cloud SQL
   • ‫PROJECT_ID: מזהה הפרויקט Google Cloud
   • ‫REGION: Google Cloud האזור

   יצירת המכונה והכנתה לשימוש נמשכות כמה דקות.

2. במכונה שנוצרה, יוצרים מסד נתונים:

   המסוף

   1. בדף של האינסטנס, עוברים לכרטיסייה Databases (מסדי נתונים).
   2. לוחצים על יצירת מסד נתונים.
   3. בתיבת הדו-שיח Database Name, מזינים DATABASE_NAME.
   4. לוחצים על יצירה.

   gcloud

   • יוצרים את מסד הנתונים במופע שנוצר לאחרונה:

     gcloud sql databases create DATABASE_NAME \
         --instance INSTANCE_NAME
     

     מחליפים את DATABASE_NAME בשם של מסד הנתונים בתוך המכונה.

3. יוצרים משתמש במסד הנתונים:

   המסוף

   1. בדף של המופע, עוברים לכרטיסייה משתמשים.
   2. לוחצים על הוספת חשבון משתמש.
   3. בתיבת הדו-שיח בחירת שיטת האימות בקטע 'אימות מובנה':
   4. מזינים את שם המשתמש DATABASE_USERNAME.
   5. מזינים את הסיסמה DATABASE_PASSWORD
   6. לוחצים על הוספה.

   gcloud

   • יוצרים את המשתמש במכונה שנוצרה לאחרונה:

     gcloud sql users create DATABASE_USERNAME \
         --instance INSTANCE_NAME \
         --password DATABASE_PASSWORD
     

     מחליפים את PASSWORD בסיסמה מאובטחת.

הגדרת Artifact Registry

משתמשים ב-Artifact Registry כדי ליצור מאגר לאחסון קובץ האימג' של הקונטיינר.

gcloud artifacts repositories create cloud-run-source-deploy \
    --repository-format docker \
    --location REGION

הגדרת קטגוריה של Cloud Storage

אתם יכולים לאחסן נכסים סטטיים שכלולים ב-Django, וגם מדיה שהמשתמשים העלו, באחסון אובייקטים עם זמינות גבוהה באמצעות Cloud Storage. חבילת django-storages[google] מטפלת באינטראקציה של Django עם קצה העורפי של האחסון הזה.

אחסון ערכי סוד ב-Secret Manager

עכשיו, אחרי שהגדרתם את שירותי הגיבוי, Django צריך מידע על השירותים האלה. במקום להזין את הערכים האלה ישירות בקוד המקור של Django, במדריך הזה נעשה שימוש ב-Secret Manager כדי לאחסן את המידע הזה בצורה מאובטחת.

יצירת קובץ סביבה של Django כסוד ב-Secret Manager

ההגדרות שנדרשות להפעלת Django מאוחסנות בקובץ env מאובטח. אפליקציית הדוגמה משתמשת ב-Secret Manager API כדי לאחזר את ערך הסוד, ובחבילה django-environ כדי לטעון את הערכים לסביבת Django. הסוד מוגדר כך ש-Cloud Run ו-Cloud Build יוכלו לגשת אליו.

1. יוצרים קובץ בשם .env, מגדירים את מחרוזת החיבור למסד הנתונים, את שם קטגוריית המדיה ואת הערך החדש של SECRET_KEY:

   echo DATABASE_URL=postgres://DATABASE_USERNAME:DATABASE_PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME > .env
   echo GS_BUCKET_NAME=PROJECT_ID_MEDIA_BUCKET >> .env
   echo SECRET_KEY=$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 50 | head -n1) >> .env
   

2. מאחסנים את הסוד ב-Secret Manager:

   המסוף

   1. נכנסים לדף Secret Manager במסוף Google Cloud .

      מעבר לדף Secret Manager

   2. לוחצים על יצירת סוד.

   3. בשדה שם מזינים django_settings.

   4. בתיבת הדו-שיח Secret value, מדביקים את התוכן של קובץ .env.

   5. לוחצים על Create secret (יצירת סוד).

   6. כדי למנוע שינוי של הגדרות מקומיות, צריך למחוק את הקובץ המקומי.

   gcloud

   1. יוצרים סוד חדש, django_settings, עם הערך של הקובץ .env:

      gcloud secrets create django_settings --data-file .env
      

   2. כדי למנוע ביטול של הגדרות מקומיות, צריך למחוק את הקובץ המקומי:

      rm .env
      

3. הגדרת הגישה לסוד:

   המסוף

   לפני שמגדירים גישה לסוד, כדאי לשים לב למספר הפרויקט בסוד: django_settings:

       projects/PROJECTNUM/secrets/django_settings
   

   1. לוחצים על הכרטיסייה Permissions.
   2. לוחצים על הענקת גישה.
   3. בשדה New Members (חברים חדשים), מזינים PROJECTNUM-compute@developer.gserviceaccount.com ולוחצים על Enter.
   4. בתפריט הנפתח Role, בוחרים באפשרות Secret Manager Secret Accessor.
   5. לוחצים על Save.

   gcloud

   נותנים גישה לסוד לחשבון השירות של Cloud Run:

     gcloud secrets add-iam-policy-binding django_settings \
         --member serviceAccount:PROJECTNUM-compute@developer.gserviceaccount.com \
         --role roles/secretmanager.secretAccessor
   

   אפשר לקבל את הערך של מספר הפרויקט (PROJECTNUM) באמצעות הפקודה הבאה:

     gcloud projects describe PROJECT_ID --format='value(projectNumber)'
   

   בפלט, מוודאים שחשבון השירות החדש מופיע ברשימה bindings.

יצירת סוד לסיסמת האדמין של Django

משתמש האדמין של Django נוצר בדרך כלל על ידי הפעלת פקודת הניהול האינטראקטיבית createsuperuser.

במדריך הזה נעשה שימוש בהעברת נתונים כדי ליצור את משתמש האדמין, ואחזור סיסמת האדמין מ-Secret Manager.

הפעלת האפליקציה במחשב המקומי

אחרי שמגדירים את שירותי הגיבוי, אפשר להריץ את האפליקציה במחשב. ההגדרה הזו מאפשרת פיתוח מקומי והחלת העברות של מסדי נתונים. הערה: העברות של מסדי נתונים מתבצעות גם ב-Cloud Build, אבל תצטרכו להגדיר את ההגדרה המקומית הזו כדי makemigrations.

1. במסוף נפרד, מפעילים את שרת ה-proxy ל-Cloud SQL Auth:

   ‫Linux/macOS

   ./cloud-sql-proxy PROJECT_ID:REGION:INSTANCE_NAME
   

   Windows

   cloud-sql-proxy.exe PROJECT_ID:REGION:INSTANCE_NAME
   

   בשלב הזה נוצר חיבור מהמחשב המקומי למכונת Cloud SQL לצורך בדיקות מקומיות. חשוב להשאיר את שרת ה-proxy ל-Cloud SQL Auth פועל כל הזמן שבודקים את האפליקציה באופן מקומי. הפעלת התהליך הזה בטרמינל נפרד מאפשרת לכם להמשיך לעבוד בזמן שהתהליך הזה פועל.

2. במסוף המקורי, מגדירים את מזהה הפרויקט באופן מקומי (משמש את Secret Manager API):

   ‫Linux/macOS

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

   Windows

   set GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

3. מגדירים משתנה סביבה כדי לציין שאתם משתמשים בשרת proxy ל-Cloud SQL Auth (הערך הזה מזוהה בקוד):

   ‫Linux/macOS

   export USE_CLOUD_SQL_AUTH_PROXY=true
   

   Windows

   set USE_CLOUD_SQL_AUTH_PROXY=true
   

4. מריצים את ההעברות של Django כדי להגדיר את המודלים והנכסים:

   python manage.py makemigrations
   python manage.py makemigrations polls
   python manage.py migrate
   python manage.py collectstatic
   

5. מפעילים את שרת האינטרנט של Django:

   python manage.py runserver 8080
   

6. בדפדפן, עוברים אל http://localhost:8080.

   אם אתם ב-Cloud Shell, לוחצים על הלחצן Web Preview (תצוגה מקדימה של אתר) ובוחרים באפשרות Preview on port 8080 (תצוגה מקדימה ביציאה 8080).

   בדף מוצג הטקסט: "Hello, world. אתה נמצא במדד הסקרים". שרת האינטרנט של Django שפועל במחשב שלכם מספק את דפי האפליקציה לדוגמה.

7. מקישים על Ctrl/Cmd+C כדי לעצור את שרת האינטרנט המקומי.

פריסת האפליקציה ב-Cloud Run

אחרי שמגדירים את שירותי הגיבוי, אפשר לפרוס את שירות Cloud Run.

1. באמצעות cloudmigrate.yaml שסופק, משתמשים ב-Cloud Build כדי ליצור את התמונה, להפעיל את העברות מסד הנתונים ולאכלס את הנכסים הסטטיים:

   gcloud builds submit --config cloudmigrate.yaml \
       --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
   

   הגרסה הראשונה תיבנה תוך כמה דקות.

2. אם הבנייה הצליחה, פורסים את שירות Cloud Run בפעם הראשונה, ומגדירים את אזור השירות, קובץ האימג' הבסיסי ומופע Cloud SQL המחובר:

   gcloud run deploy polls-service \
       --region REGION \
       --image REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/polls-service \
       --add-cloudsql-instances PROJECT_ID:REGION:INSTANCE_NAME \
       --allow-unauthenticated
   

   אמור להופיע פלט שמראה שהפריסה הצליחה, עם כתובת URL של שירות:

   Service [polls-service] revision [polls-service-00001-tug] has been deployed
   and is serving 100 percent of traffic.
   Service URL: https://polls-service-PROJECT_ID.REGION.run.app
   

3. מעדכנים את השירות לכתובות ה-URL של השירות כמשתנה סביבה.

   CLOUDRUN_SERVICE_URLS=$(gcloud run services describe polls-service \
       --region $REGION  \
       --format "value(metadata.annotations[\"run.googleapis.com/urls\"])" | tr -d '"[]')
   
   gcloud run services update polls-service \
       --region REGION \
       --update-env-vars "^##^CLOUDRUN_SERVICE_URLS=$CLOUDRUN_SERVICE_URLS"
   

4. כדי לראות את השירות שנפרס, עוברים לכתובת ה-URL של השירות.

5. כדי להתחבר לממשק הניהול של Django, מוסיפים את המחרוזת /admin לכתובת ה-URL ומתחברים באמצעות שם המשתמש admin והסיסמה שהוגדרו קודם.

   כדי לאחזר את סיסמת משתמש העל מ-Secret Manager:

   gcloud secrets versions access latest --secret superuser_password && echo ""
   

עדכון האפליקציה

השלבים הראשוניים של הקצאת הרשאות ופריסה היו מורכבים, אבל תהליך העדכון פשוט יותר:

1. מריצים את סקריפט המיגרציה ואת ה-build של Cloud Build:

   gcloud builds submit --config cloudmigrate.yaml \
       --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
   

2. מפעילים את השירות, ומציינים רק את האזור והתמונה:

   gcloud run deploy polls-service \
       --region REGION \
       --image REGION-docker.pkg.dev/PROJECT_ID/cloud-run-source-deploy/polls-service
   

הגדרת סביבת הייצור

עכשיו יש לכם פריסת Django פעילה, אבל יש עוד שלבים שאפשר לבצע כדי לוודא שהאפליקציה מוכנה לייצור.

השבתת ניפוי באגים

מוודאים שהמשתנה DEBUG ב-mysite/settings.py מוגדר לערך False. ההגדרה הזו תמנע הצגה של דפי שגיאה מפורטים למשתמש, שיכולים לחשוף מידע על ההגדרות.

הגבלת ההרשאות של משתמש מסד הנתונים

לכל המשתמשים שנוצרים באמצעות Cloud SQL יש את ההרשאות שמשויכות לתפקיד cloudsqlsuperuser: CREATEROLE,‏ CREATEDB ו-LOGIN.

כדי למנוע ממשתמש מסד הנתונים של Django לקבל את ההרשאות האלה, צריך ליצור את המשתמש ב-PostgreSQL באופן ידני. צריך להתקין את psql הטרמינל האינטראקטיבי או להשתמש ב-Cloud Shell שבו הכלי הזה מותקן מראש.

הגדרת הרשאות מינימליות

כברירת מחדל, השירות הזה נפרס עם חשבון השירות שמוגדר כברירת מחדל ב-Compute. עם זאת, במקרים מסוימים, שימוש בחשבון השירות שמוגדר כברירת מחדל יכול לספק יותר מדי הרשאות. אם אתם רוצים להגביל את ההרשאות יותר, אתם צריכים ליצור חשבון שירות משלכם ולהקצות רק את ההרשאות שנדרשות לשירות שלכם. ההרשאות הנדרשות עשויות להשתנות משירות לשירות, בהתאם למשאבים שבהם נעשה שימוש בשירות מסוים.

אלה תפקידי הפרויקט המינימליים שנדרשים בשירות הזה:

• Cloud Run Invoker
• לקוח Cloud SQL
• אדמין אחסון, בדלי המדיה
• Secret Manager Accessor, on the Django settings secret. (השירות עצמו לא דורש גישה לסוד של Django Admin).

כדי ליצור חשבון שירות עם ההרשאות הנדרשות ולהקצות אותו לשירות, מריצים את הפקודה הבאה:

1. ב-CLI של gcloud, יוצרים חשבון שירות עם התפקידים הנדרשים:

   gcloud iam service-accounts create polls-service-account
   SERVICE_ACCOUNT=polls-service-account@PROJECT_ID.iam.gserviceaccount.com
   
   # Cloud SQL Client
   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/cloudsql.client
   
   # Storage Admin, on the media bucket
   gcloud storage buckets add-iam-policy-binding gs://MEDIA_BUCKET \
       --member=serviceAccount:${SERVICE_ACCOUNT} \
       --role=roles/storage.objectAdmin
   
   # Secret Accessor, on the Django settings secret.
   gcloud secrets add-iam-policy-binding django_settings \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/secretmanager.secretAccessor
   
   # Secret Accessor, on the Django super user password.
   gcloud secrets add-iam-policy-binding superuser_password \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/secretmanager.secretAccessor
   

2. פורסים את השירות ומקשרים אותו לחשבון השירות החדש:

   gcloud run services update polls-service \
       --region REGION \
       --service-account ${SERVICE_ACCOUNT}
   

3. מעדכנים את משימות Cloud Run ב-cloudmigrate.yaml כך שגם הן יכללו את ההגדרה --service-account.

הסבר על הקוד

אפליקציה לדוגמה

אפליקציית הדוגמה של Django נוצרה באמצעות כלי Django רגילים. הפקודות הבאות יוצרות את הפרויקט ואת אפליקציית הסקרים:

django-admin startproject mysite
python manage.py startapp polls

התצוגות, המודלים והגדרות המסלול הבסיסיים הועתקו מתוך כתיבת האפליקציה הראשונה ב-Django (חלק 1 וחלק 2).

סודות מ-Secret Manager

הקובץ settings.py מכיל קוד שמשתמש ב-Secret Manager API בשפת Python כדי לאחזר את הגרסה העדכנית של הסוד שצוין, ולשלוף אותו לסביבה (באמצעות django-environ):

# SECURITY WARNING: don't run with debug turned on in production!
# Change this to "False" when you are ready for production
env = environ.Env(DEBUG=(bool, True))
env_file = os.path.join(BASE_DIR, ".env")

# Attempt to load the Project ID into the environment, safely failing on error.
try:
    _, os.environ["GOOGLE_CLOUD_PROJECT"] = google.auth.default()
except google.auth.exceptions.DefaultCredentialsError:
    pass

if os.path.isfile(env_file):
    # Use a local secret file, if provided

    env.read_env(env_file)
# ...
elif os.environ.get("GOOGLE_CLOUD_PROJECT", None):
    # Pull secrets from Secret Manager
    project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")

    client = secretmanager.SecretManagerServiceClient()
    settings_name = os.environ.get("SETTINGS_NAME", "django_settings")
    name = f"projects/{project_id}/secrets/{settings_name}/versions/latest"
    payload = client.access_secret_version(name=name).payload.data.decode("UTF-8")

    env.read_env(io.StringIO(payload))
else:
    raise Exception("No local .env or GOOGLE_CLOUD_PROJECT detected. No secrets found.")

הסוד משמש לאחסון של כמה ערכי סוד כדי לצמצם את מספר הסודות השונים שצריך להגדיר.

הגדרות CSRF

ל-Django יש הגנה מובנית מפני זיוף בקשות בין אתרים (CSRF). החל מ-Django 4.0, שינויים באופן הפעולה של המערכת מחייבים לציין ל-Django מה כתובת ה-URL שבה היא מתארחת, כדי שהיא תוכל להציע את ההגנות הטובות ביותר למשתמשים ששולחים נתונים.

אתם מספקים את כתובת ה-URL של האפליקציה כמשתנה סביבה בקובץ settings.py. זה הערך ש-Django משתמשת בו להגדרות הרלוונטיות.

# SECURITY WARNING: It's recommended that you use this when
# running in production. The URLs will be known once you first deploy
# to Cloud Run. This code takes the URLs and converts it to both these settings formats.
CLOUDRUN_SERVICE_URLS = env("CLOUDRUN_SERVICE_URLS", default=None)
if CLOUDRUN_SERVICE_URLS:
    CSRF_TRUSTED_ORIGINS = env("CLOUDRUN_SERVICE_URLS").split(",")
    # Remove the scheme from URLs for ALLOWED_HOSTS
    ALLOWED_HOSTS = [urlparse(url).netloc for url in CSRF_TRUSTED_ORIGINS]

    SECURE_SSL_REDIRECT = True
    SECURE_PROXY_SSL_HEADER = ("HTTP_X_FORWARDED_PROTO", "https")
else:
    ALLOWED_HOSTS = ["*"]

שינויים מקומיים מברירת המחדל של סודות

אם נמצא קובץ .env במערכת הקבצים המקומית, הוא ישמש במקום הערך מ-Secret Manager. יצירת קובץ .env באופן מקומי יכולה לעזור בבדיקות מקומיות (למשל, פיתוח מקומי מול מסד נתונים של SQLite או הגדרות מקומיות אחרות).

חיבור למסד נתונים

הקובץ settings.py מכיל את ההגדרות של מסד הנתונים של SQL. הוא משתמש בעזר env.db() מ-django-environ כדי לטעון את מחרוזת החיבור שהוגדרה ב-DATABASE_URL להגדרה DATABASES.

כשמריצים את האפליקציה באופן מקומי ומשתמשים בשרת proxy ל-Cloud SQL Auth כדי לגשת למסד הנתונים המתארח, הדגל USE_CLOUD_SQL_AUTH_PROXY מתאים את הגדרות מסד הנתונים לשימוש בשרת ה-proxy.

# Use django-environ to parse the connection string
DATABASES = {"default": env.db()}

# If the flag as been set, configure to use proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
    DATABASES["default"]["HOST"] = "127.0.0.1"
    DATABASES["default"]["PORT"] = 5432

תוכן סטטי שמאוחסן בענן

קובץ settings.py משתמש גם ב-django-storages כדי לשלב את קטגוריית המדיה של Cloud Storage ישירות בפרויקט:

# Define static storage via django-storages[google]
GS_BUCKET_NAME = env("GS_BUCKET_NAME")
STATIC_URL = "/static/"
STORAGES = {
    "default": {
        "BACKEND": "storages.backends.gcloud.GoogleCloudStorage",
    },
    "staticfiles": {
        "BACKEND": "storages.backends.gcloud.GoogleCloudStorage",
    },
}
GS_DEFAULT_ACL = "publicRead"

אוטומציה באמצעות Cloud Build

‫cloudmigrate.yaml מטפל בכל השלבים שנדרשים ליצירת תמונת קונטיינר חדשה, ומשתמש בה כדי להחיל העברות של מסדי נתונים.

במדריך הזה בחרנו להשתמש ב-buildpacks כדי ליצור את קובץ האימג' של הקונטיינר, ובנקודות כניסה מותאמות אישית ב-Procfile כדי לטפל בפקודות ניהול. אחר כך אפשר להפנות אליהם ממשימות של Cloud Run כדי לבצע את הפקודות.

steps:
  - id: "Build Container Image"
    name: gcr.io/k8s-skaffold/pack
    args: ["build", "${_IMAGE_NAME}", "--builder=gcr.io/buildpacks/builder"]

  - id: "Push Container Image"
    name: "gcr.io/cloud-builders/docker"
    args: ["push", "${_IMAGE_NAME}"]

  - id: "Migrate database"
    name: "gcr.io/google.com/cloudsdktool/cloud-sdk"
    entrypoint: /bin/bash
    args:
      - "-c"
      - |
        gcloud run jobs create migrate-job \
          --region ${_REGION} \
          --image ${_IMAGE_NAME} \
          --set-cloudsql-instances ${_CLOUD_SQL_CONNECTION_NAME} \
          --set-env-vars SETTINGS_NAME=${_SECRET_SETTINGS_NAME} \
          --command migrate \
          --execute-now

  - id: "Create superuser"
    name: "gcr.io/google.com/cloudsdktool/cloud-sdk"
    entrypoint: /bin/bash
    args:
      - "-c"
      - |
        gcloud run jobs create superuser-job \
          --region ${_REGION} \
          --image ${_IMAGE_NAME} \
          --set-cloudsql-instances ${_CLOUD_SQL_CONNECTION_NAME} \
          --set-env-vars SETTINGS_NAME=${_SECRET_SETTINGS_NAME} \
          --set-env-vars DJANGO_SUPERUSER_EMAIL=${_ADMIN_EMAIL} \
          --set-secrets DJANGO_SUPERUSER_PASSWORD=${_ADMIN_PASSWORD_NAME}:latest \
          --command createsuperuser \
          --execute-now

options:
  dynamicSubstitutions: true

substitutions:
  _INSTANCE_NAME: django-instance
  _CLOUD_SQL_CONNECTION_NAME: ${PROJECT_ID}:${_REGION}:${_INSTANCE_NAME}
  _REGION: us-central1
  _SERVICE_NAME: polls-service
  _SECRET_SETTINGS_NAME: django_settings
  _ARTIFACT_REGISTRY: cloud-run-source-deploy
  _IMAGE_NAME: ${_REGION}-docker.pkg.dev/${PROJECT_ID}/${_ARTIFACT_REGISTRY}/${_SERVICE_NAME}
  _ADMIN_EMAIL: example@example.com
  _ADMIN_PASSWORD_NAME: superuser_password

images:
  - "${_IMAGE_NAME}"

משתני החלפה משמשים בהגדרה הזו.

יצירת משתמש על באמצעות משימות Cloud Run

אפשר להריץ את פקודת הניהול של Django‏ createsuperuser באופן לא אינטראקטיבי על ידי הגדרת DJANGO_SUPERUSER_EMAIL ו-DJANGO_SUPERUSER_PASSWORD.

במדריך הזה בחרנו להשתמש ב-Cloud Run Jobs כדי להריץ את הפקודה הזו. כדי לעשות את זה, מוסיפים רשומה בהתאמה אישית ל-Procfile שמריץ את createsuperuser.

# Create superuser (requires DJANGO_SUPERUSER_PASSWORD and DJANGO_SUPERUSER_EMAIL envvars)
createsuperuser: python manage.py createsuperuser --username admin --noinput || echo "User already exists."