הדרכה בנושא שורת הפקודה gcloud בשירות Cloud Run

הגדרת ברירות מחדל ב-gcloud

כדי להגדיר את gcloud עם ערכי ברירת מחדל לשירות Cloud Run:

1. מגדירים את פרויקט ברירת המחדל:

   gcloud config set project PROJECT_ID

   מחליפים את PROJECT_ID בשם הפרויקט שיצרתם לצורך המדריך הזה.

2. מגדירים את gcloud לאזור שבחרתם:

   gcloud config set run/region REGION

   מחליפים את REGION באזור נתמך ב-Cloud Run לבחירתכם.

אחזור של דוגמת הקוד

כדי לאחזר את דוגמת קוד לשימוש:

1. משכפלים את מאגר האפליקציה לדוגמה ומעבירים אותו למכונה המקומית:

   git clone https://github.com/GoogleCloudPlatform/cloud-run-samples.git

   אפשרות נוספת היא להוריד את הדוגמה כקובץ ZIP ולחלץ אותה.

2. עוברים לספרייה שמכילה את הקוד לדוגמה של Cloud Run:

   cd cloud-run-samples/gcloud-report/

בדיקת הקוד

בקטע הזה מופיע מידע על דוגמת הקוד שאותרה.

יצירת דוח והעלאה שלו ל-Cloud Storage

סקריפט מעטפת זה יוצר דוח של שירותי Cloud Run בפרויקט ובאזור הנוכחיים, ומעלה את התוצאה ל-Cloud Storage. הפונקציה מפרטת את השירותים שהשם שלהם מכיל את הארגומנט search של המחרוזת שסופקה.

הסקריפט משתמש בפקודה gcloud run services list, בgcloudאפשרויות מתקדמות של פורמט ובמצב העתקה של gcloudהעברת סטרימינג.

set -eo pipefail

# Check for required environment variables.
requireEnv() {
  test "${!1}" || (echo "gcloud-report: '$1' not found" >&2 && exit 1)
}
requireEnv GCLOUD_REPORT_BUCKET

# Prepare formatting: Default search term to include all services.
search=${1:-'.'}
limits='spec.template.spec.containers.resources.limits.flatten("", "", " ")'
format='table[box, title="Cloud Run Services"](name,status.url,metadata.annotations.[serving.knative.dev/creator],'${limits}')'

# Create a specific object name that will not be overridden in the future.
obj="gs://${GCLOUD_REPORT_BUCKET}/report-${search}-$(date +%s).txt"

# Write a report containing the service name, service URL, service account or user that
# deployed it, and any explicitly configured service "limits" such as CPU or Memory.
gcloud run services list \
  --format "${format}" \
  --filter "metadata.name~${search}" | gcloud storage cp --gzip-in-flight-all - "${obj}"

# /dev/stderr is sent to Cloud Logging.
echo "gcloud-report: wrote to ${obj}" >&2
echo "Wrote report to ${obj}"

אפשר להריץ את הסקריפט הזה בבטחה כשירות, כי הפעלות חוזרות שלו מעדכנות את הדוח בלי לגרום לעלויות נוספות. סקריפטים אחרים שמשתמשים ב-CLI של gcloud יכולים להיות יקרים יותר אם מפעילים אותם שוב ושוב, למשל אם הם יוצרים משאבי Cloud חדשים או מבצעים משימות יקרות. סקריפטים אידמפוטנטיים, שמניבים את אותה תוצאה בהפעלות חוזרות, בטוחים יותר להפעלה כשירות.

הפעלת הסקריפט בבקשת HTTP

קוד Go זה מגדיר שירות אינטרנט שמריץ סקריפט מעטפת כדי ליצור דוח. מכיוון ששאילתת החיפוש היא קלט של משתמשים, הקוד מאמת אותה כדי לוודא שהיא מכילה רק אותיות, מספרים או מקפים, וכך למנוע פקודות זדוניות כקלט. הקבוצה הזו של תווים מצומצמת מספיק כדי למנוע מתקפות של החדרת פקודות.

שירות האינטרנט מעביר את פרמטר החיפוש כארגומנט לסקריפט מעטפת.

// Service gcloud-report is a Cloud Run shell-script-as-a-service.
package main

import (
	"log"
	"net/http"
	"os"
	"os/exec"
	"regexp"
)

func main() {
	http.HandleFunc("/", scriptHandler)

	// Determine port for HTTP service.
	port := os.Getenv("PORT")
	if port == "" {
		port = "8080"
		log.Printf("defaulting to port %s", port)
	}

	// Start HTTP server.
	log.Printf("listening on port %s", port)
	if err := http.ListenAndServe(":"+port, nil); err != nil {
		log.Fatal(err)
	}
}

func scriptHandler(w http.ResponseWriter, r *http.Request) {
	search := r.URL.Query().Get("search")
	re := regexp.MustCompile(`^[a-z]+[a-z0-9\-]*$`)
	if !re.MatchString(search) {
		log.Printf("invalid search criteria %q, using default", search)
		search = "."
	}

	cmd := exec.CommandContext(r.Context(), "/bin/bash", "script.sh", search)
	cmd.Stderr = os.Stderr
	out, err := cmd.Output()
	if err != nil {
		log.Printf("Command.Output: %v", err)
		http.Error(w, http.StatusText(http.StatusInternalServerError), http.StatusInternalServerError)
		return
	}
	w.Write(out)
}

בקובץ go.mod מוצהרים יחסי התלות של האפליקציה במודול Go:

module github.com/GoogleCloudPlatform/cloud-run-samples/gcloud-report

go 1.19

הגדרת סביבת המאגר

קובץ ה-Dockerfile מגדיר איך הסביבה מורכבת בשביל השירות. הוא דומה לקובץ Dockerfile מהמדריך המהיר helloworld-shell, אבל תמונת הקונטיינר הסופית מבוססת על תמונת Google Cloud CLI‏ gcloud. כך השירות יכול להשתמש ב-gcloud בלי שתצטרכו לבצע שלבי התקנה והגדרה מותאמים אישית עבור Google Cloud CLI.

# Use the official golang image to create a binary.
# This is based on Debian and sets the GOPATH to /go.
# https://hub.docker.com/_/golang
FROM golang:1.20-buster as builder

# Create and change to the app directory.
WORKDIR /app

# Retrieve application dependencies.
# This allows the container build to reuse cached dependencies.
# Expecting to copy go.mod and if present go.sum.
COPY go.* ./
RUN go mod download

# Copy local code to the container image.
COPY invoke.go ./

# Build the binary.
RUN go build -mod=readonly -v -o server

# Use a gcloud image based on debian:buster-slim for a lean production container.
# https://docs.docker.com/develop/develop-images/multistage-build/#use-multi-stage-builds
FROM gcr.io/google.com/cloudsdktool/cloud-sdk:slim

WORKDIR /app

# Copy the binary to the production image from the builder stage.
COPY --from=builder /app/server /app/server
COPY *.sh /app/
RUN chmod +x /app/*.sh

# Run the web service on container startup.
CMD ["/app/server"]

יצירת מאגר רגיל ב-Artifact Registry

יוצרים מאגר רגיל של Artifact Registry לאחסון קובץ האימג' של הקונטיינר:

gcloud artifacts repositories create REPOSITORY \
    --repository-format=docker \
    --location=REGION

מחליפים את:

• REPOSITORY בשם ייחודי למאגר.
• ‫REGION עם Google Cloud האזור של Artifact Registry.

הגדרת קטגוריה של Cloud Storage

יוצרים קטגוריה של Cloud Storage להעלאת דוחות:

gcloud storage buckets create gs://REPORT_ARCHIVE_BUCKET

מחליפים את REPORT_ARCHIVE_BUCKET בשם ייחודי לקטגוריה.

הגדרת הזהות בשירות

כדי להגביל את ההרשאות שיש לשירות לגשת לתשתית אחרת, אתם יוצרים זהות שירות ומגדירים את הרשאות ה-IAM הספציפיות שנדרשות לביצוע העבודה.

במקרה הזה, ההרשאות הנדרשות הן הרשאה לקריאת שירותים של Cloud Run והרשאה לקריאה וכתיבה בקטגוריה של Cloud Storage.

1. יוצרים חשבון שירות:

   gcloud iam service-accounts create gcloud-report-identity

2. נותנים לחשבון השירות הרשאה לקרוא שירותי Cloud Run:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:gcloud-report-identity@PROJECT_ID.iam.gserviceaccount.com \
     --role roles/run.viewer

3. נותנים לחשבון השירות הרשאה לקרוא ולכתוב בקטגוריה של Cloud Storage:

   gcloud storage buckets add-iam-policy-binding gs://REPORT_ARCHIVE_BUCKET \
     --member=serviceAccount:gcloud-report-identity@PROJECT_ID.iam.gserviceaccount.com \
     --role=roles/storage.objectUser

הגישה המוגבלת של זהות השירות המותאמת הזו מונעת מהשירות לגשת למשאבים אחרים של Google Cloud .

משלוח השירות

קוד המשלוח כולל שלושה שלבים:

• יצירת קובץ אימג' של קונטיינר באמצעות Cloud Build
• העלאת קובץ האימג' של הקונטיינר אל Artifact Registry
• פריסת קובץ האימג' של הקונטיינר ב-Cloud Run.

כדי לשלוח את הקוד:

1. יוצרים את הקונטיינר ומפרסמים אותו ב-Artifact Registry:

   gcloud builds submit --tag REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/gcloud-report

   מחליפים את:

   • ‫PROJECT_ID במזהה הפרויקט ב- Google Cloud
   • ‫REPOSITORY בשם המאגר ב-Artifact Registry.
   • ‫REGION עם Google Cloud האזור של Artifact Registry.

   ‫gcloud-report הוא השם של השירות.

   אם הפעולה תצליח, תוצג הודעה עם המזהה, זמן היצירה ושם התמונה. התמונה מאוחסנת ב-Artifact Registry ואפשר לעשות בה שימוש חוזר אם צריך.

2. מריצים את הפקודה הבאה כדי לפרוס את השירות:

   gcloud run deploy gcloud-report \
      --image REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/gcloud-report \
      --update-env-vars GCLOUD_REPORT_BUCKET=REPORT_ARCHIVE_BUCKET \
      --service-account gcloud-report-identity \
      --no-allow-unauthenticated

   מחליפים את:

   • PROJECT_ID במזהה הפרויקט ב- Google Cloud .
   • ‫REPOSITORY בשם המאגר ב-Artifact Registry.
   • ‫REGION עם האזור Google Cloud של השירות.

   ‫gcloud-report הוא חלק משם הקונטיינר ומשם השירות. קובץ האימג' של הקונטיינר נפרס בשירות ובאזור (Cloud Run) שהגדרתם קודם בקטע הגדרת gcloud.

   הדגל --no-allow-unauthenticated מגביל את הגישה הציבורית לשירות. אם השירות פרטי, אפשר להסתמך על האימות המובנה של Cloud Run כדי לחסום בקשות לא מורשות. לפרטים נוספים על אימות שמבוסס על ניהול זהויות והרשאות גישה (IAM), אפשר לעיין במאמר ניהול גישה באמצעות IAM.

   מחכים עד שהפריסה תסתיים. הפעולה עשויה להימשך כחצי דקה. אם הפעולה בוצעה ללא שגיאות, כתובת ה-URL של השירות מוצגת בשורת הפקודה.

3. אם רוצים לפרוס עדכון קוד בשירות, חוזרים על השלבים הקודמים. כל פריסה לשירות יוצרת גרסה חדשה ומתחילה להציג תנועה באופן אוטומטי כשהיא מוכנה.

במאמר ניהול גישה באמצעות IAM מוסבר איך להעניק Google Cloud למשתמשים גישה להפעלת השירות הזה. לעורכים ולבעלים של הפרויקט יש גישה אוטומטית.

יצירת דוח

כדי ליצור דוח של שירותי Cloud Run:

1. משתמשים ב-curl כדי לשלוח בקשה מאומתת:

   curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" SERVICE_URL

   מחליפים את SERVICE_URL בכתובת ה-URL ש-Cloud Run מספק אחרי השלמת הפריסה.

   אם יצרתם פרויקט חדש ופעלתם לפי ההוראות במדריך הזה, הפלט ייראה בערך כך:

   Wrote report to gs://REPORT_ARCHIVE_BUCKET/report-.-DATE.txt

   הערך . בשם הקובץ הוא ארגומנט החיפוש שמוגדר כברירת מחדל, כפי שצוין בקוד המקור.

   כדי להשתמש בתכונת החיפוש, מוסיפים ארגומנט search לבקשה:

   curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" SERVICE_URL?search=gcloud

   הפלט שיוחזר מהשאילתה הזו ייראה בערך כך:

   Wrote report to gs://REPORT_ARCHIVE_BUCKET/report-gcloud-DATE.txt

2. מאחזרים את הקובץ באמצעות ה-CLI של gcloud באופן מקומי:

   gcloud storage cp gs://REPORT_FILE_NAME .

   הסימן . בפקודה מציין את ספריית העבודה הנוכחית.

   מחליפים את REPORT_FILE_NAME בשם האובייקט ב-Cloud Storage שמופיע בפלט מהשלב הקודם.

פותחים את הקובץ כדי לראות את הדוח. הוא אמור להיראות כך:

שיפור החוסן לעתיד

אם אתם מתכוונים להמשיך לפתח את השירות הזה, כדאי לשקול לכתוב אותו מחדש בשפת תכנות חזקה יותר ולהשתמש ב-Cloud Run Admin API ובספריית הלקוח של Cloud Storage.

כדי לבדוק את הקריאות ל-API שמתבצעות (ולראות פרטים מסוימים של אימות), מוסיפים --log-http לפקודות של ה-CLI של gcloud.

אוטומציה של הפעולה הזו

עכשיו אפשר להפעיל את הדוח של שירותי Cloud Run באמצעות בקשת HTTP, ולכן אפשר להשתמש באוטומציה כדי ליצור דוחות כשצריך אותם:

• הפעלת השירות הזה לפי לוח זמנים באמצעות Cloud Scheduler
• יצירת הדוח כמשימה בתור או קביעת מועד עתידי באמצעות Google Tasks