Cette page a été traduite par l'API Cloud Translation.

Valider les configurations

Ce tutoriel explique comment valider des configurations avec Cloud Build lorsque vous utilisez des clusters Google Kubernetes Engine (GKE) Enterprise. La même configuration fonctionne dans tout autre système CI/CD basé sur un conteneur, tel que CircleCI, avec des modifications minimes.

Nous vous recommandons de valider les modifications de configuration dans votre pipeline CI/CD et de vérifier la validité de vos configurations en exécutant la commande nomos vet.

Objectifs

Créez un fichier de configuration Cloud Build qui demande à Config Sync d'utiliser nomos vet sur les configurations de votre dépôt.
Créez un déclencheur Cloud Build afin de vérifier vos configurations chaque fois que la branche de développement est modifiée.

Coûts

Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :

Config Sync (dans GKE Enterprise)
Cloud Build

Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût. Les nouveaux utilisateurs de Google Cloud peuvent bénéficier d'un essai gratuit.

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Avant de commencer

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activez l'API Cloud Build

Activer l'API

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Activez l'API Cloud Build

Activer l'API

Créez ou avez accès à un cluster GKE Enterprise répondant aux exigences de Config Sync. Pour en savoir plus sur la création d'un tel cluster, consultez Premiers pas avec Config Sync.

Accorder l'autorisation au compte de service Cloud Build

Accordez au compte de service Cloud Build l'autorisation d'accéder à votre cluster GKE Enterprise.

gcloud

Pour ajouter le rôle Kubernetes Engine Developer au compte de service Cloud Build, exécutez la commande suivante:

PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUM=$(gcloud projects list --filter="$PROJECT_ID" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUM@cloudbuild.gserviceaccount.com \
    --role=roles/container.developer

Console

Ouvrez la page "IAM" dans la console Google Cloud.

Accéder à la page IAM
Dans la colonne member (membre), recherchez la ligne contenant le compte de service Cloud Build:
```
PROJECT_NUMBER@cloudbuild.gserviceaccount.com
```
Sur cette ligne, cliquez sur Modifier le compte principal.
Cliquez sur Ajouter un autre rôle.
Dans la liste Sélectionner un rôle, sélectionnez Kubernetes Engine Developer, puis cliquez sur Enregistrer.

Créer une configuration Cloud Build

Créez un fichier de configuration Cloud Build et stockez-le dans le répertoire racine du dépôt contenant vos fichiers de configuration (par exemple, my-repo/cloudbuild.yaml).

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/config-management-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Remplacez les éléments suivants :

ZONE: zone dans laquelle votre cluster est exécuté.
CLUSTER_NAME : nom du cluster
POLICY_DIR: chemin d'accès dans le dépôt Git qui représente le niveau supérieur du dépôt à synchroniser

Cette configuration comporte trois étapes :

Exécutez kubectl config current-context pour générer le fichier kubeconfig nécessaire à l'authentification auprès du cluster GKE my-cluster. L'utilisateur racine génère ce fichier avec des autorisations limitées.
Exécutez chmod 444 /kube/config pour rendre ce fichier lisible à l'étape suivante.
Exécutez nomos vet sur le dépôt Git qui est automatiquement cloné dans /workspace. Si vous utilisez un dépôt non structuré, exécutez plutôt nomos vet --source-format=unstructured.

Créer un déclencheur de compilation

L'exemple suivant crée un déclencheur qui s'exécute pour chaque commit dans la branche principale d'un dépôt Cloud Source Repositories.

Ouvrez la page Déclencheurs dans la console Google Cloud.

Accéder à la page Déclencheurs
Cliquez sur Connecter un dépôt.
Sélectionnez GitHub (en miroir), puis cliquez sur Continuer.
Sélectionnez votre dépôt, puis cliquez sur Connecter un dépôt.
Cliquez sur Ajouter un déclencheur.

Saisissez ou sélectionnez l'entrée correspondante dans chaque champ décrit dans le tableau suivant :

Champ	Entrée
Événement	Déployer sur une branche
Branche	^master$
Configuration	Le fichier de configuration Cloud Build (yaml or json)
Emplacement du fichier de configuration Cloud Build	/ cloudbuild.yaml

Cliquez sur Créer pour enregistrer le déclencheur de compilation.

Tester le déclencheur de compilation

Testez manuellement la configuration en exécutant le déclencheur:

Ouvrez la page Déclencheurs dans la console Google Cloud.

Accéder à la page Déclencheurs
Recherchez le déclencheur que vous avez créé, puis cliquez sur Exécuter le déclencheur.

Le message "Build démarré sur la branche principale" s'affiche.
Cliquez sur Afficher.

Les étapes Cloud Build s'affichent en vert si elles sont configurées correctement.

Configurations Cloud Build non valides

Un déclencheur ne peut pas être exécuté si le fichier de configuration Cloud Build n'est pas valide.

Pour tester cela, mettez à jour la configuration Cloud Build dans votre dépôt avec le fichier suivant. Notez le retrait non valide à la ligne 6:

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
  path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/nomos-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Si vous exécutez de nouveau manuellement le déclencheur, vous recevez le message d'erreur suivant, car path: à la ligne 6 n'est pas correctement mis en retrait :

Failed to trigger build: failed unmarshalling build config cloudbuild.yaml:
unknown field "path" in cloudbuild_go_proto.BuildStep.

Pour corriger cette configuration, mettez en retrait path: à la ligne 6 au même niveau que name: à la ligne 5. Pour en savoir plus sur la structure d'un fichier de configuration Cloud Build, consultez la section Créer une configuration Cloud Build de base.

Effectuer un nettoyage

Supprimer le projet

Attention : La suppression d'un projet aura les effets suivants :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches de ce document, lorsque vous le supprimez, vous supprimez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

Supprimez un projet Google Cloud :

gcloud projects delete PROJECT_ID

Supprimer des ressources individuelles

Pour supprimer les ressources individuelles, procédez comme suit:

Supprimez le fichier de configuration Cloud Build.
Supprimez le déclencheur Cloud Build que vous avez créé.
Supprimez le cluster que vous avez utilisé pour ce tutoriel.

Étapes suivantes

Apprenez-en davantage sur Cloud Build
Arrêtez temporairement la synchronisation des configurations.