Systempakete verwenden

In dieser Anleitung erfahren Sie, wie Sie einen benutzerdefinierten Cloud Run for Anthos-Dienst erstellen, der einen Eingabeparameter für die Diagrammbeschreibung in ein Diagramm im PNG-Bildformat transformiert. Dabei kommt Graphviz zum Einsatz. Diese Software wird in der Containerumgebung des Dienstes als Systempaket installiert. Graphviz wird dann über Befehlszeilendienstprogramme zum Verarbeiten von Anfragen verwendet.

Lernziele

  • Mit einem Dockerfile einen benutzerdefinierten Container schreiben und erstellen
  • Cloud Run for Anthos-Dienst schreiben, erstellen und bereitstellen
  • Mit dem Graphviz dot-Dienstprogramm Diagramme generieren
  • Dienst testen, indem Sie ein DOT-Syntaxdiagramm aus der Sammlung oder ein eigens erstelltes Diagramm veröffentlichen

Kosten

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweise

Codebeispiel abrufen

So rufen Sie das gewünschte Codebeispiel ab:

  1. Klonen Sie das Repository der Beispiel-App auf Ihren lokalen Computer:

    Node.js 

    git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git

    Sie können auch das Beispiel als ZIP-Datei herunterladen und extrahieren.

    Python 

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

    Sie können auch das Beispiel als ZIP-Datei herunterladen und extrahieren.

    Einfach loslegen (Go) 

    git clone https://github.com/GoogleCloudPlatform/golang-samples.git

    Sie können auch das Beispiel als ZIP-Datei herunterladen und extrahieren.

    Java 

    git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git

    Sie können auch das Beispiel als ZIP-Datei herunterladen und extrahieren.

  2. Wechseln Sie in das Verzeichnis, das den Beispielcode für Cloud Run for Anthos enthält:

    Node.js 

    cd nodejs-docs-samples/run/system-package/

    Python 

    cd python-docs-samples/run/system-package/

    Einfach loslegen (Go) 

    cd golang-samples/run/system_package/

    Java 

    cd java-docs-samples/run/system-package/

Architektur visualisieren

Die grundlegende Architektur sieht so aus:

Diagramm, das den Anfragefluss vom Nutzer zum Webdienst und vom Webdienst zum Graphviz-DOT-Dienstprogramm zeigt
Die Diagrammquelle finden Sie in der DOT-Beschreibung.

Der Nutzer stellt eine HTTP-Anfrage an den Cloud Run for Anthos-Dienst, der ein Graphviz-Dienstprogramm ausführt, um die Anfrage in ein Bild zu transformieren. Dieses Bild wird an den Nutzer als die HTTP-Antwort auf seine Anfrage gesendet.

Code verstehen

Umgebungskonfiguration mit dem Dockerfile definieren

Ihr Dockerfile ist spezifisch für die Sprache und die grundlegende Betriebsumgebung, z. B. Ubuntu, die Ihr Dienst verwenden wird.

Für diesen Dienst sind ein oder mehrere zusätzliche Systempakete erforderlich, die standardmäßig nicht verfügbar sind.

  1. Öffnen Sie die Dockerfile in einem Editor.

  2. Suchen Sie nach der Anweisung Dockerfile RUN. Mit dieser Anweisung können Sie beliebige Shell-Befehle ausführen, um die Umgebung zu verändern. Wenn das Dockerfile über mehrere Phasen verfügt, also mehrere FROM-Anweisungen aufweist, finden Sie die Anweisung in der letzten Phase.

    Es hängt von dem im Container angegebenen Betriebssystem ab, welche spezifischen Pakete erforderlich sind und mit welchem Mechanismus diese installiert werden.

    Klicken Sie auf den entsprechenden Tab, um Anweisungen für Ihr Betriebssystem oder Basis-Image zu erhalten.

    Wenn Sie das Betriebssystem Ihres Container-Images ermitteln möchten, sehen Sie nach, welcher Name in der FROM-Anweisung oder in einer README-Datei für Ihr Basis-Image verwendet wird. Wenn Sie beispielsweise von node erweitern, finden Sie die Dokumentation und das übergeordnete Element Dockerfile auf Docker Hub.

  3. Testen Sie Ihre Anpassung, indem Sie das Image erstellen. Verwenden Sie dazu lokal docker build oder Cloud Build.

Eingehende Anfragen verarbeiten

Der Beispieldienst verwendet Parameter aus der eingegangenen HTTP-Anfrage, um einen Systemaufruf durchzuführen, damit der entsprechende Befehl des dot-Dienstprogramms ausgeführt wird.

Im folgenden HTTP-Handler wird aus der dot-Abfragestringvariable ein Eingabeparameter für die Diagrammbeschreibung extrahiert.

Diagrammbeschreibungen können Zeichen enthalten, die für die Verwendung in einem Abfragestring URL-codiert sein müssen.

Node.js

run/system-package/app.js 
app.get('/diagram.png', (req, res) => {
  try {
    const image = createDiagram(req.query.dot);
    res.setHeader('Content-Type', 'image/png');
    res.setHeader('Content-Length', image.length);
    res.setHeader('Cache-Control', 'public, max-age=86400');
    res.send(image);
  } catch (err) {
    console.error(`error: ${err.message}`);
    const errDetails = (err.stderr || err.message).toString();
    if (errDetails.includes('syntax')) {
      res.status(400).send(`Bad Request: ${err.message}`);
    } else {
      res.status(500).send('Internal Server Error');
    }
  }
});

Python

run/system-package/main.py 
@app.route("/diagram.png", methods=["GET"])
def index():
    """Takes an HTTP GET request with query param dot and
    returns a png with the rendered DOT diagram in a HTTP response.
    """
    try:
        image = create_diagram(request.args.get("dot"))
        response = make_response(image)
        response.headers.set("Content-Type", "image/png")
        return response

    except Exception as e:
        print(f"error: {e}")

        # If no graphviz definition or bad graphviz def, return 400
        if "syntax" in str(e):
            return f"Bad Request: {e}", 400

        return "Internal Server Error", 500

Einfach loslegen (Go)

run/system_package/graphviz.go 

// diagramHandler renders a diagram using HTTP request parameters and the dot command.
func diagramHandler(w http.ResponseWriter, r *http.Request) {
	if r.Method != http.MethodGet {
		log.Printf("method not allowed: %s", r.Method)
		http.Error(w, fmt.Sprintf("HTTP Method %s Not Allowed", r.Method), http.StatusMethodNotAllowed)
		return
	}

	q := r.URL.Query()
	dot := q.Get("dot")
	if dot == "" {
		log.Print("no graphviz definition provided")
		http.Error(w, "Bad Request", http.StatusBadRequest)
		return
	}

	// Cache header must be set before writing a response.
	w.Header().Set("Cache-Control", "public, max-age=86400")

	input := strings.NewReader(dot)
	if err := createDiagram(w, input); err != nil {
		log.Printf("createDiagram: %v", err)
		// Do not cache error responses.
		w.Header().Del("Cache-Control")
		if strings.Contains(err.Error(), "syntax") {
			http.Error(w, "Bad Request: DOT syntax error", http.StatusBadRequest)
		} else {
			http.Error(w, "Internal Server Error", http.StatusInternalServerError)
		}
	}
}

Java

run/system-package/src/main/java/com/example/cloudrun/App.java 
get(
    "/diagram.png",
    (req, res) -> {
      InputStream image = null;
      try {
        String dot = req.queryParams("dot");
        image = createDiagram(dot);
        res.header("Content-Type", "image/png");
        res.header("Content-Length", Integer.toString(image.available()));
        res.header("Cache-Control", "public, max-age=86400");
      } catch (Exception e) {
        if (e.getMessage().contains("syntax")) {
          res.status(400);
          return String.format("Bad Request: %s", e.getMessage());
        } else {
          res.status(500);
          return "Internal Server Error";
        }
      }
      return image;
    });

Es muss zwischen internen Serverfehlern und ungültigen Nutzereingaben unterschieden werden. Der Beispieldienst gibt für alle dot-Befehlszeilenfehler einen internen Serverfehler zurück, außer wenn die Fehlermeldung den String syntax enthält, was auf ein Problem mit der Nutzereingabe hinweist.

Diagramm generieren

Die Kernlogik der Diagrammgenerierung verwendet das dot-Befehlszeilentool, um den Eingabeparameter für die Diagrammbeschreibung zu einem Diagramm im PNG-Bildformat zu verarbeiten.

Node.js

run/system-package/app.js 
// Generate a diagram based on a graphviz DOT diagram description.
const createDiagram = dot => {
  if (!dot) {
    throw new Error('syntax: no graphviz definition provided');
  }

  // Adds a watermark to the dot graphic.
  const dotFlags = [
    '-Glabel="Made on Cloud Run"',
    '-Gfontsize=10',
    '-Glabeljust=right',
    '-Glabelloc=bottom',
    '-Gfontcolor=gray',
  ].join(' ');

  const image = execSync(`/usr/bin/dot ${dotFlags} -Tpng`, {
    input: dot,
  });
  return image;
};

Python

run/system-package/main.py 
def create_diagram(dot):
    """Generates a diagram based on a graphviz DOT diagram description.

    Args:
        dot: diagram description in graphviz DOT syntax

    Returns:
        A diagram in the PNG image format.
    """
    if not dot:
        raise Exception("syntax: no graphviz definition provided")

    dot_args = [  # These args add a watermark to the dot graphic.
        "-Glabel=Made on Cloud Run",
        "-Gfontsize=10",
        "-Glabeljust=right",
        "-Glabelloc=bottom",
        "-Gfontcolor=gray",
        "-Tpng",
    ]

    # Uses local `dot` binary from Graphviz:
    # https://graphviz.gitlab.io
    image = subprocess.run(
        ["dot"] + dot_args, input=dot.encode("utf-8"), stdout=subprocess.PIPE
    ).stdout

    if not image:
        raise Exception("syntax: bad graphviz definition provided")
    return image

Einfach loslegen (Go)

run/system_package/graphviz.go 

// createDiagram generates a diagram image from the provided io.Reader written to the io.Writer.
func createDiagram(w io.Writer, r io.Reader) error {
	stderr := new(bytes.Buffer)
	args := []string{
		"-Glabel=Made on Cloud Run",
		"-Gfontsize=10",
		"-Glabeljust=right",
		"-Glabelloc=bottom",
		"-Gfontcolor=gray",
		"-Tpng",
	}
	cmd := exec.Command("/usr/bin/dot", args...)
	cmd.Stdin = r
	cmd.Stdout = w
	cmd.Stderr = stderr

	if err := cmd.Run(); err != nil {
		return fmt.Errorf("exec(%s) failed (%w): %s", cmd.Path, err, stderr.String())
	}

	return nil
}

Java

run/system-package/src/main/java/com/example/cloudrun/App.java 
// Generate a diagram based on a graphviz DOT diagram description.
public static InputStream createDiagram(String dot) {
  if (dot == null || dot.isEmpty()) {
    throw new NullPointerException("syntax: no graphviz definition provided");
  }
  // Adds a watermark to the dot graphic.
  List<String> args = new ArrayList<>();
  args.add("/usr/bin/dot");
  args.add("-Glabel=\"Made on Cloud Run\"");
  args.add("-Gfontsize=10");
  args.add("-Glabeljust=right");
  args.add("-Glabelloc=bottom");
  args.add("-Gfontcolor=gray");
  args.add("-Tpng");

  StringBuilder output = new StringBuilder();
  InputStream stdout = null;
  try {
    ProcessBuilder pb = new ProcessBuilder(args);
    Process process = pb.start();
    OutputStream stdin = process.getOutputStream();
    stdout = process.getInputStream();
    // The Graphviz dot program reads from stdin.
    Writer writer = new OutputStreamWriter(stdin, "UTF-8");
    writer.write(dot);
    writer.close();
    process.waitFor();
  } catch (Exception e) {
    System.out.println(e);
  }
  return stdout;
}

Sicheren Dienst entwerfen

Alle eventuell bestehenden Sicherheitslücken im dot-Tool sind potenzielle Sicherheitslücken im Webdienst. Sie können dies umgehen, indem Sie aktuelle Versionen des graphviz-Pakets verwenden und das Container-Image regelmäßig neu erstellen.

Wenn Sie das aktuelle Beispiel so erweitern möchten, dass als Befehlszeilenparameter auch Nutzereingaben zulässig sind, sollten Sie gewisse Vorsichtsmaßnahmen treffen, um Angriffe durch Befehlsinjektion zu vermeiden. Auf folgende Arten können Injektionsangriffe beispielsweise verhindert werden:

  • Zuordnen von Eingaben zu den Einträgen eines Wörterbuchs unterstützter Parameter
  • Validierungseingaben entsprechen einer Reihe als sicher eingestufter Werte, möglicherweise unter Verwendung regulärer Ausdrücke
  • Maskieren von Eingaben, damit Shell-Syntax nicht ausgewertet wird

Code versenden

Um Ihren Code zu senden, erstellen Sie ihn mit Cloud Build, laden ihn in Container Registry hoch und stellen ihn in Cloud Run for Anthos bereit:

  1. Führen Sie den folgenden Befehl aus, um den Container zu erstellen und ihn in Container Registry zu veröffentlichen:

    Node.js 

    gcloud builds submit --tag gcr.io/PROJECT_ID/graphviz

    Dabei ist PROJECT_ID Ihre Google-Cloud-Projekt-ID und graphviz der Name, den Sie dem Dienst geben möchten.

    Bei Erfolg wird eine SUCCESS-Meldung mit der ID, Erstellungszeit und dem Image-Namen angezeigt. Das Image wird in Container Registry gespeichert und kann bei Bedarf wiederverwendet werden.

    Python 

    gcloud builds submit --tag gcr.io/PROJECT_ID/graphviz

    Dabei ist PROJECT_ID Ihre Google-Cloud-Projekt-ID und graphviz der Name, den Sie dem Dienst geben möchten.

    Bei Erfolg wird eine SUCCESS-Meldung mit der ID, Erstellungszeit und dem Image-Namen angezeigt. Das Image wird in Container Registry gespeichert und kann bei Bedarf wiederverwendet werden.

    Einfach loslegen (Go) 

    gcloud builds submit --tag gcr.io/PROJECT_ID/graphviz

    Dabei ist PROJECT_ID Ihre Google-Cloud-Projekt-ID und graphviz der Name, den Sie dem Dienst geben möchten.

    Bei Erfolg wird eine SUCCESS-Meldung mit der ID, Erstellungszeit und dem Image-Namen angezeigt. Das Image wird in Container Registry gespeichert und kann bei Bedarf wiederverwendet werden.

    Java

    In diesem Beispiel wird Jib verwendet, um Docker-Images mit gängigen Java-Tools zu erstellen. Jib optimiert Container-Builds, ohne dass ein Dockerfile erforderlich ist oder Docker installiert sein muss. Weitere Informationen zum Erstellen von Java-Containern mit Jib

    1. Konfigurieren und erstellen Sie mit dem Dockerfile ein Basis-Image mit den installierten Systempaketen, um das Standard-Basis-Image von Jib zu überschreiben:

      run/system-package/Dockerfile 
      # Use the Official eclipse-temurin image for a lean production stage of our multi-stage build.
# https://hub.docker.com/_/eclipse-temurin/
FROM eclipse-temurin:17.0.10_7-jre

RUN apt-get update -y && apt-get install -y \
  graphviz \
  && apt-get clean
      gcloud builds submit --tag gcr.io/PROJECT_ID/graphviz-base

      Dabei ist PROJECT_ID Ihre Google Cloud-Projekt-ID.

    2. Erstellen Sie Ihren endgültigen Container mit Jib und veröffentlichen Sie ihn in Container Registry:

      run/system-package/pom.xml 
      <plugin>
  <groupId>com.google.cloud.tools</groupId>
  <artifactId>jib-maven-plugin</artifactId>
  <version>3.4.0</version>
  <configuration>
    <from>
      <image>gcr.io/PROJECT_ID/graphviz-base</image>
    </from>
    <to>
      <image>gcr.io/PROJECT_ID/graphviz</image>
    </to>
  </configuration>
</plugin>
      mvn compile jib:build \
 -Dimage=gcr.io/PROJECT_ID/graphviz \
 -Djib.from.image=gcr.io/PROJECT_ID/graphviz-base

      Dabei ist PROJECT_ID Ihre Google Cloud-Projekt-ID.

  2. Stellen Sie es mit dem folgenden Befehl bereit:

    gcloud run deploy graphviz-web --create-if-missing --image gcr.io/PROJECT_ID/graphviz

    Dabei ist PROJECT_ID Ihre Google Cloud-Projekt-ID, graphviz der Name des Containers von oben und graphviz-web der Name des Dienstes.

    Warten Sie, bis die Bereitstellung abgeschlossen ist. Dies kann ungefähr eine halbe Minute dauern.

  3. Wenn Sie eine Codeaktualisierung für den Dienst bereitstellen möchten, wiederholen Sie die vorherigen Schritte. Bei jeder Bereitstellung für einen Dienst wird eine neue Version erstellt und der Traffic wird automatisch verarbeitet, sobald der Dienst bereit ist.

Testen

Testen Sie den Dienst. Dazu senden Sie in der Anfragenutzlast HTTP-POST-Anfragen mit DOT-Syntaxbeschreibungen.

  1. Senden Sie eine HTTP-Anfrage an den Dienst.

    Sie können das Diagramm in eine Webseite einbetten:

    1. Führen Sie den folgenden Befehl aus, um die externe IP-Adresse für den Load-Balancer abzurufen:

      kubectl get svc istio-ingressgateway -n ASM-INGRESS-NAMESPACE

      Ersetzen Sie ASM-INGRESS-NAMESPACE durch den Namespace, in dem sich der Anthos Service Mesh-Ingress befindet. Geben Sie istio-system an, wenn Sie Anthos Service Mesh mit der Standardkonfiguration installiert haben.

      Die Ausgabe sieht dann ungefähr so aus:

      NAME                   TYPE           CLUSTER-IP     EXTERNAL-IP  PORT(S)
istio-ingressgateway   LoadBalancer   XX.XX.XXX.XX   pending      80:32380/TCP,443:32390/TCP,32400:32400/TCP

      Dabei ist der Wert EXTERNAL-IP Ihre externe IP-Adresse für den Load-Balancer.

    2. Führen Sie einen curl-Befehl aus, der die ermittelte EXTERNAL-IP-Adresse in der URL enthält. Lassen Sie dabei das Protokoll weg (z.B.: http://) in SERVICE_DOMAIN.

      curl -G -H "Host: SERVICE_DOMAIN" http://EXTERNAL-IP/diagram.png \
   --data-urlencode "dot=digraph Run { rankdir=LR Code -> Build -> Deploy -> Run }" \
   > diagram.png

  2. Öffnen Sie die ausgegebene diagram.png-Datei in einer Anwendung, die PNG-Dateien unterstützt, beispielsweise Chrome.

    Sie sollte so aussehen:

    Diagramm, das den Phasenablauf vom Code zur Erstellung, dann zur Bereitstellung und schließlich zum „Ausführen“ zeigt
    Quelle: DOT-Beschreibung

Sie können sich eine kleine Sammlung von vorgefertigten Diagrammbeschreibungen ansehen.

  1. Kopieren Sie den Inhalt der ausgewählten .dot-Datei

  2. Fügen Sie ihn in einen curl-Befehl ein:

    curl -G -H "Host: SERVICE_DOMAIN" http://EXTERNAL-IP/diagram.png \
--data-urlencode "dot=digraph Run { rankdir=LR Code -> Build -> Deploy -> Run }" \
> diagram.png

Bereinigen

Sie können die für diese Anleitung erstellten Ressourcen löschen, um Kosten zu vermeiden.

Anleitungsressourcen löschen

  1. Löschen Sie den Cloud Run for Anthos-Dienst, den Sie in dieser Anleitung bereitgestellt haben:

    gcloud run services delete SERVICE-NAME

    Dabei ist SERVICE-NAME der von Ihnen ausgewählte Dienstname.

    Sie können Cloud Run for Anthos-Dienste auch über die Google Cloud Console löschen:

    Zu Cloud Run for Anthos

  2. Entfernen Sie die gcloud-Standardkonfigurationen, die Sie während der Einrichtung der Anleitung hinzugefügt haben.

     gcloud config unset run/platform
 gcloud config unset run/cluster
 gcloud config unset run/cluster_location

  3. Entfernen Sie die Projektkonfiguration:

     gcloud config unset project

  4. Löschen Sie sonstige Google Cloud-Ressourcen, die in dieser Anleitung erstellt wurden:

Nächste Schritte

  • Experimentieren Sie mit der Graphviz-Anwendung:
    • Sie können Unterstützung für andere Graphviz-Dienstprogramme hinzufügen, die andere Algorithmen für die Diagrammgenerierung verwenden.
    • Sie können Diagramme in Cloud Storage speichern. Sie können sowohl das Bild als auch die DOT-Syntax speichern.
    • Implementieren Sie mit der Cloud Natural Language API einen Schutz, um den Missbrauch von Inhalten zu verhindern.
  • Referenzarchitekturen, Diagramme und Best Practices zu Google Cloud kennenlernen. Weitere Informationen zu Cloud Architecture Center