本页面简要介绍专用池并说明其功能。如果您刚接触 Cloud Build,请阅读 Cloud Build 概览。
默认池和专用池概览
默认情况下,当您在 Cloud Build 上运行构建时,该构建在可访问公共互联网的安全托管环境中运行。每个构建都在其自己的工作器上运行,并与其他工作负载隔离。您可以通过多种方式自定义构建,包括增加机器类型的大小或分配更多磁盘空间。默认池对环境的可自定义程度有限制,特别是对于专用网络访问权限。
专用池是专用的私有工作器池,允许您对构建环境进行更多自定义,包括访问专用网络中的资源的功能。与默认池类似,专用池由 Cloud Build 托管和完全代管,并可以扩容和缩容至零,无需设置、升级或扩缩基础架构。由于专用池是客户专用的资源,因此您可以通过更多方式对其进行配置。
下表比较了默认池和专用池的特性:
功能 | 默认池 | 专用池 |
---|---|---|
全代管式 | ||
按构建分钟付费 | ||
自动扩缩,缩减至 0 | ||
公共互联网访问权限 | 可配置 | |
与 VPC 或共享 VPC 对等互连以访问私有资源 | ||
VPC Service Controls 支持 | ||
静态内部 IP 范围 | ||
可以停用公共 IP | ||
并发构建数上限 | 30 | 超过 100 次 |
机器类型 | 5 | 15 |
区域 | 全球支持的区域 | 支持的地区 |
运行构建的区域 | 构建在 gcloud builds submit 或 Google Cloud 控制台触发器页面中指定的区域中运行。 |
构建会在您创建专用池的区域中运行。 |
网络架构
专用池是用户在 Google Cloud 项目中创建的全代管式资源。您可以通过 API、Google Cloud CLI、Google Cloud 控制台创建、更新和删除专用池,也可以通过 Terraform 等基础架构预配工具进行管理。
使用 Identity and Access Management 权限,可以跨项目提交在专用池上运行的构建。也就是说,构建不必与专用池位于同一项目中。同样,您可以配置构建时运行的服务帐号,以允许工作器在构建期间访问其他 Google Cloud 项目中的资源。
专用池托管在由 Google 拥有的服务提供方网络中,该网络具有内部 IP 地址。如需使构建可以访问您的专用网络中的资源,您可以在您的 VPC 网络和服务提供方网络之间创建专用 VPC 对等互连连接。
下图展示了构建如何路由到专用池。在此设置中,客户有两个项目,它们将构建发送到 Cloud Build。客户已将这些项目中的所有构建配置为路由到其专用池。专用池所在的服务提供方网络与客户的 VPC 网络对等互连,从而使构建有权访问客户 VPC 网络中的私有资源。
后续步骤
- 了解如何设置环境以创建专用池。
- 了解如何创建和管理专用池。
- 了解如何配置常用网络用例。
- 了解如何将 VPC Service Controls 与专用池搭配使用。