本页面简要介绍专用池并说明其功能。如果您刚接触 Cloud Build,请阅读 Cloud Build 概览。
默认池和专用池概览
默认情况下,当您在 Cloud Build 上运行构建时,该构建在可访问公共互联网的安全托管环境中运行。每个构建都在其自己的工作器上运行,并与其他工作负载隔离。您可以通过多种方式自定义构建,包括增加机器类型的大小或分配更多磁盘空间。默认池对环境的可自定义程度有限制,特别是对于专用网络访问权限。
专用池是专用的私有工作器池,允许您对构建环境进行更多自定义,包括访问专用网络中的资源的功能。与默认池类似,专用池由 Cloud Build 托管和完全代管,并可以扩容和缩容至零,无需设置、升级或扩缩基础架构。由于专用池是客户专用的资源,因此您可以通过更多方式对其进行配置。
下表比较了默认池和专用池的特性:
| 特征 | 默认池 | 专用池 |
|---|---|---|
| 全代管式 | ||
| 按构建分钟付费 | ||
| 自动扩缩,缩减至 0 | ||
| 公共互联网访问权限 | 可配置 | |
| 与 VPC 或共享 VPC 对等互连以访问私有资源 | ||
| VPC Service Controls 支持 | ||
| 静态内部 IP 范围 | ||
| 可以停用公共 IP | ||
| 并发构建数上限 | 30 | 超过 100 次 |
| 机器类型 | 5 | 64 |
| 区域 | 全球,支持的地区 | 支持的区域 |
| 运行 build 的区域 | 构建在 gcloud builds submit 中指定的区域或 Google Cloud 控制台触发器页面中运行。 |
构建作业会在您创建专用池的区域中运行。 |
网络架构
专用池是用户在 Google Cloud 项目中创建的全代管式资源。您可以通过 API、Google Cloud CLI、Google Cloud 控制台创建、更新和删除专用池,也可以通过 Terraform 等基础架构预配工具管理专用池。
使用 Identity and Access Management 权限,可以跨项目提交在专用池上运行的构建。也就是说,构建不必与专用池位于同一项目中。同样,运行构建的服务账号可以配置为允许工作器在构建运行期间访问其他 Google Cloud 项目中的资源。
专用池托管在由 Google 拥有的服务提供方网络中,该网络具有内部 IP 地址。如需使构建可以访问您的专用网络中的资源,您可以在您的 VPC 网络和服务提供方网络之间创建专用 VPC 对等互连连接。
下图展示了构建如何路由到专用池。在此设置中,客户有两个项目,它们将构建发送到 Cloud Build。客户已将这些项目中的所有构建配置为路由到其专用池。专用池所在的服务提供方网络与客户的 VPC 网络对等互连,从而使构建有权访问客户 VPC 网络中的私有资源。
后续步骤
- 了解如何设置环境以创建专用池。
- 了解如何创建和管理专用池。
- 了解如何配置常用网络用例。
- 了解如何将 VPC Service Controls 与专用池搭配使用。