Container auf Instanzen und MIGs bereitstellen

Sie können eine Compute Engine-Instanz oder eine Instanzvorlage konfigurieren, um einen Docker-Container bereitzustellen und zu starten. Compute Engine stellt ein aktuelles Image eines Container-Optimized OS (COS) mit installiertem Docker bereit und startet den Container zusammen mit der Instanz.

Hinweis

• Sollten Sie mit Containern noch nicht vertraut sein, lesen Sie die Informationen über Container und deren Vorteile.
• Wenn Sie nicht mit Docker vertraut sind, lesen Sie die Docker-Dokumentation.
• Hier finden Sie Informationen über Container-Optimized OS.
• Mehr über verwaltete Instanzgruppen (Managed Instance Groups, MIGs) erfahren
• Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Install the Google Cloud CLI, then initialize it by running the following command:

     gcloud init

  2. Set a default region and zone.

Container auf Instanzen und MIGs bereitstellen

Durch die Bereitstellung von Containern in Compute Engine können Sie die Anwendungsbereitstellung vereinfachen und gleichzeitig Ihre Instanzinfrastruktur steuern.

• Instanzen, auf denen Container ausgeführt werden, können Sie genauso verwalten wie alle anderen Instanzen, die Sie im Rahmen Ihrer Compute Engine-Infrastruktur konfigurieren und verwalten.
• Zum Verwalten Ihrer Instanzen mit Containern verwenden Sie vertraute Prozesse und Tools wie die Google Cloud CLI oder die Compute Engine API.
• Erstellen Sie skalierbare Dienste mithilfe von verwalteten Instanzgruppen, in denen Container ausgeführt werden. Diese bieten Features wie Autoscaling, automatische Reparatur, Rolling Updates, Mehrzonenbereitstellungen und Load-Balancing.

Alternativ können Sie die Bereitstellung in Google Kubernetes Engine in Erwägung ziehen, um die folgenden Möglichkeiten zu erhalten:

• Ausführung einer großen Anzahl von Mikrodiensten
• Schnellerer Start von Containern
• Nutzung der Vorteile der automatischen Orchestrierung von Kubernetes, einschließlich automatischer Upgrades, automatischer Knotenreparatur und Autoscaling

Wenn Sie jeden Mikrodienst auf einer separaten Instanz in Compute Engine ausführen, kann der betriebssystembedingte Aufwand einen erheblichen Teil Ihrer Kosten ausmachen. Mit Google Kubernetes Engine können Sie mehrere Container und Gruppen von Containern für jede Instanz bereitstellen, wodurch Host-Instanzressourcen Mikrodiensten mit kleinerem Volumen effizienter zugewiesen werden können.

Container in Compute Engine bereitstellen

Die gängigen Methoden zur Bereitstellung von Software in einer Compute Engine-Instanz sind:

• Software beim Instanzstart mit einem Startskript oder mit cloud-init bereitstellen
• Benutzerdefiniertes Bootlaufwerk-Image mit vorinstallierter Software erstellen

Die beiden Methoden in der vorherigen Liste kombinieren die Aufgaben der Anwendungskonfiguration und der Einrichtung der Betriebssystemumgebung. Als Entwickler müssen Sie alle Laufzeitabhängigkeiten sorgfältig verfolgen und auflösen. Wenn z. B. zwei Anwendungen, die auf einer VM ausgeführt werden, unterschiedliche Versionen derselben Bibliothek verwenden, müssen Sie beide Versionen installieren und über Systemvariablen auf sie verweisen.

Alternativ können Sie Software in einem Container auf einer Instanz oder in einer MIG bereitstellen. Ein Container enthält sowohl Anwendungssoftware als auch die erforderlichen Bibliotheken und ist von den Anwendungen und Bibliotheken des Betriebssystems isoliert. Container können problemlos zwischen Bereitstellungsumgebungen verschoben werden, ohne Konflikte zwischen den Bibliotheksversionen in einem Container und dem zugehörigen Betriebssystem lösen zu müssen.

Im Folgenden wird beschrieben, wie Sie einen Container in Compute Engine bereitstellen:

1. Sie bündeln Ihre Anwendung und die erforderlichen Bibliotheken in einem Docker-Image und veröffentlichen das Image in Artifact Registry oder in einer Drittanbieter-Registry wie Docker Hub.
2. Sie geben einen Namen für das Docker-Image und die docker run-Konfiguration beim Erstellen einer Instanz oder einer Instanzvorlage für eine MIG an.

Compute Engine führt die folgenden Aufgaben aus, nachdem Sie eine Anfrage zum Erstellen einer Instanz gestellt haben:

1. Compute Engine erstellt eine VM-Instanz, die ein von Google bereitgestelltes Container-Optimized OS-Image verwendet. Dieses Image enthält eine Docker-Laufzeit und zusätzliche Software, die für das Starten des Containers zuständig ist.
2. Compute Engine speichert Ihre Containereinstellungen in den Instanzmetadaten unter dem gce-container-declaration-Metadatenschlüssel.
3. Wenn die VM gestartet wird, verwendet das Container-Optimized OS-Image die docker run-Befehlskonfiguration, die in den Metadaten der Instanz gespeichert ist, ruft das Container-Image aus dem Repository ab und startet den Container.

Beschränkungen

• Pro Instanz können Sie jeweils nur einen Container bereitstellen. Google Kubernetes Engine kann hilfreich sein, wenn Sie mehrere Container pro Instanz bereitstellen müssen.

• Sie können Container nur aus einem öffentlichen Repository oder aus einem privaten Artifact Registry- oder Container Registry-Repository bereitstellen, auf das Sie Zugriff haben. Andere private Repositories werden nicht unterstützt.

  Informationen zu Berechtigungen für private Registries finden Sie in der Dokumentation zur Zugriffssteuerung für Artifact Registry oder Container Registry.

• Sie können die Ports einer Instanz nicht den Ports des Containers zuordnen (Docker-Option -p). Informationen zum Aktivieren des Zugriffs auf Ihre Container finden Sie unter Containerports veröffentlichen.

• Mit dieser Bereitstellungsmethode können Sie nur Container-Optimized OS-Images verwenden.

• Sie können dieses Feature nur über die Google Cloud Console oder die Google Cloud CLI verwenden, nicht über die API.

Container für die Bereitstellung vorbereiten

Wählen Sie eine der folgenden Methoden aus, um Compute Engine Zugriff auf Ihr Container-Image zu gewähren:

• Hochladen Ihres Docker-Image in Container Registry.
• Sie können beliebige öffentlich verfügbare Container-Images von Docker Hub oder aus anderen Registrys verwenden.

Container auf einer neuen Instanz bereitstellen

Sie können einen Container auf einer neuen VM-Instanz mithilfe der Google Cloud Console oder der Google Cloud CLI bereitstellen.

Container auf einer Instanz aktualisieren

Sie können ein Docker-Image und Konfigurationsoptionen aktualisieren, um den Container mit der Google Cloud Console oder der Google Cloud CLI auf einer Instanz auszuführen.

Bei der Aktualisierung einer VM, auf der ein Container ausgeführt wird, führt Compute Engine die folgenden zwei Schritte durch:

• Die Containerdeklaration auf der Instanz wird aktualisiert. Compute Engine speichert die aktualisierte Containerdeklaration in den Instanzmetadaten unter dem gce-container-declaration-Metadatenschlüssel.
• Wird die Instanz ausgeführt, wird sie beendet und neu gestartet, um die aktualisierte Konfiguration zu übernehmen. Wenn die Instanz beendet ist, wird die Containerdeklaration aktualisiert, ohne die Instanz zu starten. Die Instanz lädt das neue Image herunter und startet den Container beim Start.

gcloud compute instances update-container nginx-vm \
    --container-image gcr.io/cloud-marketplace/google/nginx1:latest

Container in einer verwalteten Instanzgruppe bereitstellen

So stellen Sie einen Container in einer neuen verwalteten Instanzgruppe (Managed Instance Group, MIG) mit der Google Cloud Console oder der Google Cloud CLI bereit:

1. Erstellen Sie eine Instanzvorlage auf der Grundlage eines Docker-Image.

2. Erstellen Sie eine MIG aus der neuen Instanzvorlage.

gcloud compute instance-templates create-with-container TEMPLATE_NAME \
  --container-image DOCKER_IMAGE

gcloud compute instance-templates create-with-container nginx-template \
    --container-image gcr.io/cloud-marketplace/google/nginx1:15

Nun haben Sie eine Instanzvorlage und können eine MIG erstellen, die die Instanzvorlage verwendet. Führen Sie beispielsweise folgenden Befehl aus, um eine MIG mit der gcloud CLI und dem gerade erstellten nginx-template zu erstellen:

gcloud compute instance-groups managed create example-group \
    --base-instance-name nginx-vm \
    --size 3 \
    --template nginx-template

Verwaltete Instanzgruppe aktualisieren, auf der ein Container ausgeführt wird

Sie können eine verwaltete Instanzgruppe (MIG) aktualisieren, um eine neue Version eines Docker-Images oder eines Container-Optimized OS-Images bereitzustellen.

MIG auf eine neue Version eines Container-Images aktualisieren

Sie können eine neue Version eines Docker-Images in einer MIG mit dem Managed Instance Group Updater bereitstellen:

1. Das neue Docker-Image für die Bereitstellung vorbereiten.
2. Erstellen Sie eine Instanzvorlage basierend auf dem neuen Docker-Image auf die gleiche Weise, wie Sie eine containerbasierte Vorlage erstellen.
3. Aktualisieren Sie eine MIG mit dem Managed Instance Group Updater auf die neue Instanzvorlage.

Verwaltete Instanzgruppe auf die neue Version eines Container-Optimized OS-Images aktualisieren

Google aktualisiert Container-Optimized OS-Images regelmäßig. Möglicherweise möchten Sie diese Aktualisierungen auf Ihre containerisierten MIGs anwenden, ohne Ihr Docker-Image zu ändern. Sie können eine MIG mit der Google Cloud Console oder der Google Cloud CLI in zwei Schritten auf eine neue Version eines Container-Optimized OS-Images aktualisieren:

1. Erstellen Sie eine Instanzvorlage anhand der aktuellen Version Ihres Docker-Images in der gleichen Weise, wie Sie für eine neue MIG eine containerbasierte Vorlage erstellen. Standardmäßig wird die neueste unterstützte Version eines Container-Optimized OS-Image verwendet.
2. Aktualisieren Sie eine MIG mit der neuen Instanzvorlage mit dem Managed Instance Group Updater.

Über SSH mit einem Container verbinden

Sie können eine Verbindung zu einem Container auf einer Instanz unter Verwendung von SSH herstellen. Verwenden Sie die gcloud CLI, um gcloud compute ssh mit dem --container-Flag auszuführen:

gcloud compute ssh INSTANCE_NAME --container CONTAINER_NAME

Ersetzen Sie Folgendes:

• INSTANCE_NAME ist der Name der Instanz.
• CONTAINER_NAME: Der Name des Containers

Weitere Informationen zum gcloud compute ssh-Befehl und zu seinen Argumenten.

Container in Compute Engine überwachen

Verwenden Sie zum Überwachen von Instanzen, auf denen ein Container-Optimized OS-Image ausgeführt wird, den Agent Node Problem Detector, der mit Cloud Monitoring kommuniziert und zustandsbezogene Messwerte erfasst. Der Agent ist in Container-Optimized OS-Images eingebunden und beginnt ab Meilenstein 77.

Wenn Sie den Agent aktivieren möchten, bearbeiten Sie in Containern mit Images mit Meilenstein 88 oder höher den Abschnitt Benutzerdefinierte Metadaten und setzen Sie google-monitoring-enabled auf true.

Weitere Möglichkeiten zum Aktivieren des Node Problem Detector finden Sie unter Statusüberwachung aktivieren.

Der Node Problem Detector-Agent unterstützt die Messwerte in der Messwertliste, die mit guest/ beginnen.

Wenn Sie mit den vom Agent erfassten Messwerten interagieren möchten, rufen Sie Metrics Explorer auf.

Logs ansehen

Sie können drei Arten von Logs für Container aufrufen:

1. Logs des Start-Agents, auch als konlet-Logs bekannt. Der Start-Agent parst die Konfiguration des Containers und führt Aufgaben für den Start des Containers auf einer Compute Engine-Instanz aus.

2. Docker-Ereignislogs dokumentieren Containerereignisse, einschließlich Containerstart- und -stoppereignisse.

3. Zu den Logs Ihres Containers gehört auch der STDOUT von Anwendungen, die in Ihrem Container ausgeführt werden.

Logs des Start-Agents ansehen

Logs des Start-Agents sind in der seriellen Konsole, über den journald-Systemdienst, der im Betriebssystem-Image enthalten ist, und über Cloud Logging verfügbar.

Logs des Start-Agents in der seriellen Konsole ansehen

gcloud compute instances get-serial-port-output INSTANCE_NAME

gcloud compute instances get-serial-port-output nginx-vm

Logs des Start-Agents in journald anzeigen

1. Stellen Sie eine Verbindung von Ihrer Instanz zu einem Container über SSH her.

2. Führen Sie den Befehl sudo journalctl aus, um die Logs für den Start der Instanz und des Containers anzeigen zu lassen. Verwenden Sie den folgenden Befehl, um nach Start-Agent-Logs für den Container zu filtern (konlet).

   sudo journalctl -u konlet*
   

Logs des Start-Agents in Logging ansehen

gcloud logging read "resource.type=gce_instance AND \
    logName=projects/PROJECT_ID/logs/cos_system AND \
    jsonPayload.SYSLOG_IDENTIFIER=konlet-startup AND \
    jsonPayload._HOSTNAME=INSTANCE_NAME"

gcloud logging read "resource.type=gce_instance AND \
    logName=projects/my-project/logs/cos_system AND \
    jsonPayload.SYSLOG_IDENTIFIER=konlet-startup AND \
    jsonPayload._HOSTNAME=nginx-vm" \
    --limit 10

Docker-Ereignislogs ansehen

Sie können Docker-Ereignislogs in journald und in Cloud Logging ansehen.

Docker-Ereignislogs in journald ansehen

1. Stellen Sie eine Verbindung von Ihrer Instanz zu einem Container über SSH her.

2. Führen Sie den Befehl sudo journalctl mit dem folgenden Filter aus, um Docker-Ereignisprotokolle anzuzeigen.

   sudo journalctl -u docker-events-collector
   

Docker-Ereignisprotokolle in Logging anzeigen

gcloud logging read "resource.type=gce_instance AND \
    logName=projects/PROJECT_ID/logs/cos_system AND \
    jsonPayload._HOSTNAME=INSTANCE_NAME AND \
    jsonPayload.SYSLOG_IDENTIFIER=docker"

gcloud logging read "resource.type=gce_instance AND \
    logName=projects/my-project/logs/cos_system AND \
    jsonPayload._HOSTNAME=nginx-vm AND \
    jsonPayload.SYSLOG_IDENTIFIER=docker" \
    --limit 10

Containerlogs ansehen

Containeroptimierte Images oder Image-Familien festlegen

Containerisierte Instanzen oder Instanzvorlagen werden so erstellt, dass sie standardmäßig das neueste unterstützte Container-optimierte Image verwenden. Das Bild gehört zum Projekt cos-cloud.

Sie können diese Standardeinstellung durch ein anderes Image aus dem Projekt cos-cloud überschreiben. Informationen zu verfügbaren Image-Familien und ihren Attributen finden Sie unter Richtige Version des Container-Optimized OS auswählen.

Wenn Sie beispielsweise wissen, welches Image Sie verwenden möchten, geben Sie in der gcloud CLI entweder das --image-Flag an, um das standardmäßige containeroptimierte Image zu überschreiben, oder das --image-family-Flag, um das neueste Image aus der Familie auszuwählen, die Sie beim Erstellen der Instanz angegeben haben.

Im folgenden Beispiel wird eine containerisierte Instanz erstellt, die das neueste Image aus der cos-dev-Image-Familie verwendet:

gcloud compute instances create-with-container nginx-vm \
    --image-family cos-dev \
    --image-project cos-cloud \
    --container-image gcr.io/cloud-marketplace/google/nginx1:1.15

Firewallregeln konfigurieren

Containerisierte Instanzen starten Container, deren Netzwerk auf den Hostmodus eingestellt ist. Ein Container gehört zum Host-Netzwerk-Stack, d. h., alle Schnittstellen des Hosts sind für den Container zugänglich.

Standardmäßig blockieren Google Cloud Firewallregeln alle eingehenden Verbindungen zu einer Instanz und erlauben alle ausgehenden Verbindungen von einer Instanz.

Erstellen Sie Firewallregeln, um eingehende Verbindungen zu Ihrer Instanz und somit zum Container zuzulassen.

Optionen zum Ausführen eines Containers konfigurieren

Für die Ausführung Ihres Containers können Sie folgende Optionen konfigurieren:

• Richtlinie für den Containerneustart festlegen
• ENTRYPOINT des Containers überschreiben (Standardbefehl, der beim Containerstart ausgeführt wird)
• Argumente an den Befehl ENTRYPOINT des Containers übergeben
• Den Container im privilegierten Modus ausführen
• Stellen Sie ein Hostverzeichnis oder tmpfs als Datenvolumen im Container bereit.
• Umgebungsvariablen festlegen
• Einen Zwischenspeicher für STDIN in der Containerlaufzeit zuweisen
• Ein Pseudoterminal zuordnen

Weitere Informationen finden Sie unter Optionen zum Ausführen von Containern konfigurieren

Weitere Informationen

• Optionen zum Ausführen von Containern konfigurieren
• Mehr zu verwalteten Instanzgruppen
• Container-Optimized OS – Dokumentation