Fonctionnalités de Cloud Build

Cette page décrit certaines configurations facultatives pour créer la fondation de données du framework Cortex avec les fonctionnalités Cloud Build, telles que la création d'un compte de service, la compilation dans une région spécifique ou l'utilisation d'un pool de nœuds de calcul privé. Ces configurations offrent des avantages significatifs en termes de confidentialité des données, de performances, de sécurité et de personnalisation. La meilleure approche dépend de vos exigences spécifiques et de la nature de votre application.

Déploiement avec un compte de service créé par l'utilisateur

Vous pouvez exécuter le déploiement via un compte de service en ajoutant le paramètre de substitution _BUILD_ACCOUNT.

  gcloud builds submit \
    --config=./cloudbuild.yaml \
    --substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
    _BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'

Remplacez les éléments suivants :

  • BUCKET_FOR_LOGS avec le nom du bucket pour les journaux.
  • SERVICE_ACCOUNT avec le compte de service pour le déploiement de Cortex Framework Data Foundation.
  • SOURCE_PROJECT avec le projet source pour le déploiement de la fondation de données Cortex Framework.

Ce compte de service déclenche une tâche Cloud Build qui exécute à son tour des étapes spécifiques via le compte de service Cloud Build. Vous pouvez ainsi déclencher un processus de déploiement sans accès direct aux ressources.

Pour créer un compte de service, procédez comme suit:

Console

  1. Accédez à la page Comptes de service.

    Comptes de service

  2. Accordez à ce compte de service l'accès au projet.

  3. Accordez aux utilisateurs l'accès à ce compte de service.

    1. Ajoutez l'ID de tous les utilisateurs (y compris le vôtre) autorisés à exécuter le déploiement via le compte de service.
    2. Attribuez le rôle Créateur de jetons du compte de service. Pour en savoir plus sur ce rôle, consultez la section Rôles des comptes de service.

Si vous disposez déjà d'un compte de service, procédez comme suit:

  1. Accédez à Comptes de service.
  2. Cliquez sur Compte de service.
  3. Cliquez sur l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
    1. Ajoutez l'ID de tous les utilisateurs (y compris le vôtre) autorisés à exécuter le déploiement via le compte de service.
    2. Attribuez le rôle Créateur de jetons du compte de service.

gcloud

  1. Créez un compte de service via une stratégie IAM à l'aide de la commande suivante:

    gcloud iam service-accounts create SERVICE_ACCOUNT \
    --description="Service account for Cortex Framework Data Foundation deployment" \
    --display-name="my-cortex-service-account"

  2. Ajoutez la stratégie IAM à votre projet Google Cloud avec la commande suivante:

    gcloud projects add-iam-policy-binding SOURCE_PROJECT \
--member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \
--role="roles/cloudbuild.builds.editor"

  3. Ajoutez l'ID de tous les utilisateurs (y compris le vôtre) autorisés à exécuter le déploiement via le compte de service, puis attribuez-leur le rôle Créateur de jetons du compte de service à l'aide de la commande suivante:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

    Remplacez les éléments suivants :

    • SERVICE_ACCOUNT avec le compte de service pour le déploiement de Cortex Framework Data Foundation.
    • SOURCE_PROJECT avec le projet source pour le déploiement de la fondation de données Cortex Framework.
    • USER_EMAIL par l'adresse e-mail de l'utilisateur exécutant l'action.

Compiler dans une région spécifique

La création d'un bâtiment régional garantit que vos données restent dans une région géographique spécifique. Cela peut vous aider à respecter les réglementations locales sur la confidentialité des données, à améliorer la disponibilité et à réduire la latence. Pour en savoir plus, consultez la section Emplacements Cloud Build.

Pour exécuter le déploiement via une région spécifique, ajoutez le paramètre de substitution _CLOUD_BUILD_REGION avec le paramètre bash --region, comme dans la commande suivante:

gcloud builds submit \
  --config=./cloudbuild.yaml \
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Remplacez les éléments suivants :

  • BUCKET_FOR_LOGS avec le nom du bucket pour les journaux.
  • REGION par la région de votre déploiement. Pour en savoir plus sur les régions disponibles, consultez la section Zones géographiques et régions.

Créer un build avec un pool de nœuds de calcul privé

L'utilisation d'un pool de nœuds de calcul privé offre un environnement plus sécurisé pour vos compilations. Les pools privés sont des pools de nœuds de calcul privés et dédiés qui offrent une personnalisation de l'environnement de compilation, y compris la possibilité d'accéder aux ressources d'un réseau privé. Pour en savoir plus, consultez la page Présentation des pools privés.

Pour configurer un nœud de calcul privé, ajoutez _WORKER_POOL_NAME avec le paramètre _CLOUD_BUILD_REGION correspondant, comme dans la commande suivante:

gcloud builds submit \
  --config=./cloudbuild.yaml
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Remplacez les éléments suivants :

  • BUCKET_FOR_LOGS avec le nom du bucket pour les journaux.
  • SOURCE_PROJECT avec le projet source pour le déploiement de la fondation de données Cortex Framework.
  • YOUR_WORKER_POOL_NAME avec le nom de votre pool de nœuds de calcul.
  • REGION par la région de votre déploiement. Pour en savoir plus sur les régions disponibles, consultez la section Zones géographiques et régions.