Funktionen von Cloud Build
Auf dieser Seite werden einige optionale Konfigurationen zum Erstellen der Cortex Framework Data Foundation mit Cloud Build-Funktionen beschrieben, z. B. das Erstellen eines Dienstkontos, das Erstellen in einer bestimmten Region oder die Verwendung eines privaten Worker-Pools. Diese Konfigurationen bieten erhebliche Vorteile in Bezug auf Datenschutz, Leistung, Sicherheit und Anpassung. Der beste Ansatz hängt von Ihren spezifischen Anforderungen und der Art Ihrer Anwendung ab.
Bereitstellung mit vom Nutzer erstelltem Dienstkonto
Sie können die Bereitstellung über ein Dienstkonto ausführen, indem Sie den Ersatzparameter _BUILD_ACCOUNT
hinzufügen.
gcloud builds submit \
--config=./cloudbuild.yaml \
--substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
_BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'
Ersetzen Sie Folgendes:
BUCKET_FOR_LOGS
durch den Namen des Buckets für die Protokolle.SERVICE_ACCOUNT
mit dem Dienstkonto für die Bereitstellung von Cortex Framework Data Foundation.SOURCE_PROJECT
mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.
Dieses Dienstkonto löst einen Cloud Build-Job aus, der wiederum bestimmte Schritte über das Cloud Build-Dienstkonto ausführt. So können Sie einen Bereitstellungsprozess auslösen, ohne direkten Zugriff auf die Ressourcen zu haben.
So erstellen Sie ein neues Dienstkonto:
Console
Rufen Sie die Seite Dienstkonten auf.
Gewähren Sie diesem Dienstkonto Zugriff auf das Projekt.
Gewähren Sie Nutzern Zugriff auf dieses Dienstkonto.
- Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, einschließlich Ihrer eigenen.
- Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens zu. Weitere Informationen zu dieser Rolle finden Sie unter Dienstkontenrollen.
Wenn Sie bereits ein Dienstkonto haben, gehen Sie so vor:
- Rufen Sie Dienstkonten auf.
- Klicken Sie auf das Dienstkonto.
- Klicken Sie auf den Tab Berechtigungen.
- Klicken Sie auf Zugriff gewähren.
- Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, einschließlich Ihrer eigenen.
- Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens zu.
gcloud
Erstellen Sie mit dem folgenden Befehl ein Dienstkonto über eine IAM-Richtlinie:
gcloud iam service-accounts create SERVICE_ACCOUNT \ --description="Service account for Cortex Framework Data Foundation deployment" \ --display-name="my-cortex-service-account"
Fügen Sie die IAM-Richtlinie Ihrem Google Cloud -Projekt mit dem folgenden Befehl hinzu:
gcloud projects add-iam-policy-binding SOURCE_PROJECT \ --member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \ --role="roles/cloudbuild.builds.editor"
Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, und weisen Sie ihnen mit dem folgenden Befehl die Rolle Ersteller von Dienstkonto-Tokens zu:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\ --member="user:USER_EMAIL" \ --role="roles/iam.serviceAccountTokenCreator"
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT
mit dem Dienstkonto für die Bereitstellung von Cortex Framework Data Foundation.SOURCE_PROJECT
mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.USER_EMAIL
durch die E-Mail-Adresse des ausführenden Nutzers.
In einer bestimmten Region bauen
Mit der Funktion „Regional Building“ bleiben Ihre Daten innerhalb einer bestimmten geografischen Region. So können Sie die Einhaltung lokaler Datenschutzbestimmungen sowie Verfügbarkeit und Latenz verbessern. Weitere Informationen finden Sie unter Cloud Build-Standorte.
Wenn Sie die Bereitstellung über eine bestimmte Region ausführen möchten, fügen Sie den Substitutionsparameter _CLOUD_BUILD_REGION
mit dem Bash-Parameter --region
zusammen mit dem folgenden Befehl hinzu:
gcloud builds submit \
--config=./cloudbuild.yaml \
--substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
--region=REGION
Ersetzen Sie Folgendes:
BUCKET_FOR_LOGS
durch den Namen des Buckets für die Protokolle.REGION
durch die Region für Ihre Bereitstellung. Weitere Informationen zu verfügbaren Regionen finden Sie unter Geografie und Regionen.
Builds mit einem privaten Worker-Pool
Mit einem privaten Worker-Pool erhalten Sie eine sicherere Umgebung für Ihre Builds. Private Pools sind private, dedizierte Pools von Workern, die eine Anpassung der Build-Umgebung ermöglichen und den Zugriff auf Ressourcen in einem privaten Netzwerk ermöglichen. Weitere Informationen finden Sie unter Übersicht über private Pools.
Wenn Sie einen privaten Worker konfigurieren möchten, fügen Sie _WORKER_POOL_NAME
mit dem entsprechenden Parameter _CLOUD_BUILD_REGION
hinzu, z. B. mit dem folgenden Befehl:
gcloud builds submit \
--config=./cloudbuild.yaml
--substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
--region=REGION
Ersetzen Sie Folgendes:
BUCKET_FOR_LOGS
durch den Namen des Buckets für die Protokolle.SOURCE_PROJECT
mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.YOUR_WORKER_POOL_NAME
durch den Namen des Worker-Pools.REGION
durch die Region für Ihre Bereitstellung. Weitere Informationen zu verfügbaren Regionen finden Sie unter Geografie und Regionen.