Funktionen von Cloud Build

Auf dieser Seite werden einige optionale Konfigurationen zum Erstellen der Cortex Framework Data Foundation mit Cloud Build-Funktionen beschrieben, z. B. das Erstellen eines Dienstkontos, das Erstellen in einer bestimmten Region oder die Verwendung eines privaten Worker-Pools. Diese Konfigurationen bieten erhebliche Vorteile in Bezug auf Datenschutz, Leistung, Sicherheit und Anpassung. Der beste Ansatz hängt von Ihren spezifischen Anforderungen und der Art Ihrer Anwendung ab.

Bereitstellung mit vom Nutzer erstelltem Dienstkonto

Sie können die Bereitstellung über ein Dienstkonto ausführen, indem Sie den Ersatzparameter _BUILD_ACCOUNT hinzufügen.

  gcloud builds submit \
    --config=./cloudbuild.yaml \
    --substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
    _BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'

Ersetzen Sie Folgendes:

  • BUCKET_FOR_LOGS durch den Namen des Buckets für die Protokolle.
  • SERVICE_ACCOUNT mit dem Dienstkonto für die Bereitstellung von Cortex Framework Data Foundation.
  • SOURCE_PROJECT mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.

Dieses Dienstkonto löst einen Cloud Build-Job aus, der wiederum bestimmte Schritte über das Cloud Build-Dienstkonto ausführt. So können Sie einen Bereitstellungsprozess auslösen, ohne direkten Zugriff auf die Ressourcen zu haben.

So erstellen Sie ein neues Dienstkonto:

Console

  1. Rufen Sie die Seite Dienstkonten auf.

    Dienstkonten

  2. Gewähren Sie diesem Dienstkonto Zugriff auf das Projekt.

  3. Gewähren Sie Nutzern Zugriff auf dieses Dienstkonto.

    1. Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, einschließlich Ihrer eigenen.
    2. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens zu. Weitere Informationen zu dieser Rolle finden Sie unter Dienstkontenrollen.

Wenn Sie bereits ein Dienstkonto haben, gehen Sie so vor:

  1. Rufen Sie Dienstkonten auf.
  2. Klicken Sie auf das Dienstkonto.
  3. Klicken Sie auf den Tab Berechtigungen.
  4. Klicken Sie auf Zugriff gewähren.
    1. Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, einschließlich Ihrer eigenen.
    2. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens zu.

gcloud

  1. Erstellen Sie mit dem folgenden Befehl ein Dienstkonto über eine IAM-Richtlinie:

    gcloud iam service-accounts create SERVICE_ACCOUNT \
        --description="Service account for Cortex Framework Data Foundation deployment" \
        --display-name="my-cortex-service-account"
    
  2. Fügen Sie die IAM-Richtlinie Ihrem Google Cloud -Projekt mit dem folgenden Befehl hinzu:

    gcloud projects add-iam-policy-binding SOURCE_PROJECT \
    --member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \
    --role="roles/cloudbuild.builds.editor"
    
  3. Fügen Sie die ID aller Nutzer hinzu, die die Bereitstellung über das Dienstkonto ausführen können, und weisen Sie ihnen mit dem folgenden Befehl die Rolle Ersteller von Dienstkonto-Tokens zu:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\
      --member="user:USER_EMAIL" \
      --role="roles/iam.serviceAccountTokenCreator"
    

    Ersetzen Sie Folgendes:

    • SERVICE_ACCOUNT mit dem Dienstkonto für die Bereitstellung von Cortex Framework Data Foundation.
    • SOURCE_PROJECT mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.
    • USER_EMAIL durch die E-Mail-Adresse des ausführenden Nutzers.

In einer bestimmten Region bauen

Mit der Funktion „Regional Building“ bleiben Ihre Daten innerhalb einer bestimmten geografischen Region. So können Sie die Einhaltung lokaler Datenschutzbestimmungen sowie Verfügbarkeit und Latenz verbessern. Weitere Informationen finden Sie unter Cloud Build-Standorte.

Wenn Sie die Bereitstellung über eine bestimmte Region ausführen möchten, fügen Sie den Substitutionsparameter _CLOUD_BUILD_REGION mit dem Bash-Parameter --region zusammen mit dem folgenden Befehl hinzu:

gcloud builds submit \
  --config=./cloudbuild.yaml \
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Ersetzen Sie Folgendes:

  • BUCKET_FOR_LOGS durch den Namen des Buckets für die Protokolle.
  • REGION durch die Region für Ihre Bereitstellung. Weitere Informationen zu verfügbaren Regionen finden Sie unter Geografie und Regionen.

Builds mit einem privaten Worker-Pool

Mit einem privaten Worker-Pool erhalten Sie eine sicherere Umgebung für Ihre Builds. Private Pools sind private, dedizierte Pools von Workern, die eine Anpassung der Build-Umgebung ermöglichen und den Zugriff auf Ressourcen in einem privaten Netzwerk ermöglichen. Weitere Informationen finden Sie unter Übersicht über private Pools.

Wenn Sie einen privaten Worker konfigurieren möchten, fügen Sie _WORKER_POOL_NAME mit dem entsprechenden Parameter _CLOUD_BUILD_REGION hinzu, z. B. mit dem folgenden Befehl:

gcloud builds submit \
  --config=./cloudbuild.yaml
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Ersetzen Sie Folgendes:

  • BUCKET_FOR_LOGS durch den Namen des Buckets für die Protokolle.
  • SOURCE_PROJECT mit dem Quellprojekt für die Bereitstellung von Cortex Framework Data Foundation.
  • YOUR_WORKER_POOL_NAME durch den Namen des Worker-Pools.
  • REGION durch die Region für Ihre Bereitstellung. Weitere Informationen zu verfügbaren Regionen finden Sie unter Geografie und Regionen.