Funzionalità di Cloud Build

Questa pagina descrive alcune configurazioni facoltative per compilare la Data Foundation di Cortex Framework con le funzionalità di Cloud Build, come la creazione di un account di servizio, la compilazione in una regione specifica o l'utilizzo di un pool di worker privato. Queste configurazioni offrono vantaggi significativi in termini di privacy dei dati, prestazioni, sicurezza e personalizzazione. L'approccio migliore dipende dai tuoi requisiti specifici e dalla natura della tua applicazione.

Deployment con account di servizio creato dall'utente

Puoi eseguire il deployment tramite un account di servizio, aggiungendo il parametro di sostituzione _BUILD_ACCOUNT.

  gcloud builds submit \
    --config=./cloudbuild.yaml \
    --substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
    _BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'

Sostituisci quanto segue:

  • BUCKET_FOR_LOGS con il nome del bucket per i log.
  • SERVICE_ACCOUNT con il service account per il deployment di Cortex Framework Data Foundation.
  • SOURCE_PROJECT con il progetto di origine per il deployment di Cortex Framework Data Foundation.

Questo account di servizio attiva un job Cloud Build che, a sua volta, esegue passaggi specifici tramite l'account di servizio Cloud Build. In questo modo puoi attivare una procedura di implementazione senza accesso diretto alle risorse.

Per creare un nuovo account di servizio:

Console

  1. Vai alla pagina Account di servizio.

    Service account

  2. Concedi a questo account di servizio l'accesso al progetto.

  3. Concedi agli utenti l'accesso a questo account di servizio.

    1. Aggiungi l'ID di tutti gli utenti (incluso il tuo) che possono eseguire il deployment tramite l'account di servizio.
    2. Assegna il ruolo Creatore token account di servizio. Per ulteriori informazioni su questo ruolo, consulta Ruoli degli account di servizio.

Se hai già un account di servizio, segui questi passaggi:

  1. Vai ad Account di servizio.
  2. Fai clic sull'account di servizio.
  3. Fai clic sulla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
    1. Aggiungi l'ID di tutti gli utenti (incluso il tuo) che possono eseguire il deployment tramite l'account di servizio.
    2. Assegna il ruolo Creatore token account di servizio.

gcloud

  1. Crea un account di servizio tramite un criterio IAM con il seguente comando:

    gcloud iam service-accounts create SERVICE_ACCOUNT \
    --description="Service account for Cortex Framework Data Foundation deployment" \
    --display-name="my-cortex-service-account"

  2. Aggiungi il criterio IAM al tuo Google Cloud progetto con il seguente comando:

    gcloud projects add-iam-policy-binding SOURCE_PROJECT \
--member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \
--role="roles/cloudbuild.builds.editor"

  3. Aggiungi l'ID di tutti gli utenti (incluso il tuo) che possono eseguire il deployment tramite l'account di servizio e assegna loro il ruolo Creatore token account di servizio con il seguente comando:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

    Sostituisci quanto segue:

    • SERVICE_ACCOUNT con il service account per il deployment di Cortex Framework Data Foundation.
    • SOURCE_PROJECT con il progetto di origine per il deployment di Cortex Framework Data Foundation.
    • USER_EMAIL con l'email dell'utente che esegue l'operazione.

Eseguire una build in una regione specifica

La creazione di un gruppo di edifici a livello di regione garantisce che i dati rimangano all'interno di una regione geografica specifica. In questo modo puoi rispettare le normative locali sulla privacy dei dati, nonché migliorare la disponibilità e ridurre la latenza. Per ulteriori informazioni, consulta la pagina sulle località di Cloud Build.

Per eseguire il deployment in una regione specifica, aggiungi il parametro di sostituzione _CLOUD_BUILD_REGION con il parametro bash --region, come nel seguente comando:

gcloud builds submit \
  --config=./cloudbuild.yaml \
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Sostituisci quanto segue:

  • BUCKET_FOR_LOGS con il nome del bucket per i log.
  • REGION con la regione per il deployment. Per ulteriori informazioni sulle regioni disponibili, consulta Geografia e regioni.

Eseguire una build con un pool di worker privato

L'utilizzo di un pool di worker privato offre un ambiente più sicuro per le tue build. I pool privati sono pool privati e dedicati di worker che offrono la personalizzazione dell'ambiente di build, inclusa la possibilità di accedere alle risorse in una rete privata. Per ulteriori informazioni, consulta la panoramica dei pool privati.

Per configurare un worker privato, aggiungi _WORKER_POOL_NAME con il parametro corrispondente _CLOUD_BUILD_REGION, come nel seguente comando:

gcloud builds submit \
  --config=./cloudbuild.yaml
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Sostituisci quanto segue:

  • BUCKET_FOR_LOGS con il nome del bucket per i log.
  • SOURCE_PROJECT con il progetto di origine per il deployment di Cortex Framework Data Foundation.
  • YOUR_WORKER_POOL_NAME con il nome del pool di worker.
  • REGION con la regione per il deployment. Per ulteriori informazioni sulle regioni disponibili, consulta Geografia e regioni.