Cloud Build 특징

이 페이지에서는 서비스 계정 만들기, 특정 지역에서 빌드, 비공개 작업자 풀 사용 등 Cloud Build 기능으로 Cortex Framework Data Foundation을 빌드하기 위한 일부 선택적 구성에 대해 설명합니다. 이러한 구성은 데이터 개인 정보 보호, 성능, 보안, 맞춤설정 측면에서 상당한 이점을 제공합니다. 가장 적합한 접근 방식은 특정 요구사항과 애플리케이션의 특성에 따라 달라집니다.

사용자가 만든 서비스 계정으로 배포

대체 매개변수 _BUILD_ACCOUNT를 추가하여 서비스 계정을 통해 배포를 실행할 수 있습니다.

  gcloud builds submit \
    --config=./cloudbuild.yaml \
    --substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
    _BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'

다음을 바꿉니다.

  • BUCKET_FOR_LOGS을 로그의 버킷 이름으로 바꿉니다.
  • SERVICE_ACCOUNT를 Cortex Framework Data Foundation 배포용 서비스 계정으로 바꿉니다.
  • Cortex Framework Data Foundation 배포를 위한 소스 프로젝트와 SOURCE_PROJECT

이 서비스 계정은 Cloud Build 작업을 트리거하고 Cloud Build 서비스 계정을 통해 특정 단계를 실행합니다. 이렇게 하면 리소스에 직접 액세스하지 않고도 배포 프로세스를 트리거할 수 있습니다.

새 서비스 계정을 만들려면 다음 단계를 따르세요.

콘솔gcloud

  1. 서비스 계정 페이지로 이동합니다.

    서비스 계정

  2. 이 서비스 계정에 프로젝트에 대한 액세스 권한을 부여합니다.

  3. 사용자에게 이 서비스 계정에 대한 액세스 권한을 부여합니다.

    1. 서비스 계정을 통해 배포를 실행할 수 있는 모든 사용자 (나를 포함)의 ID를 추가합니다.
    2. 서비스 계정 토큰 생성자 역할을 할당합니다. 이 역할에 관한 자세한 내용은 서비스 계정 역할을 참고하세요.

이미 서비스 계정이 있는 경우 다음 단계를 따르세요.

  1. 서비스 계정으로 이동합니다.
  2. 서비스 계정을 클릭합니다.
  3. 권한 탭을 클릭합니다.
  4. 액세스 권한 부여를 클릭합니다.
    1. 서비스 계정을 통해 배포를 실행할 수 있는 모든 사용자 (나를 포함)의 ID를 추가합니다.
    2. 서비스 계정 토큰 생성자 역할을 할당합니다.

  1. 다음 명령어를 사용하여 IAM 정책을 통해 서비스 계정을 만듭니다.

    gcloud iam service-accounts create SERVICE_ACCOUNT \
    --description="Service account for Cortex Framework Data Foundation deployment" \
    --display-name="my-cortex-service-account"

  2. 다음 명령어를 사용하여 Google Cloud 프로젝트에 IAM 정책을 추가합니다.

    gcloud projects add-iam-policy-binding SOURCE_PROJECT \
--member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \
--role="roles/cloudbuild.builds.editor"

  3. 서비스 계정을 통해 배포를 실행할 수 있는 모든 사용자 (나를 포함)의 ID를 추가하고 다음 명령어를 사용하여 서비스 계정 토큰 생성자 역할을 할당합니다.

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

    다음을 바꿉니다.

    • SERVICE_ACCOUNT를 Cortex Framework Data Foundation 배포용 서비스 계정으로 바꿉니다.
    • Cortex Framework Data Foundation 배포를 위한 소스 프로젝트와 SOURCE_PROJECT
    • USER_EMAIL을 실행하는 사용자 이메일로 바꿉니다.

특정 리전에서 빌드

리전 빌딩을 사용하면 데이터가 특정 지리적 리전에 유지됩니다. 이를 통해 현지 데이터 개인 정보 보호 규정, 가용성, 지연 시간 감소를 준수할 수 있습니다. 자세한 내용은 Cloud Build 위치를 참고하세요.

특정 지역을 통해 배포를 실행하려면 다음 명령어와 같이 대체 매개변수 _CLOUD_BUILD_REGION--region bash 매개변수와 함께 추가합니다.

gcloud builds submit \
  --config=./cloudbuild.yaml \
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
  --region=REGION

다음을 바꿉니다.

  • BUCKET_FOR_LOGS을 로그의 버킷 이름으로 바꿉니다.
  • REGION을 배포 리전으로 바꿉니다. 사용 가능한 리전에 대한 자세한 내용은 위치 및 리전을 참고하세요.

비공개 작업자 풀을 사용하여 빌드

비공개 작업자 풀을 사용하면 빌드에 더 안전한 환경을 제공할 수 있습니다. 비공개 풀은 비공개 네트워크의 리소스에 액세스하는 기능을 포함하여 빌드 환경을 맞춤설정할 수 있는 비공개 전용 작업자 풀입니다. 자세한 내용은 비공개 풀 개요를 참고하세요.

비공개 작업자를 구성하려면 다음 명령어와 같이 상응하는 _CLOUD_BUILD_REGION 매개변수와 함께 _WORKER_POOL_NAME를 추가합니다.

gcloud builds submit \
  --config=./cloudbuild.yaml
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
  --region=REGION

다음을 바꿉니다.

  • BUCKET_FOR_LOGS을 로그의 버킷 이름으로 바꿉니다.
  • Cortex Framework Data Foundation 배포를 위한 소스 프로젝트와 SOURCE_PROJECT
  • YOUR_WORKER_POOL_NAME을 작업자 풀 이름으로 바꿉니다.
  • REGION을 배포 리전으로 바꿉니다. 사용 가능한 리전에 대한 자세한 내용은 위치 및 리전을 참고하세요.