Recursos do Cloud Build

Esta página descreve algumas configurações opcionais para criar a base de dados do Cortex Framework com recursos do Cloud Build, como criar uma conta de serviço, criar em uma região específica ou usar um pool de workers particular. Essas configurações oferecem benefícios significativos em termos de privacidade, desempenho, segurança e personalização de dados. A melhor abordagem depende dos seus requisitos específicos e da natureza do seu aplicativo.

Implantação com uma conta de serviço criada pelo usuário

É possível executar a implantação por uma conta de serviço, adicionando o parâmetro de substituição _BUILD_ACCOUNT.

  gcloud builds submit \
    --config=./cloudbuild.yaml \
    --substitutions=_GCS_BUCKET=<BUCKET_FOR_LOGS>, \
    _BUILD_ACCOUNT='projects/SOURCE_PROJECT/serviceAccounts/SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com'

Substitua:

  • BUCKET_FOR_LOGS com o nome do bucket para os registros.
  • SERVICE_ACCOUNT com a conta de serviço para a implantação do Cortex Framework Data Foundation.
  • SOURCE_PROJECT com o projeto de origem para a implantação do Cortex Framework Data Foundation.

Essa conta de serviço aciona um job do Cloud Build, que, por sua vez, executa etapas específicas pela conta de serviço do Cloud Build. Isso permite acionar um processo de implantação sem acesso direto aos recursos.

Para criar uma nova conta de serviço, siga estas etapas:

Console

  1. Acesse a página Contas de serviço.

    Contas de serviço

  2. Conceda à conta de serviço acesso ao projeto.

  3. Conceda aos usuários acesso a essa conta de serviço.

    1. Adicione o ID de todos os usuários (incluindo você) que podem executar a implantação pela conta de serviço.
    2. Atribua o papel de Criador de token da conta de serviço. Para mais informações sobre esse papel, consulte Papéis de contas de serviço.

Se você já tiver uma conta de serviço, siga estas etapas:

  1. Acesse Contas de serviço.
  2. Clique em Conta de serviço.
  3. Clique na guia Permissões.
  4. Clique em Permitir acesso.
    1. Adicione o ID de todos os usuários (incluindo você) que podem executar a implantação pela conta de serviço.
    2. Atribua o papel de Criador de token da conta de serviço.

gcloud

  1. Crie uma conta de serviço com uma política do IAM usando o seguinte comando:

    gcloud iam service-accounts create SERVICE_ACCOUNT \
    --description="Service account for Cortex Framework Data Foundation deployment" \
    --display-name="my-cortex-service-account"

  2. Adicione a política do IAM ao projeto Google Cloud com o seguinte comando:

    gcloud projects add-iam-policy-binding SOURCE_PROJECT \
--member="serviceAccount:SERVICE_ACCOUNT@SOURCE_PROJECT.iam.gserviceaccount.com" \
--role="roles/cloudbuild.builds.editor"

  3. Adicione o ID de todos os usuários (incluindo você) que podem executar a implantação pela conta de serviço e atribua a eles o papel de Criador de token da conta de serviço com o seguinte comando:

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT\
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

    Substitua:

    • SERVICE_ACCOUNT com a conta de serviço para a implantação do Cortex Framework Data Foundation.
    • SOURCE_PROJECT com o projeto de origem para implantação da base de dados do Cortex Framework.
    • USER_EMAIL com o e-mail do usuário que está executando.

Criar em uma região específica

O Regional Building garante que seus dados permaneçam em uma região geográfica específica. Isso pode ajudar a cumprir a regulamentação local de privacidade de dados, disponibilidade e redução de latência. Para mais informações, consulte Locais do Cloud Build.

Para executar a implantação em uma região específica, adicione o parâmetro de substituição _CLOUD_BUILD_REGION com o parâmetro bash --region, como no seguinte comando:

gcloud builds submit \
  --config=./cloudbuild.yaml \
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Substitua:

  • BUCKET_FOR_LOGS com o nome do bucket para os registros.
  • REGION pela região da sua implantação. Para saber mais sobre as regiões disponíveis, consulte Geografia e regiões.

Criar com um pool de workers particular

O uso de um pool de workers particular oferece um ambiente mais seguro para seus builds. Os pools particulares são pools dedicados de workers que oferecem personalização no ambiente de build, incluindo a capacidade de acessar recursos em uma rede particular. Para mais informações, consulte Visão geral dos pools particulares.

Para configurar um worker privado, adicione _WORKER_POOL_NAME com o parâmetro _CLOUD_BUILD_REGION correspondente, como no comando abaixo:

gcloud builds submit \
  --config=./cloudbuild.yaml
  --substitutions=_GCS_BUCKET=BUCKET_FOR_LOGS,_WORKER_POOL_NAME='projects/SOURCE_PROJECT/locations/us-central1/workerPools/YOUR_WORKER_POOL_NAME',_CLOUD_BUILD_REGION=REGION \
  --region=REGION

Substitua:

  • BUCKET_FOR_LOGS com o nome do bucket para os registros.
  • SOURCE_PROJECT com o projeto de origem para implantação da base de dados do Cortex Framework.
  • YOUR_WORKER_POOL_NAME pelo nome do pool de workers.
  • REGION pela região da sua implantação. Para saber mais sobre as regiões disponíveis, consulte Geografia e regiões.