Usa una política de implementación para restringir los lanzamientos

En esta guía de inicio rápido, se muestra cómo evitar que Cloud Deploy realice lanzamientos a un destino durante un tiempo determinado y cómo anular esa restricción.

En esta guía de inicio rápido, harás lo siguiente:

  1. Crea una configuración de Skaffold y un manifiesto de Kubernetes. Definición del servicio de Cloud Run para especificar el contenedor (compilado previamente) para implementar.

  2. Definirás la canalización de entrega de Cloud Deploy y un destino de implementación, que apuntará a un clúster de GKE o a un servicio de Cloud Run.

    Esta canalización incluye solo una etapa para un destino.

  3. Configura una política de implementación para un destino.

    La política define un rango de fechas durante el cual se prohíben los lanzamientos a ese objetivo.

  4. Crea una versión.

    Por lo general, cuando creas una versión, Cloud Deploy crea o un lanzamiento para el primer destino en el progreso de la canalización de entrega. En en este caso, debido a que hay una política que impide la implementación en el destino, no se crea un lanzamiento público para ese destino.

  5. Visualiza los resultados en la consola de Google Cloud.

    Debido a la política, no se mostrará un lanzamiento para la versión, y hay no hay ninguna acción pendiente en la visualización de la canalización de entrega.

  6. Anula la política de implementación.

    Esta anulación hace que Cloud Deploy cree el lanzamiento para el destino.

  7. Visualiza los resultados en la consola de Google Cloud.

    Como se anuló la política, puedes ver que hay lanzamiento en curso (o completado, si ya pasó suficiente tiempo).

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

    12. Si ya instalaste Google Cloud CLI, asegúrate de estar ejecutando la última versión:

    gcloud components update
  12. Asegúrate de que la cuenta de servicio predeterminada de Compute Engine tenga los permisos necesarios.

    Es posible que la cuenta de servicio ya tenga los permisos necesarios. Estos pasos se incluyen en los proyectos que inhabilitan la asignación automática de roles para las cuentas de servicio predeterminadas.

    1. Primero, agrega el rol clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Agrega el rol clouddeploy.policyAdmin:
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.policyAdmin"
    3. Agrega el rol de desarrollador para tu entorno de ejecución específico.
      • Para GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Para Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    4. Agrega el rol iam.serviceAccountUser, que incluye el permiso actAs para implementar en el entorno de ejecución: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

Crea tu entorno de ejecución

Si realizas la implementación en Cloud Run, puedes omitir este comando.

Para GKE, crea un clúster: quickstart-cluster-qsprod. El extremo de API de Kubernetes del clúster debe ser accesible a través de la red desde el público a Internet. clústeres de GKE son accesibles de forma externa de forma predeterminada.

gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

Prepara tu configuración de Skaffold y el manifiesto de la aplicación

Cloud Deploy usa Skaffold para proporcionar los detalles sobre qué implementar y cómo hacerlo en tu objetivo.

En esta guía de inicio rápido, debes crear un archivo skaffold.yaml, que identifica el manifiesto de Kubernetes que se usará para implementar la app de ejemplo.

  1. Abre una ventana de terminal.

  2. Crea un directorio nuevo y navega hasta él.

    GKE 

    mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    Cloud Run

    mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

  3. Crea un archivo llamado skaffold.yaml con el siguiente contenido:

    GKE 

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

    Cloud Run

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

    Este archivo es una configuración mínima de Skaffold. Para esta guía de inicio rápido, debes crear . Sin embargo, también puedes hacer que Cloud Deploy cree uno por ti para aplicaciones básicas que no sean de producción.

    Consulta la referencia de skaffold.yaml para obtener más información sobre este archivo de configuración.

  4. Crea el manifiesto para tu aplicación, una definición de servicio para Cloud Run o un manifiesto de Kubernetes para GKE.

    GKE

    Crea un archivo llamado k8s-pod.yaml con el siguiente contenido.

    apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

    Este archivo es un manifiesto básico de Kubernetes que se aplica al clúster para implementar la aplicación.

    Cloud Run

    Crea un archivo llamado service.yaml con el siguiente contenido.

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

    Este archivo es una definición básica del servicio de Cloud Run, que se usa en el momento de la implementación para crear tu servicio de Cloud Run.

Crea tu canalización de entrega y destino

Puedes definir la canalización de entrega y los destinos en un archivo o en archivos. En esta guía de inicio rápido, crearás un solo archivo con ambos.

  1. Crea tu canalización de entrega y definición de destino:

    GKE

    En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

    Cloud Run

    En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

  2. Registra tu canalización y los recursos de destino con el servicio de Cloud Deploy:

    gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

    Ahora tienes una canalización de entrega con un destino.

  3. Confirma tu canalización y tus destinos:

    En la consola de Google Cloud, navega a Cloud Deploy La página Canalizaciones de entrega para ver la lista de tus entregas disponibles canalizaciones.

    Abrir la página Canalizaciones de entrega

    Se muestra la canalización de entrega que acabas de crear, con un destino detallado en en la columna Destinos.

    página de la canalización de entrega en la consola de Google Cloud, que muestra tu canalización

Crea tu política de implementación

Puedes definir la política de implementación en el mismo archivo que tu canalización de entrega y destinos o puedes definirla en un archivo independiente. Para esta guía de inicio rápido, definiremos por separado.

  1. En el mismo directorio en el que creaste la canalización de publicación y los destinos, crea un archivo nuevo, deploypolicy.yaml, con el siguiente contenido:

    apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

    Esta política bloquea los lanzamientos durante 10 años, a partir del 1 de enero de 2024. Esta no es una política realista; este paso se realiza solo en esta guía de inicio rápido, asegúrate de que la política se aplique cuando crees tu versión.

  2. Registra tu recurso de política de implementación con el servicio de Cloud Deploy:

    gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Confirma tu política de implementación:

    En la consola de Google Cloud, navega a la página Políticas de implementación de Cloud Deploy para ver una lista de las políticas disponibles.

    Abre la página Implementar políticas

    Se muestra la política de implementación que acabas de crear.

    página de implementación de políticas en la consola de Google Cloud

Crea una versión

Un lanzamiento es el recurso central de Cloud Deploy que representa el cambios que se están implementando. La canalización de entrega define el ciclo de vida de esa versión. Consulta Arquitectura de servicios de Cloud Deploy para obtener detalles sobre ese ciclo de vida.

GKE

Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

Cloud Run

Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:4a856b6f1c3ce723a456ddc2adfbb794cbfba93f727e2d96fcf6540bd0d6fff4

En circunstancias normales, Cloud Deploy crea lanzamiento en el primer destino cuando creas el lanzamiento con este comando. En este caso, como los lanzamientos están restringidos según la política de implementación, no se crea ningún lanzamiento. Se muestra un mensaje de error en la línea de comandos:

ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

Anular la restricción de la política

Para implementar la aplicación de ejemplo, que está bloqueada por la política de implementación, debes anular esa política. Para ello, creas un lanzamiento nuevo para esta versión, esta vez, con la opción --override-deploy-policies:

GKE

Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Cloud Run

Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Porque incluiste --override-deploy-policies=quickstart-deploy-policy y, como tienes el elemento roles/clouddeploy.policyAdmin, Cloud Deploy ignora la de implementación que creaste y crea el lanzamiento en prod-target.

Ve los resultados en la consola de Google Cloud

  1. En la consola de Google Cloud, navega nuevamente a Cloud Deploy La página Canalizaciones de entrega para visualizar tu canalización de entrega (deploy-policy-pipeline).

    Abrir la página Canalizaciones de entrega

  2. Haz clic en el nombre de tu canalización de entrega (deploy-policy-pipeline).

    La visualización de la canalización muestra el estado de implementación de la app. En este caso, porque se anuló la política, se creó el lanzamiento y se realizó correctamente.

    Visualización de la canalización de entrega que muestra el lanzamiento

    Y la versión aparece en la pestaña Versiones, en Detalles de la canalización de entrega.

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

  1. Borra el clúster de GKE o el servicio de Cloud Run:

    GKE 

    gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

    Cloud Run

    gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

  2. Borra la política de implementación:

    gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Borra la canalización de entrega, el destino, la versión y el lanzamiento:

    gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

  4. Borra los dos buckets de Cloud Storage que creó Cloud Deploy.

    Abrir la página del navegador de Cloud Storage

Eso es todo, finalizaste la guía de inicio rápido.

¿Qué sigue?