Usar una política de implementación para restringir los lanzamientos

En esta guía de inicio rápido se muestra cómo evitar que Cloud Deploy lance versiones a un destino durante un periodo específico y cómo anular esa restricción.

En esta guía de inicio rápido, harás lo siguiente:

  1. Crea una configuración de Skaffold y un manifiesto de Kubernetes o una definición de servicio de Cloud Run para especificar la imagen de contenedor (prediseñada) que se va a desplegar.

  2. Define tu flujo de procesamiento de entrega de Cloud Deploy y un destino de implementación, que apunte a un clúster de GKE o a un servicio de Cloud Run.

    Esta canalización solo incluye una fase, para el único objetivo.

  3. Configura una política de implementación para un destino.

    La política define un intervalo de fechas durante el cual se prohíben los lanzamientos a ese destino.

  4. Crea una versión.

    Normalmente, cuando creas una versión, Cloud Deploy crea un lanzamiento para el primer destino de la progresión de tu canalización de distribución. En este caso, como hay una política que impide el despliegue en el destino, no se crea el lanzamiento para ese destino.

  5. Consulta los resultados en la Google Cloud consola.

    Debido a la política, no verás ningún lanzamiento de la versión y no habrá ninguna acción pendiente en la visualización de la canalización de entrega.

  6. Anula la política de implementación.

    Como resultado de esta anulación, Cloud Deploy creará el lanzamiento para el destino.

  7. Consulta los resultados en la Google Cloud consola.

    Como la política se ha anulado, puedes ver que hay un lanzamiento en curso (o completado, si ha pasado suficiente tiempo).

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  7. Para inicializar gcloud CLI, ejecuta el siguiente comando:

    gcloud init
  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  13. Para inicializar gcloud CLI, ejecuta el siguiente comando:

    gcloud init
  14. Si ya tienes instalada la CLI de Google Cloud, asegúrate de que estás ejecutando la versión más reciente:

    gcloud components update
    
  15. Comprueba que la cuenta de servicio predeterminada de Compute Engine tenga los permisos suficientes.

    Es posible que la cuenta de servicio ya tenga los permisos necesarios. Estos pasos se incluyen para los proyectos que inhabilitan las concesiones automáticas de roles para las cuentas de servicio predeterminadas.

    1. Primero, añade el rol clouddeploy.jobRunner:
      gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
          --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
          --role="roles/clouddeploy.jobRunner"
      
    2. Añade el rol de desarrollador para tu tiempo de ejecución específico.
      • En GKE:

        gcloud projects add-iam-policy-binding PROJECT_ID \
            --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
            --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
            --role="roles/container.developer"
        

      • En Cloud Run:

        gcloud projects add-iam-policy-binding PROJECT_ID \
            --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
            --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
            --role="roles/run.developer"
        

    3. Añade el rol iam.serviceAccountUser, que incluye el permiso actAs para implementar en el tiempo de ejecución:
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
          --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
          --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
          --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
          --role="roles/iam.serviceAccountUser" \
          --project=PROJECT_ID
      

    Crear el entorno de ejecución

    Si vas a desplegar en Cloud Run, puedes omitir este comando.

    En GKE, crea un clúster: quickstart-cluster-qsprod. El endpoint de la API de Kubernetes del clúster debe ser accesible a través de la red pública de Internet. Los clústeres de GKE son accesibles externamente de forma predeterminada.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                     --project=PROJECT_ID \
                     --region=us-central1
    

    Preparar la configuración de Skaffold y el manifiesto de la aplicación

    Cloud Deploy usa Skaffold para proporcionar los detalles de qué desplegar y cómo desplegarlo en tu destino.

    En esta guía de inicio rápido, crearás un archivo skaffold.yaml, que identifica el manifiesto de Kubernetes que se usará para desplegar la aplicación de ejemplo.

    1. Abre una ventana de terminal.

    2. Crea un directorio y accede a él.

      mkdir deploy-policy-quickstart
      cd deploy-policy-quickstart
      
    3. Crea un archivo llamado skaffold.yaml con el siguiente contenido:

      GKE

      apiVersion: skaffold/v4beta1
      kind: Config
      manifests:
        rawYaml:
        - k8s-pod.yaml
      deploy:
        kubectl: {}
      

      Cloud Run

      apiVersion: skaffold/v4beta1
      kind: Config
      manifests:
        rawYaml:
        - service.yaml
      deploy:
        cloudrun: {}
      

      Este archivo es una configuración mínima de Skaffold. En esta guía de inicio rápido, crearás el archivo. Sin embargo, también puedes pedir a Cloud Deploy que cree uno por ti para aplicaciones básicas que no sean de producción.

      Consulta la referencia de skaffold.yaml para obtener más información sobre este archivo de configuración.

    4. Crea el manifiesto de tu aplicación: una definición de servicio para Cloud Run o un manifiesto de Kubernetes para GKE.

      GKE

      Crea un archivo llamado k8s-pod.yaml con el siguiente contenido:

      apiVersion: v1
      kind: Pod
      metadata:
        name: getting-started
      spec:
        containers:
        - name: nginx
          image: my-app-image
      

      Este archivo es un manifiesto básico de Kubernetes, que se aplica al clúster para desplegar la aplicación. La imagen de contenedor que se va a desplegar se define aquí como un marcador de posición, my-app-image, que se sustituye por la imagen específica cuando crea el lanzamiento.

      Cloud Run

      Crea un archivo llamado service.yaml con el siguiente contenido:

      apiVersion: serving.knative.dev/v1
      kind: Service
      metadata:
        name: my-deploy-policy-run-service
      spec:
        template:
          spec:
            containers:
            - image: my-app-image
      

      Este archivo es una definición básica de servicio de Cloud Run que se usa para desplegar la aplicación. La imagen de contenedor que se va a desplegar se define aquí como marcador de posición, my-app-image, que se sustituye por la imagen específica cuando crea la versión.

    Crea tu flujo de procesamiento de entrega y tu destino

    Puedes definir tu canal de distribución y tus destinos en un archivo o en archivos independientes. En esta guía de inicio rápido, crearás un solo archivo con ambos.

    1. Crea el flujo de procesamiento de entrega y la definición de destino:

      GKE

      En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
      kind: DeliveryPipeline
      metadata:
        name: deploy-policy-pipeline
      serialPipeline:
        stages:
        - targetId: prod-target
      ---
      
      apiVersion: deploy.cloud.google.com/v1
      kind: Target
      metadata:
        name: prod-target
      description: production cluster
      gke:
        cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod
      

      Cloud Run

      En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
      kind: DeliveryPipeline
      metadata:
        name: deploy-policy-pipeline
      serialPipeline:
        stages:
        - targetId: prod-target
      ---
      
      apiVersion: deploy.cloud.google.com/v1
      kind: Target
      metadata:
        name: prod-target
      description: production Run service
      run:
        location: projects/PROJECT_ID/locations/us-central1
      
    2. Registra tu canal de lanzamiento y los recursos de destino en el servicio Cloud Deploy:

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID
      

      Ahora tienes un flujo de procesamiento de entrega con un destino.

    3. Confirma tu flujo de procesamiento y tus objetivos:

      En la Google Cloud consola, ve a la página Pipelines de entrega de Cloud Deploy para ver una lista de los pipelines de entrega disponibles.

      Abre la página Pipelines de entrega.

      Se muestra la canalización de entrega que acaba de crear, con un destino en la columna Destinos.

      Página del flujo de procesamiento de entrega en la consola Google Cloud , donde se muestra tu flujo de procesamiento

    Crear una política de implementación

    Puedes definir la política de implementación en el mismo archivo que tu canalización de lanzamiento y tus destinos, o bien en un archivo independiente. En esta guía de inicio rápido, lo definimos por separado.

    1. En el mismo directorio en el que has creado el flujo de procesamiento y los destinos, crea un archivo llamado deploypolicy.yaml con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
      description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
      kind: DeployPolicy
      metadata:
        name: quickstart-deploy-policy
      selectors:
      - deliveryPipeline:
          id: 'deploy-policy-pipeline'
      rules:
      - rolloutRestriction:
          id: no-rollouts
          timeWindows:
            timeZone: America/New_York
            oneTimeWindows:
            - start: 2024-01-01 00:00
              end: 2034-01-01 24:00
      

      Esta política bloquea los lanzamientos durante 10 años a partir del 1 de enero del 2024. Esta política no es realista, sino que se ha creado así solo para esta guía de inicio rápido, con el fin de asegurarse de que la política esté vigente cuando cree la versión.

    2. Registra el recurso de política de despliegue en el servicio Cloud Deploy:

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID
      
    3. Confirma tu política de implementación:

      En la Google Cloud consola, ve a la página Cloud Deploy Políticas de implementación para ver una lista de las políticas disponibles.

      Abre la página Implementar políticas.

      Se muestra la política de implementación que acabas de crear.

      página de implementación de políticas en la consola Google Cloud

    Crear una versión

    Una versión es el recurso central de Cloud Deploy que representa los cambios que se van a implementar. El flujo de procesamiento de entrega define el ciclo de vida de esa versión. Consulta la arquitectura de servicio de Cloud Deploy para obtener más información sobre ese ciclo de vida.

    GKE

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases create test-release-001 \
       --project=PROJECT_ID \
       --region=us-central1 \
       --delivery-pipeline=deploy-policy-pipeline \
       --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa
    

    Fíjate en la marca --images=, que se usa para sustituir el marcador de posición (my-app-image) en el manifiesto o la definición de servicio por la imagen específica cualificada con SHA. Google recomienda que uses plantillas de manifiestos de esta forma y que uses nombres de imágenes cualificados con SHA al crear lanzamientos.

    Cloud Run

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases create test-release-001 \
       --project=PROJECT_ID \
       --region=us-central1 \
       --delivery-pipeline=deploy-policy-pipeline \
       --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a
    

    Fíjate en la marca --images=, que se usa para sustituir el marcador de posición (my-app-image) en el manifiesto o la definición de servicio por la imagen específica cualificada con SHA. Google recomienda que uses plantillas de manifiestos de esta forma y que uses nombres de imágenes cualificados con SHA al crear lanzamientos.

    En circunstancias normales, Cloud Deploy crea el lanzamiento en el primer destino cuando creas la versión con este comando. En este caso, como los lanzamientos están restringidos según la política de implementación, no se crea ningún lanzamiento. Se muestra un mensaje de error en la línea de comandos:

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Anular la restricción basada en las políticas

    Para implementar la aplicación de ejemplo, que está bloqueada por la política de implementación, debes anular esa política. Para ello, crea un nuevo lanzamiento para esta versión, pero esta vez incluye la opción --override-deploy-policies:

    GKE

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases promote --release=test-release-001 \
       --project=PROJECT_ID \
       --region=us-central1 \
       --delivery-pipeline=deploy-policy-pipeline \
       --to-target=prod-target \
       --override-deploy-policies=quickstart-deploy-policy
    

    Cloud Run

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases promote --release=test-release-001 \
       --project=PROJECT_ID \
       --region=us-central1 \
       --delivery-pipeline=deploy-policy-pipeline \
       --to-target=prod-target \
       --override-deploy-policies=quickstart-deploy-policy
    

    Como has incluido --override-deploy-policies=quickstart-deploy-policy y tienes el rol roles/clouddeploy.policyAdmin, Cloud Deploy ignora la política de implementación que has creado y crea el lanzamiento en prod-target.

    Ver los resultados en la Google Cloud consola

    1. En la Google Cloud consola, vuelve a la página de Cloud Deploy Pipelines de entrega para ver tu pipeline de entrega (deploy-policy-pipeline).

      Abre la página Pipelines de entrega.

    2. Haga clic en el nombre de su flujo de trabajo de entrega (deploy-policy-pipeline).

      La visualización de la canalización muestra el estado de la implementación de la aplicación. En este caso, como se ha anulado la política, se ha creado el lanzamiento y se ha completado correctamente.

      Visualización del flujo de procesamiento de entrega que muestra el lanzamiento

      Tu lanzamiento aparecerá en la pestaña Lanzamientos, en Detalles de la canalización de entrega.

    Limpieza

    Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en esta página, sigue estos pasos.

    1. Elimina el clúster de GKE o el servicio de Cloud Run:

      GKE

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID
      

      Cloud Run

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID
      
    2. Elimina la política de implementación:

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID
      
    3. Elimina el flujo de procesamiento, el destino, la versión y el lanzamiento:

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID
      
    4. Elimina los dos segmentos de Cloud Storage que ha creado Cloud Deploy.

      Abrir la página del navegador de Cloud Storage

    ¡Ya has completado esta guía de inicio rápido!

    Siguientes pasos