Usa una política de implementación para restringir los lanzamientos

En esta guía de inicio rápido, se muestra cómo evitar que las implementaciones de Cloud Deploy se realicen en un destino durante un período especificado y cómo anular esa restricción.

En esta guía de inicio rápido, harás lo siguiente:

  1. Crearás una configuración de Skaffold y un manifiesto de Kubernetes o una definición de servicio de Cloud Run para especificar la imagen de contenedor (precompilada) que implementarás.

  2. Definirás tu canalización de entrega de Cloud Deploy y un destino de implementación, que apuntará a un clúster de GKE o a un servicio de Cloud Run.

    Esta canalización incluye solo una etapa, para el único destino.

  3. Configura una política de implementación para un destino.

    La política define un rango de fechas durante el cual se prohíben los lanzamientos para ese destino.

  4. Crea una versión.

    Normalmente, cuando creas una versión, Cloud Deploy crea un lanzamiento para el primer destino en la progresión de tu canalización de entrega. En este caso, como hay una política que impide la implementación en el destino, no se crea el lanzamiento para ese destino.

  5. Visualiza los resultados en la consola de Google Cloud .

    Debido a la política, no verás un lanzamiento para la versión y no habrá ninguna acción pendiente en la visualización de la canalización de entrega.

  6. Anula la política de implementación.

    Esta anulación hace que Cloud Deploy cree la implementación para el destino.

  7. Visualiza los resultados en la consola de Google Cloud .

    Como ahora se anuló la política, puedes ver que hay un lanzamiento en curso (o completado, si pasó el tiempo suficiente).

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

  7. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

  13. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

    14. Si ya instalaste Google Cloud CLI, asegúrate de ejecutar la versión más reciente:

    gcloud components update
  14. Asegúrate de que la cuenta de servicio predeterminada de Compute Engine tenga los permisos necesarios.

    Es posible que la cuenta de servicio ya tenga los permisos necesarios. Estos pasos se incluyen en los proyectos que inhabilitan la asignación automática de roles para las cuentas de servicio predeterminadas.

    1. Primero, agrega el rol clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Agrega el rol de desarrollador para tu entorno de ejecución específico.
      • Para GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • En Cloud Run, haz lo siguiente: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Agrega el rol iam.serviceAccountUser, que incluye el permiso actAs para implementar en el entorno de ejecución: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

    Crea tu entorno de ejecución

    Si implementas en Cloud Run, puedes omitir este comando.

    En el caso de GKE, crea un clúster: quickstart-cluster-qsprod. Se debe poder acceder extremo de API de Kubernetes del clúster desde la red de Internet pública. Los clústeres de GKE son accesibles de forma externa de forma predeterminada.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

    Prepara la configuración de Skaffold y el manifiesto de la aplicación

    Cloud Deploy usa Skaffold para proporcionar los detalles sobre qué implementar y cómo hacerlo en tu destino.

    En esta guía de inicio rápido, crearás un archivo skaffold.yaml, que identifica el manifiesto de Kubernetes que se usará para implementar la app de ejemplo.

    1. Abre una ventana de terminal.

    2. Crea un directorio nuevo y navega hasta él.

      mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    3. Crea un archivo llamado skaffold.yaml con el siguiente contenido:

      GKE 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

      Cloud Run

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

      Este archivo es una configuración mínima de Skaffold. En esta guía de inicio rápido, crearás el archivo. Sin embargo, también puedes hacer que Cloud Deploy cree uno por ti para aplicaciones básicas que no sean de producción.

      Consulta la referencia de skaffold.yaml para obtener más información sobre este archivo de configuración.

    4. Crea el manifiesto de tu aplicación, una definición de servicio para Cloud Run o un manifiesto de Kubernetes para GKE.

      GKE

      Crea un archivo llamado k8s-pod.yaml con el siguiente contenido.

      apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

      Este archivo es un manifiesto básico de Kubernetes que se aplica al clúster para implementar la aplicación. La imagen de contenedor que se implementará se establece aquí como un marcador de posición, my-app-image, que se reemplaza por la imagen específica cuando creas la versión.

      Cloud Run

      Crea un archivo llamado service.yaml con el siguiente contenido.

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

      Este archivo es una definición básica del servicio de Cloud Run, que se usa para implementar la aplicación. La imagen de contenedor que se implementará se establece aquí como un marcador de posición, my-app-image, que se reemplaza por la imagen específica cuando creas la versión.

    Crea tu canalización de entrega y tu destino

    Puedes definir tu canalización de entrega y tus destinos en un solo archivo o en archivos separados. En esta guía de inicio rápido, crearás un solo archivo con ambos.

    1. Crea tu canalización de entrega y la definición de destino:

      GKE

      En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

      Cloud Run

      En el directorio deploy-policy-quickstart, crea un archivo nuevo: clouddeploy.yaml, con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

    2. Registra tu canalización y los recursos de destino con el servicio de Cloud Deploy:

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

      Ahora tienes una canalización de entrega con un destino.

    3. Confirma tu canalización y tus objetivos:

      En la consola de Google Cloud , navega a la página Canalizaciones de entrega de Cloud Deploy para ver una lista de las canalizaciones de entrega disponibles.

      Abrir la página Canalizaciones de entrega

      Se muestra la canalización de entrega que acabas de crear, con un destino enumerado en la columna Destinos.

      Página de la canalización de entrega en la consola de Google Cloud , en la que se muestra tu canalización

    Crea tu política de implementación

    Puedes definir la política de implementación en el mismo archivo que la canalización de entrega y los destinos, o bien en un archivo separado. Para esta guía de inicio rápido, la definimos por separado.

    1. En el mismo directorio en el que creaste la canalización de entrega y los destinos, crea un archivo nuevo, deploypolicy.yaml, con el siguiente contenido:

      apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

      Esta política bloquea los lanzamientos durante 10 años a partir del 1 de enero de 2024. Esta no es una política realista; se hace así solo para esta guía de inicio rápido, para garantizar que la política esté vigente cuando crees tu versión.

    2. Registra tu recurso de política de implementación con el servicio de Cloud Deploy:

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Confirma tu política de implementación:

      En la consola de Google Cloud , navega a la página Políticas de implementación de Cloud Deploy para ver una lista de las políticas disponibles.

      Abre la página Implementar políticas

      Se muestra la política de implementación que acabas de crear.

      Página de políticas de implementación en la consola de Google Cloud

    Crea una versión

    Una versión es el recurso central de Cloud Deploy que representa los cambios que se implementan. La canalización de entrega define el ciclo de vida de esa versión. Consulta la arquitectura del servicio de Cloud Deploy para obtener detalles sobre ese ciclo de vida.

    GKE

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

    Observa la marca --images=, que usas para reemplazar el marcador de posición (my-app-image) en el manifiesto o la definición del servicio con la imagen específica calificada por SHA. Google recomienda que crees plantillas de tus manifiestos de esta manera y que uses nombres de imágenes calificados con SHA en la creación de la versión.

    Cloud Run

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

    Observa la marca --images=, que usas para reemplazar el marcador de posición (my-app-image) en el manifiesto o la definición del servicio con la imagen específica calificada por SHA. Google recomienda que crees plantillas de tus manifiestos de esta manera y que uses nombres de imágenes calificados con SHA en la creación de la versión.

    En circunstancias normales, Cloud Deploy crea el lanzamiento para el primer destino cuando creas la versión con este comando. En este caso, como los lanzamientos están restringidos según la política de implementación, no se crea ningún lanzamiento. Se muestra un mensaje de error en la línea de comandos:

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Cómo anular la restricción de política

    Para implementar la aplicación de ejemplo, que está bloqueada por la política de implementación, debes anular esa política. Para ello, crea un nuevo lanzamiento para esta versión, pero esta vez incluye la opción --override-deploy-policies:

    GKE

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Cloud Run

    Ejecuta el siguiente comando desde el directorio deploy-policy-quickstart para crear la versión:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Como incluiste --override-deploy-policies=quickstart-deploy-policy y tienes el rol de roles/clouddeploy.policyAdmin, Cloud Deploy ignora la política de implementación que creaste y crea el lanzamiento para prod-target.

    Consulta los resultados en la consola de Google Cloud

    1. En la consola de Google Cloud , vuelve a navegar a la página Canalizaciones de entrega de Cloud Deploy para ver tu canalización de entrega (deploy-policy-pipeline).

      Abrir la página Canalizaciones de entrega

    2. Haz clic en el nombre de tu canalización de entrega (deploy-policy-pipeline).

      La visualización de la canalización muestra el estado de implementación de la app. En este caso, como se anuló la política, se creó la versión y se completó correctamente.

      Visualización de la canalización de entrega que muestra el lanzamiento

      Y la versión aparece en la pestaña Versiones, en Detalles de la canalización de entrega.

    Limpia

    Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página.

    1. Borra el clúster de GKE o el servicio de Cloud Run:

      GKE 

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

      Cloud Run

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

    2. Borra la política de implementación:

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Borra la canalización de entrega, el destino, la versión y el lanzamiento:

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

    4. Borra los dos buckets de Cloud Storage que creó Cloud Deploy.

      Abrir la página del navegador de Cloud Storage

    Eso es todo, finalizaste la guía de inicio rápido.

    ¿Qué sigue?