Utiliser une règle de déploiement pour restreindre les déploiements

Ce guide de démarrage rapide vous explique comment empêcher les déploiements Cloud Deploy vers une cible pendant une période spécifiée et comment contourner cette restriction.

Dans ce guide de démarrage rapide, vous allez effectuer les opérations suivantes :

  1. Créez une configuration Skaffold et un fichier manifeste Kubernetes ou une définition de service Cloud Run pour spécifier l'image de conteneur (prédéfinie) à déployer.

  2. Définissez votre pipeline de diffusion Cloud Deploy et une cible de déploiement, pointant vers un cluster GKE ou un service Cloud Run.

    Ce pipeline ne comprend qu'une seule étape, pour une seule cible.

  3. Configurez une règle de déploiement pour une cible.

    La règle définit une plage de dates pendant laquelle les déploiements vers cette cible sont interdits.

  4. Créez une version.

    Normalement, lorsque vous créez une version, Cloud Deploy crée un déploiement pour la première cible de la progression de votre pipeline de livraison. Dans ce cas, comme une règle empêche le déploiement sur la cible, le déploiement pour cette cible n'est pas créé.

  5. Affichez les résultats dans la console Google Cloud .

    En raison de cette règle, vous ne verrez pas de déploiement pour la version et aucune action en attente dans la visualisation du pipeline de livraison.

  6. Ignorer la règle de déploiement

    Cette substitution permet à Cloud Deploy de créer le déploiement progressif pour la cible.

  7. Affichez les résultats dans la console Google Cloud .

    Étant donné que la règle a été remplacée, vous pouvez voir qu'un déploiement est en cours (ou terminé, si suffisamment de temps s'est écoulé).

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  7. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  13. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

    14. Si vous avez déjà installé Google Cloud CLI, assurez-vous d'exécuter la dernière version :

    gcloud components update
  14. Assurez-vous que le compte de service Compute Engine par défaut dispose des autorisations suffisantes.

    Le compte de service dispose peut-être déjà des autorisations nécessaires. Ces étapes concernent les projets qui désactivent les attributions automatiques de rôles pour les comptes de service par défaut.

    1. Commencez par ajouter le rôle clouddeploy.jobRunner : 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Ajoutez le rôle de développeur pour votre environnement d'exécution spécifique.
      • Pour GKE : 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Pour Cloud Run : 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Ajoutez le rôle iam.serviceAccountUser, qui inclut l'autorisation actAs pour le déploiement dans l'environnement d'exécution : 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

    Créer votre environnement d'exécution

    Si vous déployez sur Cloud Run, vous pouvez ignorer cette commande.

    Pour GKE, créez un cluster : quickstart-cluster-qsprod. Le point de terminaison de l'API Kubernetes du cluster doit être accessible sur le réseau Internet public. Les clusters GKE sont accessibles en externe par défaut.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

    Préparer votre configuration Skaffold et le fichier manifeste de votre application

    Cloud Deploy utilise Skaffold pour fournir les détails de ce que vous devez déployer et de la manière de le déployer sur votre cible.

    Dans ce guide de démarrage rapide, vous allez créer un fichier skaffold.yaml qui identifie le fichier manifeste Kubernetes à utiliser pour déployer l'exemple d'application.

    1. Ouvrez une fenêtre de terminal.

    2. Créez un répertoire et accédez-y.

      mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    3. Créez un fichier nommé skaffold.yaml avec le contenu suivant :

      GKE 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

      Cloud Run 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

      Ce fichier est une configuration Skaffold minimale. Pour ce guide de démarrage rapide, vous allez créer le fichier. Toutefois, vous pouvez également demander à Cloud Deploy d'en créer un pour vous pour les applications de base non destinées à la production.

      Pour en savoir plus sur ce fichier de configuration, consultez la documentation de référence sur skaffold.yaml.

    4. Créez le fichier manifeste de votre application (une définition de service pour Cloud Run ou un fichier manifeste Kubernetes pour GKE).

      GKE

      Créez un fichier nommé k8s-pod.yaml avec le contenu suivant :

      apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

      Ce fichier est un manifeste Kubernetes de base, qui est appliqué au cluster pour déployer l'application. L'image de conteneur à déployer est définie ici en tant qu'espace réservé, my-app-image, qui est remplacé par l'image spécifique lorsque vous créez la version.

      Cloud Run

      Créez un fichier nommé service.yaml avec le contenu suivant :

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

      Ce fichier est une définition de service Cloud Run de base, qui est utilisée pour déployer l'application. L'image de conteneur à déployer est définie ici en tant qu'espace réservé, my-app-image, qui est remplacé par l'image spécifique lorsque vous créez la version.

    Créer votre pipeline de livraison et votre cible

    Vous pouvez définir votre pipeline de diffusion et vos cibles dans un seul fichier ou dans des fichiers distincts. Dans ce guide de démarrage rapide, vous allez créer un fichier unique contenant les deux.

    1. Créez votre pipeline de livraison et la définition de la cible :

      GKE

      Dans le répertoire deploy-policy-quickstart, créez un fichier nommé clouddeploy.yaml contenant les éléments suivants :

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

      Cloud Run

      Dans le répertoire deploy-policy-quickstart, créez un fichier nommé clouddeploy.yaml contenant les éléments suivants :

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

    2. Enregistrez vos ressources de pipeline et cibles auprès du service Cloud Deploy :

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

      Vous disposez maintenant d'un pipeline de livraison avec une cible.

    3. Confirmez votre pipeline et vos cibles :

      Dans la console Google Cloud , accédez à la page Pipelines de livraison de Cloud Deploy pour afficher la liste de vos pipelines de livraison disponibles.

      Ouvrir la page Pipelines de diffusion

      Le pipeline de livraison que vous venez de créer s'affiche, avec une cible listée dans la colonne Cibles.

      Page du pipeline de livraison dans la console Google Cloud , affichant votre pipeline

    Créer votre règle de déploiement

    Vous pouvez définir la stratégie de déploiement dans le même fichier que votre pipeline de diffusion et vos cibles, ou dans un fichier distinct. Pour ce guide de démarrage rapide, nous le définissons séparément.

    1. Dans le même répertoire dans lequel vous avez créé le pipeline de livraison et les cibles, créez un fichier deploypolicy.yaml avec le contenu suivant :

      apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

      Ce règlement bloque les déploiements pendant 10 ans, à compter du 1er janvier 2024. Il ne s'agit pas d'une règle réaliste. Elle est définie ainsi uniquement pour ce démarrage rapide, afin de s'assurer qu'elle est en place lorsque vous créez votre version.

    2. Enregistrez votre ressource de stratégie de déploiement auprès du service Cloud Deploy :

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Confirmez votre règle de déploiement :

      Dans la console Google Cloud , accédez à la page Règles de déploiement de Cloud Deploy pour afficher la liste de vos règles disponibles.

      Ouvrir la page "Déployer des règles"

      La règle de déploiement que vous venez de créer s'affiche.

      Page "Déployer des règles" dans la console Google Cloud

    Créer une version

    Une version est la ressource Cloud Deploy centrale qui représente les modifications déployées. Le pipeline de livraison définit le cycle de vie de cette version. Pour en savoir plus sur ce cycle de vie, consultez Architecture du service Cloud Deploy.

    GKE

    Exécutez la commande suivante à partir du répertoire deploy-policy-quickstart pour créer la version :

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

    Notez l'option --images=, que vous utilisez pour remplacer l'espace réservé (my-app-image) dans le manifeste ou la définition de service par l'image spécifique qualifiée par SHA. Google vous recommande de créer des modèles de vos fichiers manifestes de cette manière et d'utiliser des noms d'images qualifiés par SHA lors de la création de la version.

    Cloud Run

    Exécutez la commande suivante à partir du répertoire deploy-policy-quickstart pour créer la version :

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

    Notez l'option --images=, que vous utilisez pour remplacer l'espace réservé (my-app-image) dans le manifeste ou la définition de service par l'image spécifique qualifiée par SHA. Google vous recommande de créer des modèles de vos fichiers manifestes de cette manière et d'utiliser des noms d'images qualifiés par SHA lors de la création de la version.

    Dans des circonstances normales, Cloud Deploy crée le déploiement sur la première cible lorsque vous créez la version à l'aide de cette commande. Dans ce cas, comme les déploiements sont limités en fonction de la règle de déploiement, aucun déploiement n'est créé. Un message d'erreur s'affiche sur la ligne de commande :

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Ignorer la restriction liée aux règles

    Pour déployer l'exemple d'application, qui est bloqué par la règle de déploiement, vous devez remplacer cette règle. Pour ce faire, créez un déploiement pour cette version, en incluant cette fois l'option --override-deploy-policies :

    GKE

    Exécutez la commande suivante à partir du répertoire deploy-policy-quickstart pour créer la version :

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Cloud Run

    Exécutez la commande suivante à partir du répertoire deploy-policy-quickstart pour créer la version :

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Comme vous avez inclus --override-deploy-policies=quickstart-deploy-policy et que vous disposez du rôle roles/clouddeploy.policyAdmin, Cloud Deploy ignore la règle de déploiement que vous avez créée et crée le déploiement progressif sur prod-target.

    Afficher les résultats dans la console Google Cloud

    1. Dans la console Google Cloud , accédez de nouveau à la page Pipelines de livraison de Cloud Deploy pour afficher votre pipeline de livraison (deploy-policy-pipeline).

      Ouvrir la page Pipelines de diffusion

    2. Cliquez sur le nom de votre pipeline de livraison (deploy-policy-pipeline).

      La visualisation du pipeline indique l'état de déploiement de l'application. Dans ce cas, comme la règle a été ignorée, le déploiement a été créé et a réussi.

      Visualisation du pipeline de livraison montrant le déploiement

      Votre version est répertoriée dans l'onglet Versions sous Détails du pipeline de diffusion.

    Effectuer un nettoyage

    Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

    1. Supprimez le cluster GKE ou le service Cloud Run :

      GKE 

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

      Cloud Run 

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

    2. Supprimez la règle de déploiement :

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Supprimez le pipeline de livraison, la cible, la version et le déploiement :

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

    4. Supprimez les deux buckets Cloud Storage créés par Cloud Deploy.

      uvrez la page du navigateur Cloud Storage

    Voilà ! Vous avez terminé le guide de démarrage rapide.

    Étapes suivantes