Utilizzare una policy di deployment per limitare i rollout

Questa guida rapida mostra come impedire i rollout di Cloud Deploy a una destinazione durante un periodo di tempo specificato e come ignorare questa limitazione.

In questa guida rapida imparerai a:

  1. Crea una configurazione Skaffold e un manifest Kubernetes o una definizione del servizio Cloud Run per specificare l'immagine del container (predefinito) da eseguire il deployment.

  2. Definisci la pipeline di distribuzione di Cloud Deploy e un target di deployment che punta a un cluster GKE o a un servizio Cloud Run.

    Questa pipeline include una sola fase, per un solo target.

  3. Configura una policy di deployment per una destinazione.

    Il criterio definisce un intervallo di date durante il quale vietare i rollout a questa destinazione.

  4. Crea una release.

    In genere, quando crei una release, Cloud Deploy crea un rollout per il primo target nella progressione della pipeline di distribuzione. In questo caso, poiché esiste una norma che impedisce il deployment sulla destinazione, il rollout per quella destinazione non viene creato.

  5. Visualizza i risultati nella console Google Cloud .

    A causa della policy, non vedrai un rollout per la release e non è presente alcuna azione in attesa nella visualizzazione della pipeline di distribuzione.

  6. Esegui l'override della policy di deployment.

    Questo override fa sì che Cloud Deploy crei ora il rollout per il target.

  7. Visualizza i risultati nella console Google Cloud .

    Poiché le norme sono state sostituite, puoi vedere che è in corso (o è stato completato, se è passato abbastanza tempo) un rollout.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

    14. Se hai già installato Google Cloud CLI, assicurati di eseguire l'ultima versione:

    gcloud components update
  14. Assicurati che l'account di servizio Compute Engine predefinito disponga delle autorizzazioni necessarie.

    Il account di servizio potrebbe già disporre delle autorizzazioni necessarie. Questi passaggi sono inclusi per i progetti che disattivano la concessione automatica dei ruoli per i service account predefiniti.

    1. Per prima cosa, aggiungi il ruolo clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Aggiungi il ruolo di sviluppatore per il runtime specifico.
      • Per GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Per Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Aggiungi il ruolo iam.serviceAccountUser, che include l'autorizzazione actAs per eseguire il deployment nel runtime: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

    Crea l'ambiente di runtime

    Se esegui il deployment su Cloud Run, puoi saltare questo comando.

    Per GKE, crea un cluster: quickstart-cluster-qsprod. L'endpoint API Kubernetes del cluster deve essere raggiungibile dalla rete internet pubblica. I cluster GKE sono accessibili esternamente per impostazione predefinita.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

    Prepara la configurazione di Skaffold e il manifest dell'applicazione

    Cloud Deploy utilizza Skaffold per fornire i dettagli su cosa eseguire il deployment e come eseguirlo nel tuo target.

    In questa guida rapida, crei un file skaffold.yaml, che identifica il manifest Kubernetes da utilizzare per il deployment dell'app di esempio.

    1. Apri una finestra del terminale.

    2. Crea una nuova directory e accedi alla directory.

      mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    3. Crea un file denominato skaffold.yaml con i seguenti contenuti:

      GKE 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

      Cloud Run 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

      Questo file è una configurazione Skaffold minima. Per questa guida rapida, crea il file. Tuttavia, puoi anche chiedere a Cloud Deploy di crearne uno per te per applicazioni di base non di produzione.

      Per ulteriori informazioni su questo file di configurazione, consulta il riferimento skaffold.yaml.

    4. Crea il manifest per la tua applicazione: una definizione di servizio per Cloud Run o un manifest Kubernetes per GKE.

      GKE

      Crea un file denominato k8s-pod.yaml con i seguenti contenuti:

      apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

      Questo file è un manifest Kubernetes di base, che viene applicato al cluster per eseguire il deployment dell'applicazione. L'immagine container di cui eseguire il deployment è impostata qui come segnaposto, my-app-image, che viene sostituito con l'immagine specifica quando crei la release.

      Cloud Run

      Crea un file denominato service.yaml con i seguenti contenuti:

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

      Questo file è una definizione di base del servizio Cloud Run, che viene utilizzata per eseguire il deployment dell'applicazione. L'immagine container da eseguire il deployment è impostata qui come segnaposto, my-app-image, che viene sostituito con l'immagine specifica quando crei la release.

    Crea la pipeline di distribuzione e il target

    Puoi definire la pipeline di pubblicazione e i target in un unico file o in file separati. In questa guida rapida, creerai un unico file con entrambi.

    1. Crea la pipeline di distribuzione e la definizione del target:

      GKE

      Nella directory deploy-policy-quickstart, crea un nuovo file: clouddeploy.yaml, con il seguente contenuto:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

      Cloud Run

      Nella directory deploy-policy-quickstart, crea un nuovo file: clouddeploy.yaml, con il seguente contenuto:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

    2. Registra la pipeline e le risorse di destinazione con il servizio Cloud Deploy:

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

      Ora hai una pipeline di distribuzione con una destinazione.

    3. Conferma la pipeline e i target:

      Nella console Google Cloud , vai alla pagina Pipeline di distribuzione di Cloud Deploy per visualizzare un elenco delle pipeline di distribuzione disponibili.

      Apri la pagina Pipeline di distribuzione

      Viene visualizzata la pipeline di distribuzione appena creata, con un target elencato nella colonna Target.

      Pagina della pipeline di distribuzione nella console Google Cloud , che mostra la pipeline

    Crea la policy di deployment

    Puoi definire il criterio di deployment nello stesso file della pipeline di distribuzione e delle destinazioni oppure puoi definirlo in un file separato. Per questa guida rapida, lo definiamo separatamente.

    1. Nella stessa directory in cui hai creato la pipeline di distribuzione e i target, crea un nuovo file, deploypolicy.yaml, con il seguente contenuto:

      apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

      Queste norme bloccano i rollout per 10 anni, a partire dal 1° gennaio 2024. Questa non è una norma realistica; viene eseguita in questo modo solo per questa guida rapida, per garantire che la norma sia in vigore quando crei la release.

    2. Registra la risorsa della policy di deployment con il servizio Cloud Deploy:

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Conferma la policy di deployment:

      Nella console Google Cloud , vai alla pagina Policy di deployment di Cloud Deploy per visualizzare un elenco delle policy disponibili.

      Apri la pagina Deploy delle policy

      Viene visualizzata la policy di deployment che hai appena creato.

      pagina delle policy di deployment nella console Google Cloud

    Crea una release

    Una release è la risorsa centrale di Cloud Deploy che rappresenta le modifiche di cui viene eseguito il deployment. La pipeline di distribuzione definisce il ciclo di vita di questa release. Per i dettagli su questo ciclo di vita, consulta Architettura del servizio Cloud Deploy.

    GKE

    Esegui questo comando dalla directory deploy-policy-quickstart per creare la release:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

    Nota il flag --images=, che utilizzi per sostituire il segnaposto (my-app-image) nel manifest o nella definizione del servizio con l'immagine specifica qualificata SHA. Google consiglia di creare template per i manifest in questo modo e di utilizzare nomi di immagini qualificati SHA al momento della creazione della release.

    Cloud Run

    Esegui questo comando dalla directory deploy-policy-quickstart per creare la release:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

    Nota il flag --images=, che utilizzi per sostituire il segnaposto (my-app-image) nel manifest o nella definizione del servizio con l'immagine specifica qualificata SHA. Google consiglia di creare template per i manifest in questo modo e di utilizzare nomi di immagini qualificati SHA al momento della creazione della release.

    In circostanze normali, Cloud Deploy crea il rollout nel primo target quando crei la release utilizzando questo comando. In questo caso, poiché le implementazioni sono limitate in base alle norme di deployment, non viene creata alcuna implementazione. Nella riga di comando viene visualizzato un messaggio di errore:

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Eseguire l'override della limitazione prevista dalle norme

    Per eseguire il deployment dell'applicazione di esempio, che è bloccata dalla policy di deployment, devi ignorare questa policy. A questo scopo, crea un nuovo rollout per questa release, questa volta includendo l'opzione --override-deploy-policies:

    GKE

    Esegui questo comando dalla directory deploy-policy-quickstart per creare la release:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Cloud Run

    Esegui questo comando dalla directory deploy-policy-quickstart per creare la release:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Poiché hai incluso --override-deploy-policies=quickstart-deploy-policy e poiché disponi del ruolo roles/clouddeploy.policyAdmin, Cloud Deploy ignora le norme di deployment che hai creato e crea l'implementazione al prod-target.

    Visualizza i risultati nella console Google Cloud

    1. Nella console Google Cloud , vai di nuovo alla pagina Pipeline di distribuzione di Cloud Deploy per visualizzare la pipeline di distribuzione (deploy-policy-pipeline).

      Apri la pagina Pipeline di distribuzione

    2. Fai clic sul nome della pipeline di distribuzione (deploy-policy-pipeline).

      La visualizzazione della pipeline mostra lo stato del deployment dell'app. In questo caso, poiché il criterio è stato sostituito, l'implementazione è stata creata ed è riuscita.

      Visualizzazione della pipeline di distribuzione che mostra l'implementazione

      La tua uscita è elencata nella scheda Uscite in Dettagli della pipeline di distribuzione.

    Esegui la pulizia

    Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

    1. Elimina il cluster GKE o il servizio Cloud Run:

      GKE 

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

      Cloud Run 

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

    2. Elimina la policy di deployment:

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Elimina la pipeline di distribuzione, la destinazione, la release e l'implementazione:

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

    4. Elimina entrambi i bucket Cloud Storage creati da Cloud Deploy.

      Apri la pagina del browser Cloud Storage

    Ecco fatto, hai completato questa guida rapida.

    Passaggi successivi