Usar uma política de implantação para restringir lançamentos

Neste guia de início rápido, mostramos como impedir lançamentos do Cloud Deploy para um destino durante um período específico e como substituir essa restrição.

Neste guia de início rápido, você fará o seguinte:

  1. Crie uma configuração do Skaffold e um manifesto do Kubernetes ou Definição do serviço do Cloud Run para especificar o contêiner (pré-criado) a ser implantada.

  2. Defina o pipeline de entrega do Cloud Deploy e um destino de implantação, apontando para um cluster do GKE ou um serviço do Cloud Run.

    Esse pipeline inclui apenas um estágio, para o destino.

  3. Configurar uma política de implantação para um destino.

    A política define um período de datas em que os lançamentos são proibidos para esse destino.

  4. Crie uma versão.

    Normalmente, quando você cria uma versão, o Cloud Deploy cria um lançamento para o primeiro destino na progressão do pipeline de entrega. Em neste caso, como há uma política impedindo a implantação no destino, lançamento para esse destino não é criado.

  5. Confira os resultados no console do Google Cloud.

    Por causa da política, você não verá um lançamento da versão, e há nenhuma ação pendente na visualização do pipeline de entrega.

  6. Modifique a política de implantação.

    Essa substituição faz com que o Cloud Deploy crie o lançamento para o destino.

  7. Confira os resultados no console do Google Cloud.

    Como a política foi substituída, é possível ver que há um lançamento em andamento (ou concluído, se já passou tempo suficiente).

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  9. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

    12. Se você já tiver a Google Cloud CLI instalada, verifique se está executando a versão mais recente:

    gcloud components update
  12. Verifique se o padrão A conta de serviço do Compute Engine tem permissões suficientes.

    A conta de serviço já pode ter as permissões necessárias. Estas etapas são incluídas para projetos que desativam concessões automáticas de papéis para contas de serviço.

    1. Primeiro, adicione o papel clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Adicione o papel clouddeploy.policyAdmin:
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.policyAdmin"
    3. Adicione a função de desenvolvedor para o ambiente de execução específico.
      • Para o GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Para o Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    4. Adicione o papel iam.serviceAccountUser, que inclui a permissão actAs para implantar no ambiente de execução: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

Criar o ambiente de execução

Se você estiver implantando no Cloud Run, pule este comando.

Para o GKE, crie um cluster: quickstart-cluster-qsprod. O endpoint de API Kubernetes do cluster precisa ser acessível pela rede do público Internet. Por padrão, os clusters do GKE podem ser acessados externamente.

gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

Preparar a configuração do Skaffold e o manifesto do aplicativo

O Cloud Deploy usa o Skaffold para fornecer os detalhes sobre o que implantar e como implantar no destino.

Neste guia de início rápido, você vai criar um arquivo skaffold.yaml, que identifica o manifesto do Kubernetes a ser usado para implantar o app de exemplo.

  1. Abra uma janela de terminal.

  2. Crie um novo diretório e navegue até ele.

    GKE; 

    mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    Cloud Run 

    mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

  3. Crie um arquivo chamado skaffold.yaml com o seguinte conteúdo:

    GKE; 

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

    Cloud Run 

    apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

    Esse arquivo é uma configuração mínima do Skaffold. Para este guia de início rápido, você vai criar o arquivo. Mas você também pode deixe o Cloud Deploy criar uma para você, para aplicativos básicos que não são de produção.

    Consulte a referência do skaffold.yaml para mais informações sobre esse arquivo de configuração.

  4. Crie o manifesto do seu aplicativo, uma definição de serviço do Cloud Run ou um manifesto do Kubernetes para o GKE.

    GKE;

    Crie um arquivo chamado k8s-pod.yaml com o seguinte conteúdo:

    apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

    Esse arquivo é um manifesto básico do Kubernetes, que é aplicado ao cluster para implantar o aplicativo.

    Cloud Run

    Crie um arquivo chamado service.yaml com o seguinte conteúdo:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

    Esse arquivo é uma definição básica do serviço do Cloud Run, que é usada no momento do deploy para criar seu serviço do Cloud Run.

Criar o pipeline de entrega e o destino

É possível definir o pipeline de entrega e os destinos em um arquivo ou em arquivos separados. Neste guia de início rápido, você criará um único arquivo com ambos.

  1. Crie o pipeline de entrega e a definição do destino:

    GKE;

    No diretório deploy-policy-quickstart, crie um novo arquivo: clouddeploy.yaml, com o seguinte conteúdo:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

    Cloud Run

    No diretório deploy-policy-quickstart, crie um novo arquivo: clouddeploy.yaml, com o seguinte conteúdo:

    apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

  2. Registre o pipeline e os recursos de destino com o serviço do Cloud Deploy:

    gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

    Agora você tem um pipeline de entrega com um destino.

  3. Confirme o pipeline e os destinos:

    No console do Google Cloud, navegue até a página Pipelines de entrega do Cloud Deploy para conferir a lista dos seus pipelines de entrega disponíveis.

    Abrir a página "Pipelines de entrega"

    O pipeline de entrega que você acabou de criar é mostrado, com um destino listado na coluna Destinos.

    página do pipeline de entrega no console do Google Cloud, mostrando o pipeline

Crie sua política de implantação

É possível definir a política de implantação no mesmo arquivo que o pipeline de entrega e os destinos ou em um arquivo separado. Para este guia de início rápido, vamos defini-lo separadamente.

  1. No mesmo diretório em que você criou o pipeline de entrega e os destinos, crie um novo arquivo, deploypolicy.yaml, com o seguinte conteúdo:

    apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

    Essa política bloqueia lançamentos por 10 anos a partir de 1o de janeiro de 2024. Isso não é uma política realista; Isso foi feito dessa forma apenas neste guia de início rápido, para confira se ela está em vigor ao criar a versão.

  2. Registre o recurso de política de implantação com o serviço do Cloud Deploy:

    gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Confirme sua política de implantação:

    No console do Google Cloud, acesse a página Deploy policies do Cloud Deploy para conferir a lista de políticas disponíveis.

    Abrir a página "Implementar políticas"

    A política de implantação que você acabou de criar é exibida.

    página de políticas de implantação no console do Google Cloud

Criar uma versão

Uma versão é o recurso central do Cloud Deploy que representa as alterações que estão sendo implantadas. O pipeline de entrega define o ciclo de vida dessa versão. Consulte Arquitetura de serviço do Cloud Deploy para detalhes sobre esse ciclo de vida.

GKE;

Execute o comando abaixo no diretório deploy-policy-quickstart para criar a versão:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

Cloud Run

Execute o seguinte comando no diretório deploy-policy-quickstart para crie a versão:

 gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:4a856b6f1c3ce723a456ddc2adfbb794cbfba93f727e2d96fcf6540bd0d6fff4

Em circunstâncias normais, o Cloud Deploy cria o lançamento para o primeiro destino quando você cria a versão usando esse comando. Nesse caso, como os lançamentos são restritos de acordo com a política de implantação, nenhum lançamento é criado. Uma mensagem de erro é exibida linha de comando:

ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

Substituir a restrição de política

Para implantar o aplicativo de amostra, que está bloqueado pela política de implantação, você substitua essa política. Para isso, crie um novo lançamento nessa lançamento, desta vez incluindo a opção --override-deploy-policies:

GKE;

Execute o comando abaixo no diretório deploy-policy-quickstart para criar a versão:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Cloud Run

Execute o seguinte comando no diretório deploy-policy-quickstart para crie a versão:

 gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

Como você incluiu --override-deploy-policies=quickstart-deploy-policy e tem a função roles/clouddeploy.policyAdmin, o Cloud Deploy ignora a política de implantação criada e cria o lançamento para o prod-target.

Conferir os resultados no console do Google Cloud

  1. No console do Google Cloud, navegue novamente até a página Pipelines de entrega do Cloud Deploy para conferir seu pipeline de entrega (deploy-policy-pipeline).

    Abrir a página "Pipelines de entrega"

  2. Clique no nome do pipeline de entrega (deploy-policy-pipeline).

    A visualização do pipeline mostra o status de implantação do aplicativo. Nesse caso, como a política foi substituída, o lançamento foi criado e concluído.

    Visualização do pipeline de entrega mostrando o lançamento

    E sua versão é listada na guia Versões em Detalhes do pipeline de entrega.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

  1. Exclua o cluster do GKE ou o serviço do Cloud Run:

    GKE; 

    gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

    Cloud Run 

    gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

  2. Exclua a política de implantação:

    gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

  3. Exclua o pipeline de entrega, o destino, a versão e o lançamento:

    gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

  4. Exclua os dois buckets do Cloud Storage que o Cloud Deploy criados.

    Abrir a página "Procurar" do Cloud Storage

Pronto, você concluiu as etapas deste início rápido.

A seguir