Usar uma política de implantação para restringir lançamentos

Neste guia de início rápido, mostramos como impedir rollouts do Cloud Deploy para um destino durante um período especificado e como substituir essa restrição.

Neste guia de início rápido, você fará o seguinte:

  1. Crie uma configuração do Skaffold e um manifesto do Kubernetes ou uma definição de serviço do Cloud Run para especificar a imagem do contêiner (pré-criada) a ser implantada.

  2. Defina o pipeline de entrega do Cloud Deploy e um destino de implantação, apontando para um cluster do GKE ou um serviço do Cloud Run.

    Esse pipeline inclui apenas uma etapa para um destino.

  3. Configure uma política de implantação para um destino.

    A política define um período em que as implantações para esse destino são proibidas.

  4. Crie uma versão.

    Normalmente, quando você cria uma versão, o Cloud Deploy cria um lançamento para o primeiro destino na progressão do pipeline de entrega. Nesse caso, como há uma política que impede a implantação no destino, o lançamento para esse destino não é criado.

  5. Confira os resultados no console do Google Cloud .

    Devido à política, você não verá um lançamento para a versão, e não haverá nenhuma ação pendente na visualização do pipeline de entrega.

  6. Substitua a política de implantação.

    Essa substituição faz com que o Cloud Deploy crie o lançamento para o destino.

  7. Confira os resultados no console do Google Cloud .

    Como a política foi substituída, você pode ver que há um lançamento em andamento (ou concluído, se já tiver passado tempo suficiente).

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Cloud Deploy, Cloud Build, GKE, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

    14. Se você já tiver a Google Cloud CLI instalada, verifique se está executando a versão mais recente:

    gcloud components update
  14. Verifique se a conta de serviço padrão do Compute Engine tem permissões suficientes.

    A conta de serviço já pode ter as permissões necessárias. Essas etapas estão incluídas para projetos que desativam as concessões automáticas de papéis para contas de serviço padrão.

    1. Primeiro, adicione o papel clouddeploy.jobRunner: 
      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/clouddeploy.jobRunner"
    2. Adicione a função de desenvolvedor para seu ambiente de execução específico.
      • Para o GKE: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/container.developer"

      • Para o Cloud Run: 

        gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/run.developer"

    3. Adicione o papel iam.serviceAccountUser, que inclui a permissão actAs para implantar no ambiente de execução: 
      gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --member=serviceAccount:$(gcloud projects describe PROJECT_ID \
    --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
    --role="roles/iam.serviceAccountUser" \
    --project=PROJECT_ID

    Criar o ambiente de execução

    Se você estiver implantando no Cloud Run, pule este comando.

    Para o GKE, crie um cluster: quickstart-cluster-qsprod. O endpoint de API Kubernetes do cluster precisa ser acessível pela rede da Internet pública. Por padrão, os clusters do GKE podem ser acessados externamente.

    gcloud container clusters create-auto quickstart-cluster-qsprod \
                 --project=PROJECT_ID \
                 --region=us-central1

    Preparar a configuração do Skaffold e o manifesto do aplicativo

    O Cloud Deploy usa o Skaffold para fornecer detalhes sobre o que implantar e como implantar no seu destino.

    Neste guia de início rápido, você cria um arquivo skaffold.yaml, que identifica o manifesto do Kubernetes a ser usado para implantar o app de amostra.

    1. Abra uma janela de terminal.

    2. Crie um novo diretório e navegue até ele.

      mkdir deploy-policy-quickstart
cd deploy-policy-quickstart

    3. Crie um arquivo chamado skaffold.yaml com o seguinte conteúdo:

      GKE 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - k8s-pod.yaml
deploy:
  kubectl: {}

      Cloud Run 

      apiVersion: skaffold/v4beta1
kind: Config
manifests:
  rawYaml:
  - service.yaml
deploy:
  cloudrun: {}

      Esse arquivo é uma configuração mínima do Skaffold. Para este guia de início rápido, você vai criar o arquivo. Mas também é possível fazer com que o Cloud Deploy crie um para você, para aplicativos básicos que não são de produção.

      Consulte a referência do skaffold.yaml para mais informações sobre esse arquivo de configuração.

    4. Crie o manifesto do seu aplicativo: uma definição de serviço para o Cloud Run ou um manifesto do Kubernetes para o GKE.

      GKE

      Crie um arquivo chamado k8s-pod.yaml com o seguinte conteúdo:

      apiVersion: v1
kind: Pod
metadata:
  name: getting-started
spec:
  containers:
  - name: nginx
    image: my-app-image

      Esse arquivo é um manifesto básico do Kubernetes, que é aplicado ao cluster para implantar o aplicativo. A imagem do contêiner a ser implantada é definida aqui como um marcador de posição, my-app-image, que é substituído pela imagem específica quando você cria o lançamento.

      Cloud Run

      Crie um arquivo chamado service.yaml com o seguinte conteúdo:

      apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  name: my-deploy-policy-run-service
spec:
  template:
    spec:
      containers:
      - image: my-app-image

      Esse arquivo é uma definição básica de serviço do Cloud Run, usada para implantar o aplicativo. A imagem do contêiner a ser implantada é definida aqui como um marcador de posição, my-app-image, que é substituído pela imagem específica quando você cria a versão.

    Criar o pipeline e o destino de entrega

    É possível definir o pipeline de entrega e os destinos em um arquivo ou em arquivos separados. Neste guia de início rápido, você cria um único arquivo com os dois.

    1. Crie o pipeline de entrega e a definição de destino:

      GKE

      No diretório deploy-policy-quickstart, crie um novo arquivo: clouddeploy.yaml, com o seguinte conteúdo:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production cluster
gke:
  cluster: projects/PROJECT_ID/locations/us-central1/clusters/quickstart-cluster-qsprod

      Cloud Run

      No diretório deploy-policy-quickstart, crie um novo arquivo: clouddeploy.yaml, com o seguinte conteúdo:

      apiVersion: deploy.cloud.google.com/v1
kind: DeliveryPipeline
metadata:
  name: deploy-policy-pipeline
serialPipeline:
  stages:
  - targetId: prod-target
---

apiVersion: deploy.cloud.google.com/v1
kind: Target
metadata:
  name: prod-target
description: production Run service
run:
  location: projects/PROJECT_ID/locations/us-central1

    2. Registre o pipeline e os recursos de destino com o serviço do Cloud Deploy:

      gcloud deploy apply --file=clouddeploy.yaml --region=us-central1 --project=PROJECT_ID

      Agora você tem um pipeline de entrega com um destino.

    3. Confirme o pipeline e os destinos:

      No console Google Cloud , navegue até a página Pipelines de entrega do Cloud Deploy para conferir a lista dos seus pipelines de entrega disponíveis.

      Abrir a página "Pipelines de entrega"

      O pipeline de entrega que você acabou de criar é mostrado, com um destino listado na coluna Destinos.

      Página do pipeline de entrega no console do Google Cloud , mostrando seu pipeline

    Criar sua política de implantação

    É possível definir a política de implantação no mesmo arquivo que o pipeline de entrega e os destinos ou em um arquivo separado. Para este guia de início rápido, vamos definir isso separadamente.

    1. No mesmo diretório em que você criou o pipeline de entrega e os destinos, crie um arquivo chamado deploypolicy.yaml com o seguinte conteúdo:

      apiVersion: deploy.cloud.google.com/v1
description: Restrict all rollouts in the deploy-policy-pipeline resource for the next ten years
kind: DeployPolicy
metadata:
  name: quickstart-deploy-policy
selectors:
- deliveryPipeline:
    id: 'deploy-policy-pipeline'
rules:
- rolloutRestriction:
    id: no-rollouts
    timeWindows:
      timeZone: America/New_York
      oneTimeWindows:
      - start: 2024-01-01 00:00
        end: 2034-01-01 24:00

      Essa política bloqueia lançamentos por 10 anos, a partir de 1º de janeiro de 2024. Essa não é uma política realista. Ela é feita assim apenas para este guia de início rápido, para garantir que a política esteja em vigor quando você criar o lançamento.

    2. Registre o recurso de política de implantação com o serviço Cloud Deploy:

      gcloud deploy apply --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Confirme sua política de implantação:

      No console Google Cloud , navegue até a página Políticas de implantação do Cloud Deploy para conferir a lista das políticas disponíveis.

      Abra a página "Implantar políticas"

      A política de implantação que você acabou de criar é mostrada.

      página de políticas de implantação no console Google Cloud

    Criar uma versão

    Uma versão é o recurso central do Cloud Deploy que representa as mudanças que estão sendo implantadas. O pipeline de entrega define o ciclo de vida dessa versão. Consulte Arquitetura de serviço do Cloud Deploy para mais detalhes sobre esse ciclo de vida.

    GKE

    Execute o comando a seguir no diretório deploy-policy-quickstart para criar a versão:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=gcr.io/google-containers/nginx@sha256:f49a843c290594dcf4d193535d1f4ba8af7d56cea2cf79d1e9554f077f1e7aaa

    Observe a flag --images=, que você usa para substituir o marcador de posição (my-app-image) no manifesto ou na definição de serviço pela imagem específica qualificada por SHA. O Google recomenda que você crie modelos dos seus manifestos dessa forma e use nomes de imagens qualificados por SHA na criação do lançamento.

    Cloud Run

    Execute o comando a seguir no diretório deploy-policy-quickstart para criar a versão:

     gcloud deploy releases create test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --images=my-app-image=us-docker.pkg.dev/cloudrun/container/hello@sha256:95ade4b17adcd07623b0a0c68359e344fe54e65d0cb01b989e24c39f2fcd296a

    Observe a flag --images=, que você usa para substituir o marcador de posição (my-app-image) no manifesto ou na definição de serviço pela imagem específica qualificada por SHA. O Google recomenda que você crie modelos dos seus manifestos dessa forma e use nomes de imagens qualificados por SHA na criação do lançamento.

    Em circunstâncias normais, o Cloud Deploy cria o lançamento para o primeiro destino quando você cria a versão usando esse comando. Nesse caso, como os rollouts são restritos de acordo com a política de implantação, nenhum rollout é criado. Uma mensagem de erro é mostrada na linha de comando:

    ERROR: (gcloud.deploy.releases.create) A create-rollout attempt was blocked by the "quickstart-deploy-policy" policy. Target: "prod-target", Delivery pipeline: "deploy-policy-pipeline", policy rule: "no-rollouts"

    Substituir a restrição de política

    Para implantar o aplicativo de amostra, que é bloqueado pela política de implantação, você precisa substituir essa política. Para fazer isso, crie um novo lançamento progressivo para essa versão, incluindo a opção --override-deploy-policies:

    GKE

    Execute o comando a seguir no diretório deploy-policy-quickstart para criar a versão:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Cloud Run

    Execute o comando a seguir no diretório deploy-policy-quickstart para criar a versão:

     gcloud deploy releases promote --release=test-release-001 \
   --project=PROJECT_ID \
   --region=us-central1 \
   --delivery-pipeline=deploy-policy-pipeline \
   --to-target=prod-target \
   --override-deploy-policies=quickstart-deploy-policy

    Como você incluiu --override-deploy-policies=quickstart-deploy-policy e tem a função roles/clouddeploy.policyAdmin, o Cloud Deploy ignora a política de implantação criada e cria o lançamento para o prod-target.

    Conferir os resultados no console do Google Cloud

    1. No console Google Cloud , navegue novamente até a página Pipelines de entrega do Cloud Deploy para conferir seu pipeline de entrega (deploy-policy-pipeline).

      Abrir a página "Pipelines de entrega"

    2. Clique no nome do pipeline de entrega (deploy-policy-pipeline).

      A visualização do pipeline mostra o status de implantação do app. Nesse caso, como a política foi substituída, o lançamento foi criado e concluído.

      Visualização do pipeline de entrega mostrando o lançamento

      E sua versão é listada na guia Versões em Detalhes do pipeline de entrega.

    Limpar

    Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

    1. Exclua o cluster do GKE ou o serviço do Cloud Run:

      GKE 

      gcloud container clusters delete quickstart-cluster-qsprod --region=us-central1 --project=PROJECT_ID

      Cloud Run 

      gcloud run services delete my-deploy-policy-run-service --region=us-central1 --project=PROJECT_ID

    2. Exclua a política de implantação:

      gcloud deploy delete --file=deploypolicy.yaml --region=us-central1 --project=PROJECT_ID

    3. Exclua o pipeline de entrega, o destino, a versão e o lançamento:

      gcloud deploy delete --file=clouddeploy.yaml --force --region=us-central1 --project=PROJECT_ID

    4. Exclua os dois buckets do Cloud Storage criados pelo Cloud Deploy.

      Abrir a página "Procurar" do Cloud Storage

    Pronto, você concluiu as etapas deste início rápido.

    A seguir