Usa entornos de ejecución de Cloud Deploy

Un entorno de ejecución de Cloud Deploy es el entorno en el que Cloud Deploy ejecuta sus operaciones de renderización, implementación previa, implementación, verificación y implementación posterior. El entorno de ejecución consta de los siguientes componentes:

• El grupo de trabajadores de Cloud Build (predeterminado o privado) en el que Cloud Deploy ejecuta operaciones de renderización, implementación previa, implementación, verificación y posterior a la implementación.

• La cuenta de servicio (predeterminada o alternativa) que llama a Cloud Deploy para realizar estas acciones

• La ubicación de almacenamiento (predeterminada o alternativa) para los manifiestos renderizados en Cloud Storage

• Tiempo de espera de Cloud Build para las operaciones (predeterminado o personalizado)

En este artículo, se describen el entorno de ejecución predeterminado, las cuentas de servicio y el almacenamiento para Cloud Deploy, además de por qué y cómo puedes cambiar estos valores predeterminados.

Valores predeterminados

Los siguientes son los valores predeterminados que Cloud Deploy usa para ejecutarse, ejecutar la renderización y la implementación, y para almacenar recursos, como manifiestos renderizados:

• Grupo de trabajadores predeterminado

  Según la configuración predeterminada, Cloud Deploy se ejecuta en el grupo predeterminado de trabajadores de Cloud Build. Sin embargo, puedes configurar Cloud Deploy para que use un grupo de trabajadores privados de Cloud Build.

  Para obtener más detalles sobre los grupos de trabajadores, consulta la Descripción general de los grupos predeterminados y privados de Cloud Build.

• Cuenta de servicio de ejecución predeterminada

  De forma predeterminada, Cloud Deploy usa la cuenta de servicio predeterminada de Compute Engine.

• Ubicación del almacenamiento predeterminada de Cloud Deploy

  Este valor es el bucket de Cloud Storage en el que Cloud Deploy almacena tus manifiestos renderizados. De forma predeterminada, Cloud Deploy crea un bucket de Cloud Storage en la misma región que los recursos de Cloud Deploy, con el siguiente formato:

  <location>.deploy-artifacts.<project ID>.appspot.com

• Tiempo de espera predeterminado de Cloud Build

  De forma predeterminada, Cloud Build tiene un tiempo de espera de 1 hora en las operaciones que realiza para Cloud Deploy. Puedes cambiar ese tiempo de espera en la especificación del entorno de ejecución en la configuración de destino.

En las siguientes secciones, se describen las circunstancias en las que cambiarías cualquiera de estos valores y se incluyen vínculos a las instrucciones para hacerlo.

Acerca de los grupos de trabajadores de Cloud Build

El entorno de ejecución de Cloud Deploy puede usar una de las siguientes opciones:

• El grupo predeterminado de Cloud Build

  El grupo predeterminado de trabajadores es un entorno seguro y alojado con acceso a la Internet pública. Las operaciones de renderización, implementación, implementación previa, posterior y verificación se ejecutan en ese grupo, aisladas de otras cargas de trabajo.

• Un grupo privado

  Los grupos de trabajadores privados son grupos privados y dedicados que se pueden personalizar más que el grupo de trabajadores predeterminado. Esa personalización puede incluir la capacidad de acceder a recursos en una red privada. Al igual que el grupo de trabajadores predeterminado, los grupos de trabajadores privados están alojados y completamente administrados por Cloud Build. Estos grupos pueden escalar o reducir la escala verticalmente a cero, sin necesidad de configurar, actualizar ni escalar la infraestructura.

  En la descripción general de los grupos privados de Cloud Build, se describen con más detalle los grupos de trabajadores predeterminados y los grupos de trabajadores privados, incluida una tabla en la que se comparan sus funciones.

Cambia el entorno de ejecución de Cloud Deploy

Puedes cambiar el entorno de ejecución de Cloud Deploy en las siguientes circunstancias:

• Deseas implementar un clúster privado de Google Kubernetes Engine

• Deseas renderizar, implementar, implementar antes, después de la implementación o verificar operaciones, o una combinación de las cinco, que se realice en un entorno aislado de otras organizaciones.

• Quieres que estas operaciones se realicen en un entorno que no esté conectado a la Internet pública.

• Quieres entornos separados para la renderización y la implementación.

• Deseas usar una cuenta de servicio dedicada con permisos que sean más específicos para tu uso que los permisos disponibles en la cuenta de servicio predeterminada.

• Deseas almacenar manifiestos renderizados en una ubicación diferente del bucket predeterminado de Cloud Storage.

La configuración de las tres partes del entorno de ejecución (grupo de trabajadores, cuenta de servicio y almacenamiento) se realiza por objetivo en la configuración YAML de cada destino.

Cambia del grupo predeterminado a uno privado

Debes configurar grupos de trabajadores por destino, de modo que el grupo se use para RENDER, DEPLOY, PREDEPLOY, POSTDEPLOY o VERIFY (o una combinación de los cinco) solo para ese destino.

Si quieres usar el grupo de trabajadores predeterminado para las operaciones de renderización y de implementación, no necesitas hacer nada.

La siguiente es una configuración de destino de muestra que especifica un grupo de trabajadores privados para DEPLOY y el grupo de trabajadores predeterminado para RENDER, PREDEPLOY, POSTDEPLOY y VERIFY:

executionConfigs:
- usages:
  - DEPLOY
  privatePool:
    workerPool: "projects/p123/locations/us-central1/workerPools/wp123"
- usages:
  - RENDER
  - PREDEPLOY
  - VERIFY
  - POSTDEPLOY

Si quieres obtener más información sobre cómo configurar grupos privados para los destinos, consulta la documentación de configuración de la canalización de entrega.

Cambia de la cuenta de servicio de ejecución predeterminada a la personalizada

Al igual que con el grupo de trabajadores, puedes especificar una cuenta de servicio alternativa para procesar o implementar (o ambos) por objetivo. Para ello, agrega la siguiente línea a la configuración de destino, después del elemento workerPool:

serviceAccount: "[name]@[project_name].iam.gserviceaccount.com"

La cuenta de servicio especificada debe incluir la función clouddeploy.jobRunner, como se describe en el documento Cuentas de servicio de Cloud Deploy.

Consulta Definiciones de los objetivos para obtener más detalles sobre esta configuración.

Cómo cambiar la ubicación de almacenamiento

Para cambiar el bucket de almacenamiento del valor predeterminado de Cloud Deploy, agrega la siguiente línea a la definición del destino en la estrofa workerPool:

artifactStorage: "gs://[bucket_name]/[dir]"

Esta configuración cambia la ubicación en la que se almacenan los manifiestos renderizados, pero no afecta dónde se almacena la fuente de renderización.

Usa Cloud Deploy en un perímetro de Controles del servicio de VPC

Cloud Deploy admite los Controles del servicio de VPC.

Puedes seguir la guía de inicio rápido de los Controles del servicio de VPC para configurar un perímetro de servicio.

Limitaciones

• Debes usar un grupo privado de trabajadores de Cloud Build para el entorno de ejecución del destino, no el grupo de trabajadores predeterminado.

• El proyecto que contiene el grupo de trabajadores y el que contiene los recursos de Cloud Deploy deben permanecer en el mismo perímetro de seguridad de los Controles del servicio de VPC.

• Cualquier clúster de GKE que implementes en el perímetro de los Controles del servicio de VPC debe ser un clúster privado.

  A fin de configurar un grupo privado para un clúster privado, consulta este instructivo.

¿Qué sigue?

• Obtén más información sobre la configuración de destino de Cloud Deploy.

• Obtén más información sobre los grupos privados de Cloud Build.

• Lee sobre cómo Cloud Build usa los Controles del servicio de VPC.

• Obtén información sobre cómo Cloud Deploy usa cuentas de servicio.

• Acceder a clústeres privados de GKE con grupos privados de Cloud Build.