使用 Google Cloud Deploy 执行环境

Google Cloud Deploy 执行环境是指 Google Cloud Deploy 在其中执行渲染、部署和验证操作的环境。执行环境包含以下组件：

本文介绍 Google Cloud Deploy 的默认执行环境、服务帐号和存储，以及更改这些默认值的原因和方式。

默认值

以下是 Google Cloud Deploy 用于运行、执行渲染和部署以及存储已渲染清单等资产的默认值：

默认工作器池

默认情况下，Google Cloud Deploy 在默认的 Cloud Build 工作器池中运行。不过，您可以将 Google Cloud Deploy 配置为使用 Cloud Build 专用工作器池。

如需详细了解工作器池，请参阅 Cloud Build 默认池和专用池概览。
默认执行服务帐号

默认情况下，Google Cloud Deploy 使用默认 Compute Engine 服务帐号。
默认 Google Cloud Deploy 存储位置

此值是 Google Cloud Deploy 存储已渲染清单的 Cloud Storage 存储桶。默认情况下，Google Cloud Deploy 会在 Google Cloud Deploy 资源所在的区域中创建一个 Cloud Storage 存储桶，格式如下：

<location>.deploy-artifacts.<project ID>.appspot.com
默认 Cloud Build 超时

默认情况下，Cloud Build 为 Google Cloud Deploy 执行的操作的超时时间为 1 小时。您可以在目标配置的执行环境规范中更改该超时。

以下各部分介绍在哪些情况下更改这些值，还提供了相关操作说明链接。

Google Cloud Deploy 执行环境可以使用以下任一内容：

Cloud Build 默认池

默认工作器池是一个可以访问公共互联网的安全托管环境。渲染、部署和验证操作会在该池中执行，与其他工作负载隔离。
专用池

专用工作器池是专用池，可以自定义性高于默认工作器池。这种自定义可以包括访问专用网络中的资源。与默认工作器池一样，专用工作器池由 Cloud Build 托管和完全托管。这些池可以纵向扩容或缩容至零，无需设置、升级或扩缩基础架构。

Cloud Build 专用池概览更全面地介绍了默认工作器池和专用工作器池，包括比较它们的功能的表。

在以下情况下，您可以更改 Google Cloud Deploy 执行环境：

执行环境所有三个部分的配置（工作器池、服务帐号和存储）按目标在每个目标的 YAML 配置中完成。

您可以按目标配置工作器池，以便仅为该目标使用 RENDER、DEPLOY 或 VERIFY（或三者的组合）。

如需在渲染和部署操作中使用默认工作器池，您无需执行任何操作。

以下是一个示例目标配置，该配置为 DEPLOY 指定专用工作器池，并为 RENDER 和 VERIFY 指定默认工作器池：

executionConfigs:
- usages:
  - DEPLOY
  workerPool: "projects/p123/locations/us-central1/workerPools/wp123"
- usages:
  - RENDER
  - VERIFY

如需详细了解如何为目标配置专用池，请参阅交付流水线配置文档。

与工作器池一样，可为每个目标指定用于渲染和/或部署的备用服务帐号。为此，需要将以下行添加到目标配置中 workerPool 元素后面：

serviceAccount: "[name]@[project_name].iam.gserviceaccount.com"

指定的服务帐号必须包含 clouddeploy.jobRunner 角色，如 Google Cloud Deploy 服务帐号文档中所述。

如需详细了解此配置，请参阅目标定义。

如需从 Google Cloud Deploy 的默认设置更改存储桶，请将以下行添加到 workerPool 节的目标定义中：

artifactStorage: "gs://[bucket_name]/[dir]"

此配置会更改已渲染清单的存储位置，但不会影响渲染来源的存储位置。

Google Cloud Deploy 支持 VPC Service Controls。

您可以按照 VPC Service Controls 快速入门来设置服务边界。