Sicherheit der Ausführungsumgebung
Jede Funktion wird auf einem versionierten Laufzeit-Image in der sicheren Ausführungsumgebung von Cloud Run-Funktionen ausgeführt. Laufzeit-Images enthalten Betriebssystembibliotheken, Sprachlaufzeiten und andere Systempakete. Google verwaltet alle Laufzeit-Images der Cloud Run-Funktionen und veröffentlicht nach einem Zeitraum der Stabilitätstests Sicherheitspatches und Wartungsupdates.
Laufzeit-Images
Jeder Laufzeit ist ein öffentliches Laufzeit-Image (auch als Ausführungs-Image bezeichnet) in einem öffentlichen Repository auf gcr.io
zugeordnet. Eine Liste der Laufzeit-IDs und ihrer Laufzeit-Images finden Sie unter Laufzeiten.
Laufzeit-Image identifizieren
Sie können das Laufzeit-Image identifizieren, das zum Erstellen Ihrer Funktion verwendet wurde. Sehen Sie sich dazu die Build-Logs für Ihre Funktion an.
Suchen Sie in den Build-Logs nach google.run-image
. Dadurch erhalten Sie den Logeintrag aus dem Build-Schritt, der die Version des Laufzeit-Images beschreibt, mit dem Ihre Funktion erstellt wird. Ein Logeintrag für eine Node.js-Funktion könnte beispielsweise so aussehen:
{
...
"textPayload": "Step #2 - \"build\": Adding image label google.run-image:
us.gcr.io/serverless-runtimes/google-22-full/runtimes/nodejs20:nodejs20_20241110_20_18_0_RC00
",
...
}
Richtlinie für Sicherheitsupdates
Sie können eine der folgenden Richtlinien für Sicherheitsupdates auswählen:
Automatische Updates (Standard): Aktualisierungen und Sicherheitspatches für die Laufzeitumgebung werden in neuen Versionen des Laufzeit-Images veröffentlicht. Nach einem Testzeitraum, der auf Stabilität und Zuverlässigkeit prüft, wird die aktualisierte Laufzeit für alle Funktionen eingeführt, was zu einer Aktualisierung ohne Ausfallzeiten führt. Automatische Sicherheitsupdates sind mit Cloud Run-Funktionen der 1. Generation und Cloud Run-Funktionen verfügbar. Wenn Sie Sicherheitsupdates auf Sprachebene übernehmen möchten, müssen Sie möglicherweise Funktionen neu erstellen, die kompilierte Sprachen wie Go oder Java verwenden.
Bei Bereitstellungsupdates: werden Aktualisierungen und Sicherheitspatches nur dann auf Laufzeiten angewendet, wenn Funktionen bereitgestellt oder neu bereitgestellt werden, sofern nicht anders angegeben. Aktualisierungen für die Bereitstellung sind sowohl für Cloud Run-Funktionen der 1. Generation als auch für Cloud Run-Funktionen verfügbar.
Die Richtlinie zur Laufzeitaktualisierung kann mit dem Flag --runtime-update-policy
in Ihrem gcloud deploy
-Befehl geändert werden.
Aktualisierungsrichtlinie der Funktion festlegen
Wenn Sie Cloud Run Functions (1. Generation) verwenden, können Sie die Aktualisierungsrichtlinie der Funktion ändern, indem Sie das Flag --runtime-update-policy
in Ihren gcloud deploy
-Befehl einfügen, wie hier gezeigt:
gcloud functions deploy FUNCTION_NAME --no-gen2 \ --runtime-update-policy=POLICY ...
Ersetzen Sie:
- FUNCTION_NAME durch den Namen Ihrer Funktion
- POLICY durch
automatic
oderon-deploy
Aktualisierungsrichtlinie der Funktion prüfen
Sie können die Aktualisierungsrichtlinie der Funktion mit dem folgenden Befehl prüfen:
gcloud functions describe FUNCTION_NAME \
Dabei ist FUNCTION_NAME der Name Ihrer Funktion.
- Funktionen mit aktivierten automatischen Sicherheitsupdates haben den Schlüssel
automaticUpdatePolicy
- Funktionen, die bei der Bereitstellung aktualisiert werden, haben den Schlüssel
onDeployUpdatePolicy
.
Laufzeit-Image identifizieren, das nach einer automatischen Aktualisierung verwendet wird
Wenn Sie automatische Updates aktivieren, tauscht Cloud Run-Funktionen das Laufzeit-Image der Funktion durch eine neuere Überarbeitung aus, die zusätzliche Sicherheitspatches und Updates enthält. Diese Änderung wird in den Laufzeitlogs Ihrer Funktion angezeigt.
In der Laufzeitumgebung werden Sie mit dem Label runtime_version
informiert, wenn für Ihre Funktion ein neues Laufzeit-Image verwendet wird. Ein Logeintrag für eine automatisch aktualisierte Nodejs-Funktion könnte so aussehen:
{
...
"labels:" {
runtime_version: nodejs20_20230924_20_6_1_RC00
execution_id: ...
}
...
}