Cloud Functions è stato rinominato in Funzioni Cloud Run. Per ulteriori informazioni, consulta il post del blog sulle funzioni Cloud Run.

Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza dell'ambiente di esecuzione

Ogni funzione viene eseguita su un'immagine di runtime con controllo della versione all'interno dell'ambiente di esecuzione sicuro di Cloud Run Functions. Le immagini di runtime contengono librerie del sistema operativo, runtime dei linguaggi e altri pacchetti di sistema. Google gestisce tutte le immagini di runtime delle funzioni Cloud Run, rilasciando patch di sicurezza e aggiornamenti di manutenzione dopo un periodo di test della stabilità.

Immagini di runtime

A ogni runtime è associata un'immagine di runtime (nota anche come immagine di esecuzione) in un repository pubblico su Artifact Registry. Per un elenco degli ID runtime e delle relative immagini di runtime, consulta runtime.

Identifica l'immagine di runtime

Puoi identificare l'immagine di runtime utilizzata per creare la funzione esaminando i log di compilazione della funzione.

Nei log di compilazione, cerca google.run-image. Viene visualizzata la voce del log del passaggio di compilazione che descrive la versione dell'immagine del runtime utilizzata per compilare la funzione. Ad esempio, una voce di log per una funzione Nodejs potrebbe avere il seguente aspetto:

{
  ...
  "textPayload": "Step #2 - \"build\": Adding image label google.run-image:
    us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22:nodejs20_20230924_20_6_1_RC00",
  ...
}

Criterio di aggiornamento della sicurezza

Puoi scegliere uno dei seguenti criteri di aggiornamento della sicurezza:

Aggiornamenti automatici (impostazione predefinita): gli aggiornamenti e le patch di sicurezza per l'ambiente di runtime vengono pubblicati nelle nuove versioni dell'immagine di runtime. Dopo un periodo di test per la verifica della stabilità e dell'affidabilità, il runtime aggiornato viene implementato in tutte le funzioni, con un aggiornamento senza tempi di riposo. Gli aggiornamenti di sicurezza automatici sono disponibili con le funzioni Cloud Run (1ª generazione.) e Cloud Run. Per applicare correzioni di sicurezza a livello di linguaggio, potrebbe essere necessario ricostruire le funzioni che utilizzano linguaggi compilati come Go o Java.
Aggiornamenti al deployment: gli aggiornamenti e le patch di sicurezza vengono applicati ai runtime solo quando le funzioni vengono implementate o riimplementate, se non diversamente specificato. Gli aggiornamenti sul deployment sono disponibili sia per le funzioni Cloud Run (1ª generazione.) sia per le funzioni Cloud Run.

Il criterio di aggiornamento del runtime può essere modificato utilizzando il --runtime-update-policy flag nel comando gcloud deploy.

Imposta il criterio di aggiornamento della funzione

Puoi modificare il criterio di aggiornamento della funzione includendo il flag --runtime-update-policy nel comando gcloud deploy, come mostrato di seguito:

  gcloud functions deploy FUNCTION_NAME \
    --runtime-update-policy=POLICY ...

Sostituisci:

FUNCTION_NAME con il nome della funzione
POLICY con automatic o on-deploy

Il criterio predefinito per tutte le funzioni è automatic.

Controlla i criteri di aggiornamento della funzione

Puoi controllare il criterio di aggiornamento della funzione con il seguente comando:

  gcloud functions describe FUNCTION_NAME \

dove FUNCTION_NAME è il nome della funzione

Le funzioni con gli aggiornamenti automatici della sicurezza abilitati avranno la chiave automaticUpdatePolicy
Le funzioni che si aggiornano al momento del deployment avranno la chiave onDeployUpdatePolicy

Identificare l'immagine di runtime utilizzata dopo un aggiornamento automatico

Quando attivi gli aggiornamenti automatici, le funzioni Cloud Run sostituiscono l'immagine di runtime della funzione con una revisione più recente contenente patch e aggiornamenti di sicurezza aggiuntivi. Questa modifica viene visualizzata nei log di runtime della funzione.

All'interno dei log di runtime, l'etichetta runtime_version indica quando viene utilizzata una nuova immagine di runtime nella funzione. Una voce di log per una funzione Nodejs che è stata aggiornata automaticamente potrebbe avere il seguente aspetto:

{
  ...
  "labels:" {
    runtime_version: nodejs20_20230924_20_6_1_RC00
    execution_id: ...
  }
  ...
}

Scansioni di sicurezza nelle funzioni Cloud Run

Le funzioni Cloud Run per le quali sono abilitati gli aggiornamenti automatici vengono create su un'immagine scratch. Di conseguenza, il container che rappresenta la tua funzione in Artifact Registry non avrà un'immagine di base e sarà notevolmente più piccolo delle funzioni che utilizzano gli aggiornamenti al momento del deployment. L'immagine di base viene combinata con l'immagine della funzione in fase di esecuzione per creare una funzione completa.

Puoi utilizzare gli scanner di sicurezza per monitorare le immagini di base gestite da Google che alimentano la tua funzione. Puoi trovare l'immagine di base più recente per la tua funzione all'indirizzo REGION-docker.pkg.dev/serverless-runtimes/STACK/runtimes/RUNTIME_ID

Sostituisci:

REGION con la regione preferita, ad esempio us-central1
STACK con lo stack del sistema operativo preferito, ad esempio google-22-full
RUNTIME_ID con l'ID runtime utilizzato dalla funzione, ad esempio python310

Ad esempio, l'immagine di base Node.js 20 più recente che utilizza lo stack google-22-full, ospitata in us-central1, verrà richiamata con questo URL: us-central1-docker.pkg.dev/serverless-runtimes/google-22-full/runtimes/nodejs22

Poiché l'immagine ora è basata su scratch, l'immagine archiviata in Artifact Registry non potrà essere eseguita direttamente. Se hai bisogno di un'immagine eseguibile, utilizza il criterio di deployment.