Memvalidasi konfigurasi

Tutorial ini menunjukkan cara memvalidasi konfigurasi dengan Cloud Build saat menggunakan cluster edisi Google Kubernetes Engine (GKE) Enterprise. Penyiapan yang sama berfungsi di sistem CI/CD berbasis container, seperti CircleCI, dengan perubahan minimal.

Sebaiknya validasi setiap perubahan konfigurasi di pipeline CI/CD Anda dengan selain memeriksa validitas konfigurasi Anda dengan menjalankan Perintah nomos vet.

Tujuan

  • Membuat file konfigurasi Cloud Build yang menginstruksikan Config Sync untuk digunakan nomos vet pada konfigurasi di repositori Anda.
  • Buat pemicu Cloud Build agar konfigurasi Anda diperiksa setiap kali terdapat perubahan pada cabang pengembangan.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan API Cloud Build.

    Mengaktifkan API

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  7. Aktifkan API Cloud Build.

    Mengaktifkan API

  8. Membuat, atau memiliki akses ke, cluster GKE Enterprise yang memenuhi persyaratan untuk Config Sync. Untuk mengetahui detail tentang cara membuat cluster tersebut, lihat Memulai Config Sync.

Memberikan izin akun layanan Cloud Build

Beri akun layanan Cloud Build izin untuk mengakses GKE Enterprise.

gcloud

Untuk menambahkan peran Kubernetes Engine Developer ke Cloud Build akun layanan, jalankan perintah berikut:

PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUM=$(gcloud projects list --filter="$PROJECT_ID" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUM@cloudbuild.gserviceaccount.com \
    --role=roles/container.developer

Konsol

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka halaman IAM

  2. Di kolom anggota, temukan baris yang berisi layanan Cloud Build akun:

    PROJECT_NUMBER@cloudbuild.gserviceaccount.com
    
  3. Di baris tersebut, klik Edit akun utama.

  4. Klik Add another role.

  5. Di daftar Select a role, pilih Kubernetes Engine Developer, dan lalu klik Save.

Membuat konfigurasi Cloud Build

Membuat file konfigurasi Cloud Build dan menyimpannya di direktori {i>root<i} dari repositori yang berisi file konfigurasi Anda (untuk contoh, my-repo/cloudbuild.yaml).

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/config-management-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Ganti kode berikut:

  • ZONE: zona tempat cluster Anda berjalan
  • CLUSTER_NAME: nama cluster Anda
  • POLICY_DIR: jalur dalam repositori Git yang menunjukkan level teratas repositori yang akan disinkronkan

Ada tiga langkah dalam konfigurasi ini:

  1. Jalankan kubectl config current-context untuk membuat file kubeconfig yang diperlukan untuk melakukan autentikasi ke cluster GKE my-cluster. Tujuan pengguna root membuat file ini dengan izin terbatas.
  2. Jalankan chmod 444 /kube/config untuk membuat file ini dapat dibaca di langkah berikutnya.
  3. Jalankan nomos vet di repositori Git yang otomatis di-clone di /workspace. Jika Anda menggunakan repo yang tidak terstruktur, jalankan nomos vet --source-format=unstructured saja.

Membuat pemicu build

Contoh berikut membuat pemicu yang berjalan untuk setiap commit ke master dari repositori Cloud Source Repositories.

  1. Buka halaman Triggers di Konsol Google Cloud.

    Buka halaman pemicu

  2. Klik Connect repository.

  3. Pilih GitHub (diduplikasi), lalu klik Continue.

  4. Pilih repositori Anda, lalu klik Connect repository.

  5. Klik Tambahkan pemicu.

  6. Masukkan atau pilih entri yang sesuai di setiap bidang yang dijelaskan dalam tabel berikut:

    Kolom Entri
    Acara Push to a branch
    Cabang ^master$
    Konfigurasi Cloud Build configuration file (yaml atau json)
    Lokasi file konfigurasi Cloud Build / cloudbuild.yaml
  7. Klik Buat untuk menyimpan pemicu build Anda.

Menguji pemicu build

Uji penyiapan secara manual dengan menjalankan pemicu:

  1. Buka halaman Triggers di Konsol Google Cloud.

    Buka halaman pemicu

  2. Temukan pemicu yang Anda buat, lalu klik Run trigger.

    Pesan "Build started on master branch" muncul.

  3. Klik Tampilkan.

    Langkah-langkah Cloud Build akan berwarna hijau jika disiapkan dengan benar.

Konfigurasi Cloud Build tidak valid

Pemicu tidak dapat berjalan jika file konfigurasi Cloud Build tidak valid.

Untuk mengujinya, perbarui konfigurasi Cloud Build di repositori Anda dengan file berikut. Perhatikan indentasi yang tidak valid di baris 6:

steps:
- name: 'gcr.io/cloud-builders/kubectl'
  args: ['config', 'current-context']
  volumes:
  - name: 'kube'
  path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  - 'CLOUDSDK_COMPUTE_ZONE=ZONE'
  - 'CLOUDSDK_CONTAINER_CLUSTER=CLUSTER_NAME'
  - 'CLOUDSDK_CONTAINER_USE_APPLICATION_DEFAULT_CREDENTIALS=true'
- name: 'bash'
  args: ['chmod', '444', '/kube/config']
  volumes:
  - name: 'kube'
    path: '/kube'
- name: 'gcr.io/nomos-release/nomos:stable'
  args: ['nomos', 'vet', '--path', '/workspace/POLICY_DIR']
  volumes:
  - name: 'kube'
    path: '/kube'
  env:
  - 'KUBECONFIG=/kube/config'
  timeout: 30s

Jika Anda menjalankan pemicu kembali secara manual, Anda akan menerima pesan error berikut karena path: di baris 6 tidak diindentasi dengan benar:

Failed to trigger build: failed unmarshalling build config cloudbuild.yaml:
unknown field "path" in cloudbuild_go_proto.BuildStep.

Untuk memperbaiki konfigurasi ini, indentasi path: di baris 6 ke level yang sama dengan name: pada baris 5. Untuk mengetahui informasi selengkapnya tentang struktur Cloud Build file konfigurasi dasar, lihat Membuat Cloud Build dasar konfigurasi.

Pembersihan

Menghapus project

    Menghapus project Google Cloud:

    gcloud projects delete PROJECT_ID

Menghapus resource satu per satu

Untuk menghapus setiap resource, selesaikan langkah-langkah berikut:

  1. Hapus file konfigurasi Cloud Build.
  2. Menghapus pemicu Cloud Build yang Anda buat.
  3. Hapus cluster yang yang Anda gunakan untuk tutorial ini.

Langkah selanjutnya