Exécuter Django dans l'environnement standard App Engine

Préparer votre environnement

Cloner une application exemple

Le code de l'exemple d'application Django se trouve dans le dépôt GitHub GoogleCloudPlatform/python-docs-samples.

1. Vous pouvez soit télécharger l'exemple sous forme de fichier ZIP et l'extraire, soit cloner le dépôt sur votre ordinateur local à l'aide de la commande suivante :

   git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
   

2. Accédez au répertoire qui contient l'exemple de code :

   Linux/macOS

   cd python-docs-samples/appengine/standard_python3/django
   

   Windows

   cd python-docs-samples\appengine\standard_python3\django
   

Confirmer la configuration de Python

Ce tutoriel s'appuie sur Python pour exécuter l'exemple d'application sur votre machine. L'exemple de code nécessite également l'installation de dépendances.

Pour en savoir plus, consultez le guide de l'environnement de développement Python.

1. Vérifiez que votre version de Python est ultérieure à la version 3.8.

    python -V
   

   Vous devriez voir Python 3.8.0 ou une valeur supérieure.

2. Créez un environnement virtuel Python et installez des dépendances :

   Linux/macOS

   python -m venv venv
   source venv/bin/activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

   Windows

   python -m venv venv
   venv\scripts\activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

Téléchargez le proxy d'authentification Cloud SQL pour vous connecter à Cloud SQL depuis votre ordinateur local

Une fois déployée, votre application utilise le proxy d'authentification Cloud SQL intégré à l'environnement standard App Engine pour communiquer avec votre instance Cloud SQL. Notez toutefois que pour tester votre application en local, vous devez installer et utiliser une copie locale du proxy dans votre environnement de développement. Pour en savoir plus, consultez le guide du proxy d'authentification Cloud SQL.

Le proxy d'authentification Cloud SQL utilise l'API Cloud SQL pour interagir avec votre instance SQL. Pour ce faire, une authentification de l'application doit être effectuée via la gcloud CLI.

1. Authentifiez-vous et acquérez des identifiants pour l'API :

   gcloud auth application-default login
   

2. Téléchargez et installez le proxy d'authentification Cloud SQL sur votre ordinateur local.

   Linux 64 bits

   1. Téléchargez le proxy d'authentification Cloud SQL :

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.linux.amd64
      

   2. Rendez le proxy d'authentification Cloud SQL exécutable :

      chmod +x cloud-sql-proxy
      

   Linux 32 bits

   1. Téléchargez le proxy d'authentification Cloud SQL :

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.linux.386
      

   2. Si la commande curl est introuvable, exécutez sudo apt install curl puis répétez la commande de téléchargement.
   3. Rendez le proxy d'authentification Cloud SQL exécutable :

      chmod +x cloud-sql-proxy
      

   macOS 64 bits

   1. Téléchargez le proxy d'authentification Cloud SQL :

      curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.darwin.amd64
      

   2. Rendez le proxy d'authentification Cloud SQL exécutable :

      chmod +x cloud-sql-proxy
      

   Mac M1

   1. Téléchargez le proxy d'authentification Cloud SQL :

        curl -o cloud-sql-proxy https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.darwin.arm64
        

   2. Rendez le proxy d'authentification Cloud SQL exécutable :

        chmod +x cloud-sql-proxy
        

   Windows 64 bits

   Effectuez un clic droit sur https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.x64.exe, puis sélectionnez Enregistrer le lien sous pour télécharger le proxy d'authentification Cloud SQL. Renommez le fichier en cloud-sql-proxy.exe.

   Windows 32 bits

   Effectuez un clic droit sur https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.11.0/cloud-sql-proxy.x86.exe, puis sélectionnez Enregistrer le lien sous pour télécharger le proxy d'authentification Cloud SQL. Renommez le fichier en cloud-sql-proxy.exe.

   Image Docker du proxy d'authentification Cloud SQL

   Le proxy d'authentification Cloud SQL possède différentes images de conteneur, telles que distroless, alpine et buster. L'image de conteneur du proxy d'authentification Cloud SQL par défaut utilise distroless, qui ne contient aucune interface système. Si vous avez besoin d'une interface système ou d'outils associés, téléchargez une image basée sur alpine ou buster. Pour plus d'informations, consultez la page Images de conteneurs du proxy d'authentification Cloud SQL.

   Vous pouvez extraire la dernière image sur votre ordinateur local en utilisant Docker avec la commande suivante :

   docker pull gcr.io/cloud-sql-connectors/cloud-sql-proxy:2.11.0
   

   Autres systèmes d'exploitation

   Pour les autres systèmes d'exploitation non inclus ici, vous pouvez compiler le proxy d'authentification Cloud SQL à partir de la source.

   Vous pouvez déplacer le téléchargement vers un emplacement courant, tel qu'un emplacement sur votre PATH ou dans votre répertoire d'accueil. Dans ce cas, lorsque vous démarrerez le proxy d'authentification Cloud SQL dans la suite du tutoriel, n'oubliez pas de référencer l'emplacement choisi lorsque vous utilisez les commandes cloud_sql_proxy.

Créer des services externes

Dans ce tutoriel, nous utilisons plusieurs services Google Cloud pour fournir la base de données, le stockage multimédia et le stockage de secrets compatibles avec le projet Django déployé. Ces services sont déployés dans une région spécifique. Pour plus d'efficacité entre les services, tous les services doivent être déployés dans la même région. Pour plus d'informations sur la région la plus proche de vous, consultez la section Produits disponibles par région.

Configurer une instance Cloud SQL pour PostgreSQL

Django est officiellement compatible avec plusieurs bases de données relationnelles, mais offre la plus grande compatibilité avec PostgreSQL. PostgreSQL est compatible avec Cloud SQL. Ce tutoriel choisit donc d'utiliser ce type de base de données.

La section suivante décrit la création d'une instance PostgreSQL, d'une base de données et d'un utilisateur de base de données pour l'application.

1. Créez l'instance PostgreSQL :

   Console

   1. Dans la console Google Cloud, accédez à la page Instances Cloud SQL.

      Accéder à la page Instances Cloud SQL

   2. Cliquez sur Create Instance (Créer une instance).

   3. Cliquez sur PostgreSQL.

   4. Dans le champ ID d'instance, saisissez INSTANCE_NAME.

   5. Indiquez le mot de passe de l'utilisateur postgres.

   6. Conservez les valeurs par défaut des autres champs.

   7. Cliquez sur Créer.

   La création de l'instance et la préparation à son utilisation prennent quelques minutes.

   gcloud

   • Créez l'instance PostgreSQL :

     gcloud sql instances create INSTANCE_NAME \
         --project PROJECT_ID \
         --database-version POSTGRES_13 \
         --tier db-f1-micro \
         --region REGION
     

   Remplacez les éléments suivants :

   • INSTANCE_NAME : nom de l'instance Cloud SQL
   • PROJECT_ID : ID de projet Google Cloud
   • REGION : région Google Cloud

   La création de l'instance et la préparation à son utilisation prennent quelques minutes.

2. Dans l'instance créée, créez une base de données :

   Console

   1. Sur la page de votre instance, accédez à l'onglet Bases de données.
   2. Cliquez sur Create database.
   3. Dans la boîte de dialogue Nom de la base de données, saisissez DATABASE_NAME.
   4. Cliquez sur Créer.

   gcloud

   • Créez la base de données dans l'instance récemment créée :

     gcloud sql databases create DATABASE_NAME \
         --instance INSTANCE_NAME
     

     Remplacez DATABASE_NAME par le nom de la base de données dans l'instance.

3. Créez un utilisateur de base de données :

   Console

   1. Dans la page de votre instance, accédez à l'onglet Utilisateurs.
   2. Cliquez sur Ajouter un compte utilisateur.
   3. Dans la boîte de dialogue Ajouter un compte utilisateur à l'instance, sous "Authentification intégrée", effectuez les opérations suivantes :
   4. Saisissez le nom d'utilisateur DATABASE_USERNAME.
   5. Saisissez le mot de passe DATABASE_PASSWORD.
   6. Cliquez sur Ajouter.

   gcloud

   • Créez l'utilisateur dans l'instance récemment créée :

     gcloud sql users create DATABASE_USERNAME \
         --instance INSTANCE_NAME \
         --password DATABASE_PASSWORD
     

     Remplacez PASSWORD par un mot de passe sécurisé.

Stocker les valeurs du secret dans Secret Manager

Maintenant que les services externes sont configurés, Django a besoin d'informations sur ces services. Au lieu de placer ces valeurs directement dans le code source de Django, ce tutoriel utilise Secret Manager pour stocker ces informations en toute sécurité.

Créer un fichier d'environnement Django en tant que secret Secret Manager

Vous stockez les paramètres requis pour démarrer Django dans un fichier d'environnement sécurisé. L'exemple d'application utilise l'API Secret Manager pour récupérer la valeur du secret, et le package django-environ pour charger les valeurs dans l'environnement Django. Le secret est configuré pour être accessible par l'environnement standard App Engine.

1. Créez un fichier appelé .env, en définissant la chaîne de connexion à la base de données, le nom du bucket multimédia et une nouvelle valeur SECRET_KEY :

   echo DATABASE_URL=postgres://DATABASE_USERNAME:DATABASE_PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME > .env
   echo GS_BUCKET_NAME=PROJECT_ID_MEDIA_BUCKET >> .env
   echo SECRET_KEY=$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 50 | head -n1) >> .env
   

2. Stockez le secret dans le gestionnaire de secrets :

   Console

   1. Dans la console Google Cloud, accédez à la page Secret Manager.

      Accéder à la page Secret Manager

   2. Cliquez sur Créer un secret.

   3. Dans le champ Nom, saisissez django_settings.

   4. Dans la boîte de dialogue Valeur du secret, collez le contenu de votre fichier .env.

   5. Cliquez sur Créer un secret.

   6. Supprimez le fichier local pour empêcher tout remplacement des paramètres locaux.

   gcloud

   1. Créez le secret django_settings avec la valeur du fichier .env :

      gcloud secrets create django_settings --data-file .env
      

   2. Pour confirmer la création du secret, vérifiez-le :

      gcloud secrets describe django_settings
      
      gcloud secrets versions access latest --secret django_settings
      

   3. Supprimez le fichier local pour empêcher tout remplacement des paramètres locaux :

      rm .env
      

3. Configurez l'accès au secret :

   Console

   1. Cliquez sur l'onglet Autorisations.
   2. Cliquez sur Ajouter.
   3. Dans le champ Nouveaux membres, saisissez PROJECT_ID@appspot.gserviceaccount.com, puis appuyez sur Enter.
   4. Dans le menu déroulant Rôle, sélectionnez Accesseur de secrets de Secret Manager.
   5. Cliquez sur Enregistrer.

   gcloud

   1. Accordez l'accès au secret au compte de service standard App Engine :

      gcloud secrets add-iam-policy-binding django_settings \
          --member serviceAccount:PROJECT_ID@appspot.gserviceaccount.com \
          --role roles/secretmanager.secretAccessor
      

Exécuter l'application sur votre ordinateur local

Maintenant que les services externes sont configurés, vous pouvez exécuter l'application sur votre ordinateur. Cette configuration permet le développement local, la création d'un super-utilisateur et l'application de migrations de bases de données.

1. Dans un terminal distinct, démarrez le proxy d'authentification Cloud SQL:

   Linux/macOS

   ./cloud-sql-proxy PROJECT_ID:REGION:INSTANCE_NAME
   

   Windows

   cloud-sql-proxy.exe PROJECT_ID:REGION:INSTANCE_NAME
   

   Cette étape permet d'établir une connexion depuis votre ordinateur local vers votre instance Cloud SQL à des fins de test. N'arrêtez pas le proxy d'authentification Cloud SQL lorsque vous testez votre application localement. L'exécution de ce processus dans un terminal distinct vous permet de continuer à travailler pendant son exécution.

2. Dans le terminal d'origine, définissez l'ID du projet en local (utilisé par l'API Secret Manager):

   Linux/macOS

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

   Windows

   set GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

3. Définissez une variable d'environnement pour indiquer que vous utilisez le proxy d'authentification Cloud SQL (cette valeur est reconnue dans le code):

   Linux/macOS

   export USE_CLOUD_SQL_AUTH_PROXY=true
   

   Windows

   set USE_CLOUD_SQL_AUTH_PROXY=true
   

4. Exécutez les migrations Django pour configurer vos modèles et vos éléments :

   python manage.py makemigrations
   python manage.py makemigrations polls
   python manage.py migrate
   python manage.py collectstatic
   

5. Démarrez le serveur Web Django :

   python manage.py runserver 8080
   

6. Dans votre navigateur, accédez à http://localhost:8080.

   Si vous êtes dans Cloud Shell, cliquez sur le bouton Aperçu sur le Web, puis sélectionnez Prévisualiser sur le port 8080.

   La page affiche le texte suivant : "Hello, world. You're at the polls index." Le serveur Web Django qui s'exécute sur votre ordinateur diffuse les pages de l'exemple d'application.

7. Appuyez sur Ctrl/Cmd+C pour arrêter le serveur Web local.

Utiliser la console d'administration Django

Pour vous connecter à la console d'administration de Django, vous devez créer un super-utilisateur. Comme vous disposez d'une connexion locale à la base de données, vous pouvez exécuter les commandes de gestion :

1. Créez un super-utilisateur. Vous êtes invité à saisir un nom d'utilisateur, une adresse e-mail et un mot de passe.

   python manage.py createsuperuser
   

2. Démarrez un serveur Web local :

   python manage.py runserver
   

3. Dans votre navigateur, accédez à http://localhost:8000/admin.

4. Connectez-vous au site d'administration à l'aide du nom d'utilisateur et du mot de passe que vous avez spécifiés dans la commande createsuperuser.

Déployer l'application dans l'environnement standard App Engine

Avec tous les services externes configurés et l'application testée localement, vous pouvez maintenant déployer l'application sur l'environnement standard App Engine :

1. Importez l'application en exécutant la commande suivante, qui déploie l'application conformément aux instructions du fichier app.yaml, et définit la version nouvellement déployée comme version par défaut, de sorte que celle-ci diffuse tout le nouveau trafic :

   gcloud app deploy

2. Confirmez les paramètres en saisissant "yes" lorsque vous y êtes invité.
3. Attendez le message vous informant que la mise à jour est terminée.
4. Ouvrez app.yaml et mettez à jour la valeur de APPENGINE_URL avec votre URL déployée:

   ...
   env_variables:
       APPENGINE_URL: https://PROJECT_ID.uc.r.appspot.com
   

5. Importez les modifications de votre configuration:

   gcloud app deploy

Exécuter l'application déployée

L'application a été déployée, et elle est désormais accessible :

• Ouvrez le site Web déployé :

  gcloud app browse
  

• Vous pouvez également afficher l'URL et l'ouvrir manuellement :

  gcloud app describe --format "value(defaultHostname)"
  

La requête est diffusée par un serveur Web s'exécutant dans l'environnement standard App Engine.

Mettre à jour l'application

Pour mettre à jour votre application, modifiez le code, puis exécutez à nouveau la commande gcloud app deploy.

Le déploiement crée une nouvelle version de votre application, qui est alors définie comme version par défaut. Les anciennes versions de votre application sont conservées. Toutes ces versions restent des ressources facturables. Pour réduire les coûts, supprimez toutes les versions de votre application sauf celle par défaut.

Configurer pour la production

Votre déploiement Django est opérationnel, mais vous pouvez suivre d'autres étapes pour vous assurer que votre application est prête pour la production.

Désactiver le débogage

Vérifiez que la variable DEBUG dans mysite/settings.py est définie sur False. Cela empêche l'affichage pour l'utilisateur de pages d'erreur détaillées, ce qui peut conduire à des fuites des informations sur les configurations.

Limiter les droits d'utilisateur de la base de données

Tous les utilisateurs créés à l'aide de Cloud SQL disposent des droits associés au rôle cloudsqlsuperuser : CREATEROLE, CREATEDB et LOGIN.

Pour empêcher l'utilisateur de la base de données Django de disposer de ces autorisations, créez-le manuellement dans PostgreSQL. Vous devrez avoir installé le terminal interactif psql ou utiliser Cloud Shell, dans lequel cet outil est préinstallé.

Comprendre le code

Exemple d'application

L'exemple d'application Django a été créé à l'aide des outils Django standards. Les commandes suivantes créent le projet et l'application polls :

django-admin startproject mysite
python manage.py startapp polls

Les vues de base, les modèles et les configurations de routage ont été copiés à partir du tutoriel Écrire votre première application Django (Partie 1 et Partie 2).

Secrets de Secret Manager

Le fichier settings.py contient du code qui utilise l'API Python Secret Manager pour récupérer la dernière version du secret nommé et l'extraire dans l'environnement (à l'aide de django-environ) :

env = environ.Env(DEBUG=(bool, False))
env_file = os.path.join(BASE_DIR, ".env")

if os.path.isfile(env_file):
    # Use a local secret file, if provided

    env.read_env(env_file)
# ...
elif os.environ.get("GOOGLE_CLOUD_PROJECT", None):
    # Pull secrets from Secret Manager
    project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")

    client = secretmanager.SecretManagerServiceClient()
    settings_name = os.environ.get("SETTINGS_NAME", "django_settings")
    name = f"projects/{project_id}/secrets/{settings_name}/versions/latest"
    payload = client.access_secret_version(name=name).payload.data.decode("UTF-8")

    env.read_env(io.StringIO(payload))
else:
    raise Exception("No local .env or GOOGLE_CLOUD_PROJECT detected. No secrets found.")

Le secret est utilisé pour stocker plusieurs valeurs secrètes afin de réduire le nombre de secrets différents à configurer.

Configurations CSRF

Django dispose d'une protection intégrée contre la falsification des requêtes intersites (CSRF). À partir de la version 4.0 de Django, en raison des modifications apportées à ce fonctionnement, il est important d'indiquer à Django ce qu'est son URL hébergée, afin qu'il puisse offrir les meilleures protections aux utilisateurs qui soumettent des données.

Vous fournissez l'URL de l'application en tant que variable d'environnement dans le fichier settings.py. Il s'agit de la valeur utilisée par Django pour les paramètres pertinents.

# SECURITY WARNING: It's recommended that you use this when
# running in production. The URL will be known once you first deploy
# to App Engine. This code takes the URL and converts it to both these settings formats.
APPENGINE_URL = env("APPENGINE_URL", default=None)
if APPENGINE_URL:
    # Ensure a scheme is present in the URL before it's processed.
    if not urlparse(APPENGINE_URL).scheme:
        APPENGINE_URL = f"https://{APPENGINE_URL}"

    ALLOWED_HOSTS = [urlparse(APPENGINE_URL).netloc]
    CSRF_TRUSTED_ORIGINS = [APPENGINE_URL]
    SECURE_SSL_REDIRECT = True
else:
    ALLOWED_HOSTS = ["*"]

Remplacement des secrets locaux

Si un fichier .env se trouve sur le système de fichiers local, il est utilisé à la place de la valeur de Secret Manager. La création d'un fichier .env localement peut être utile pour les tests locaux (par exemple, développement local avec une base de données SQLite ou d'autres paramètres locaux).

Connexion à une base de données

Le fichier settings.py contient la configuration de la base de données SQL. Il utilise l'outil d'aide env.db() de django-environ pour charger la chaîne de connexion définie dans DATABASE_URL dans le paramètre DATABASES.

Lorsque vous exécutez l'application localement et utilisez le proxy d'authentification Cloud SQL pour accéder à la base de données hébergée, l'option USE_CLOUD_SQL_AUTH_PROXY ajuste les paramètres de la base de données pour qu'elle utilise le proxy.

# Use django-environ to parse the connection string
DATABASES = {"default": env.db()}

# If the flag as been set, configure to use proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
    DATABASES["default"]["HOST"] = "127.0.0.1"
    DATABASES["default"]["PORT"] = 5432

Contenu statique hébergé

Le fichier app.yaml contient les informations de configuration concernant le déploiement sur App Engine. Ce fichier app.yaml spécifie qu'App Engine diffuse les fichiers statiques à partir du répertoire static/ :

runtime: python39

env_variables:
  # This setting is used in settings.py to configure your ALLOWED_HOSTS
  # APPENGINE_URL: PROJECT_ID.uc.r.appspot.com

handlers:
# This configures Google App Engine to serve the files in the app's static
# directory.
- url: /static
  static_dir: static/

# This handler routes all requests not caught above to your main app. It is
# required when static routes are defined, but can be omitted (along with
# the entire handlers section) when there are no static files defined.
- url: /.*
  script: auto

Lorsque vous exécutez l'application en local avec DEBUG activé, ces fichiers sont diffusés localement par Django :

from django.conf import settings
from django.conf.urls.static import static
from django.contrib import admin
from django.urls import include, path

urlpatterns = [
    path("", include("polls.urls")),
    path("admin/", admin.site.urls),
] + static(settings.STATIC_URL, document_root=settings.STATIC_ROOT)