App Engine スタンダード環境での Django の実行

Secret Manager にシークレット値を保存する

バッキング サービスが構成されたので、Django はこれらのサービスに関する情報を必要とします。このチュートリアルでは、これらの値を Django のソースコードに直接入力せず、Secret Manager を使用してこの情報を安全に保存します。

Secret Manager シークレットとして Django 環境ファイルを作成する

Django の起動に必要な設定を、保護された env ファイルに保存します。サンプルアプリは、Secret Manager API を使用してシークレット値を取得し、django-environ パッケージを使用して Django 環境に値を読み込みます。シークレットは、App Engine スタンダード環境でアクセスできるように構成されています。

1. .env という名前のファイルを作成し、データベースの接続文字列、メディア バケット名、新しい SECRET_KEY 値を定義します。

   echo DATABASE_URL=postgres://DATABASE_USERNAME:DATABASE_PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME > .env
   echo GS_BUCKET_NAME=PROJECT_ID_MEDIA_BUCKET >> .env
   echo SECRET_KEY=$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 50 | head -n1) >> .env
   

2. シークレットを Secret Manager に保存します。

   Console

   1. Google Cloud コンソールで、[Secret Manager] ページに移動します。

      [Secret Manager] ページに移動

   2. [シークレットの作成] をクリックします。

   3. [名前] フィールドに「django_settings」と入力します。

   4. [シークレットの値] ダイアログで、.env ファイルの内容を貼り付けます。

   5. [シークレットの作成] をクリックします。

   6. ローカル設定のオーバーライドを防ぐため、ローカル ファイルを削除します。

   gcloud

   1. 新しいシークレット django_settings を .env ファイルの値で作成します。

      gcloud secrets create django_settings --data-file .env
      

   2. シークレットの作成を確認するには、次のことを確認します。

      gcloud secrets describe django_settings
      
      gcloud secrets versions access latest --secret django_settings
      

   3. ローカル設定のオーバーライドを防ぐため、ローカル ファイルを削除します。

      rm .env
      

3. シークレットへのアクセスを設定します。

   Console

   1. [権限] タブをクリックします。
   2. [Add] をクリックします。
   3. [新しいメンバー] フィールドに「PROJECT_ID@appspot.gserviceaccount.com」と入力し、Enter を押します。
   4. [ロール] プルダウン メニューで [Secret Manager のシークレット アクセサー] を選択します。
   5. [保存] をクリックします。

   gcloud

   1. App Engine スタンダード サービス アカウントにシークレットへのアクセス権を付与します。

      gcloud secrets add-iam-policy-binding django_settings \
          --member serviceAccount:PROJECT_ID@appspot.gserviceaccount.com \
          --role roles/secretmanager.secretAccessor
      

ローカル コンピュータでアプリを実行する

バッキング サービスを設定したら、パソコン上でアプリを実行できます。この設定により、ローカルでの開発、スーパーユーザーの作成、データベース移行の適用が可能になります。

1. 別のターミナルで Cloud SQL Auth Proxy を起動します。

   Linux / macOS

   ./cloud-sql-proxy PROJECT_ID:REGION:INSTANCE_NAME
   

   Windows

   cloud-sql-proxy.exe PROJECT_ID:REGION:INSTANCE_NAME
   

   このステップで、ローカル パソコンから Cloud SQL インスタンスへのローカルテスト用接続が確立されます。ローカルでのアプリのテストが終了するまで、Cloud SQL Auth Proxy を実行したままにしてください。このプロセスを別のターミナルで実行すると、このプロセスの実行中も作業を継続できます。

2. 元のターミナルで、プロジェクト ID をローカルに設定します（Secret Manager API で使用します）。

   Linux / macOS

   export GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

   Windows

   set GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

3. Cloud SQL Auth Proxy を使用していることを示す環境変数を設定します（この値はコードで認識できます）。

   Linux / macOS

   export USE_CLOUD_SQL_AUTH_PROXY=true
   

   Windows

   set USE_CLOUD_SQL_AUTH_PROXY=true
   

4. Django の移行を実行してモデルとアセットを設定します。

   python manage.py makemigrations
   python manage.py makemigrations polls
   python manage.py migrate
   python manage.py collectstatic
   

5. Django ウェブサーバーを起動します。

   python manage.py runserver 8080
   

6. ブラウザで、http://localhost:8080 にアクセスします。

   Cloud Shell を使用している場合は、[ウェブでプレビュー] ボタンをクリックし、[ポート 8080 でプレビュー] を選択します。

   「Hello, world. You're at the polls index.」というテキストを含む簡単なウェブページが表示されます。コンピュータで実行されている Django ウェブサーバーは、サンプルアプリのページを配信します。

7. Ctrl/Cmd+C キーを押して、ローカル ウェブサーバーを停止します。

Django 管理コンソールを使用する

Django の管理コンソールにログインするには、スーパー ユーザーを作成する必要があります。データベースにはローカルにアクセスできるため、管理コマンドを実行できます。

1. スーパーユーザーを作成します。ユーザー名、メールアドレス、パスワードの入力を求められます。

   python manage.py createsuperuser
   

2. ローカル ウェブサーバーを起動します。

   python manage.py runserver
   

3. ブラウザで、http://localhost:8000/admin にアクセスします。

4. createsuperuser の実行時に使用したユーザー名とパスワードで管理サイトにログインします。

App Engine スタンダード環境のアプリをデプロイする

すべてのバッキング サービスを設定し、アプリケーションをローカルでテストしたら、アプリを App Engine スタンダード環境にデプロイできます。

1. 次のコマンドを実行してアプリをアップロードします。app.yaml で説明されているようにアプリがデプロイされ、新しくデプロイされたバージョンがデフォルト バージョンとして設定されます。これにより、すべての新しいトラフィックがこのバージョンによって処理されます。

   gcloud app deploy

2. プロンプトが表示されたら、「yes」と入力して設定を確認します。
3. 更新が完了したことを通知するメッセージが表示されるまで待ちます。
4. app.yaml を開き、デプロイした URL で APPENGINE_URL の値を更新します。

   ...
   env_variables:
       APPENGINE_URL: https://PROJECT_ID.uc.r.appspot.com
   

5. 構成の変更をアップロードします。

   gcloud app deploy

デプロイされたアプリを実行する

アプリがデプロイされ、アクセスできるようになりました。

• デプロイされたウェブサイトを開きます。

  gcloud app browse
  

• または、URL を表示して、手動で開きます。

  gcloud app describe --format "value(defaultHostname)"
  

リクエストは、App Engine スタンダード環境で実行されているウェブサーバーによって処理されます。

アプリケーションを更新する

アプリケーションを更新するには、コードを変更してから、gcloud app deploy コマンドを再度実行します。

デプロイすると、アプリの新しいバージョンが作成され、それがデフォルトのバージョンに設定されます。アプリの古いバージョンはそのまま残ります。これらのアプリ バージョンはすべて課金対象のリソースとなります。コストを抑えるには、アプリのデフォルト以外のバージョンを削除します。

本番環境用の構成

これで Django のデプロイが機能するようになりましたが、アプリケーションが本番環境に対応できるよう、追加の手順を行う必要があります。

デバッグを無効にする

mysite/settings.py の DEBUG 変数が False に設定されていることを確認します。これにより、ユーザーに詳細なエラーページが表示されなくなり、設定に関する情報が漏洩を防ぎます。

データベース ユーザーの権限を制限する

Cloud SQLを使用して作成されたすべてのユーザーには、cloudsqlsuperuser ロールに関連付けられた特権（CREATEROLE、CREATEDB、および LOGIN）があります。

Django データベース ユーザーにこれらの権限が付与されないようにするには、PostgreSQL でユーザーを手動で作成します。psql インタラクティブ ターミナルをインストールするか、このツールがプリインストールされている Cloud Shell を使用する必要があります。

コードを理解する

サンプル アプリケーション

Django サンプルアプリは、Django の標準ツールを使用して作成されています。次のコマンドは、プロジェクトとアンケート アプリを作成します。

django-admin startproject mysite
python manage.py startapp polls

ベースビュー、モデル、ルート構成は、最初の Django アプリを作成する（パート 1およびパート 2）からコピーされました。

Secret Manager のシークレット

settings.py ファイルには、Secret Manager Python API を使用して指定されたシークレットの最新バージョンを取得し、（django-environ を使用して）その環境に pull するコードが含まれています。

env = environ.Env(DEBUG=(bool, False))
env_file = os.path.join(BASE_DIR, ".env")

if os.path.isfile(env_file):
    # Use a local secret file, if provided

    env.read_env(env_file)
# ...
elif os.environ.get("GOOGLE_CLOUD_PROJECT", None):
    # Pull secrets from Secret Manager
    project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")

    client = secretmanager.SecretManagerServiceClient()
    settings_name = os.environ.get("SETTINGS_NAME", "django_settings")
    name = f"projects/{project_id}/secrets/{settings_name}/versions/latest"
    payload = client.access_secret_version(name=name).payload.data.decode("UTF-8")

    env.read_env(io.StringIO(payload))
else:
    raise Exception("No local .env or GOOGLE_CLOUD_PROJECT detected. No secrets found.")

シークレットは、構成する必要のあるさまざまなシークレットの数を減らすために、複数のシークレット値を格納するために使用されます。

CSRF の構成

Django には、クロスサイト リクエスト フォージェリ（CSRF）に対する保護機能が組み込まれています。Django 4.0 以降では、この機能の動作方法が変更されました。そのため、ホストされている URL を Django に指示して、データを送信するユーザーを最適に保護できるようにすることが重要です。

アプリの URL を環境変数として settings.py ファイルで指定します。これは、Django で関連する設定に使用する値です。

# SECURITY WARNING: It's recommended that you use this when
# running in production. The URL will be known once you first deploy
# to App Engine. This code takes the URL and converts it to both these settings formats.
APPENGINE_URL = env("APPENGINE_URL", default=None)
if APPENGINE_URL:
    # Ensure a scheme is present in the URL before it's processed.
    if not urlparse(APPENGINE_URL).scheme:
        APPENGINE_URL = f"https://{APPENGINE_URL}"

    ALLOWED_HOSTS = [urlparse(APPENGINE_URL).netloc]
    CSRF_TRUSTED_ORIGINS = [APPENGINE_URL]
    SECURE_SSL_REDIRECT = True
else:
    ALLOWED_HOSTS = ["*"]

ローカル シークレットのオーバーライド

ローカルのファイル システムで .env ファイルが見つかった場合は、Secret Manager の値の代わりに使用されます。ローカルで .env ファイルを作成すると、ローカルテスト（SQLite データベースに対するローカル開発やその他のローカル設定など）に役立ちます。

データベースへの接続

settings.pyファイルには、SQL データベースの構成が含まれています。django-environ の env.db() ヘルパーを使用して、DATABASE_URL で設定された接続文字列を DATABASES 設定に読み込みます。

アプリケーションをローカルで実行し、Cloud SQL Auth Proxy を使用してホスト型データベースにアクセスする場合、USE_CLOUD_SQL_AUTH_PROXY フラグはプロキシを使用するようにデータベースの設定を調整します。

# Use django-environ to parse the connection string
DATABASES = {"default": env.db()}

# If the flag as been set, configure to use proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
    DATABASES["default"]["HOST"] = "127.0.0.1"
    DATABASES["default"]["PORT"] = 5432

ホストされる静的コンテンツ

app.yamlファイルには、App Engine にデプロイするための構成情報が含まれています。 この app.yaml ファイルは、App Engine が static/ ディレクトリから静的ファイルを提供することを示します。

runtime: python39

env_variables:
  # This setting is used in settings.py to configure your ALLOWED_HOSTS
  # APPENGINE_URL: PROJECT_ID.uc.r.appspot.com

handlers:
# This configures Google App Engine to serve the files in the app's static
# directory.
- url: /static
  static_dir: static/

# This handler routes all requests not caught above to your main app. It is
# required when static routes are defined, but can be omitted (along with
# the entire handlers section) when there are no static files defined.
- url: /.*
  script: auto

アプリを DEBUG を有効にしてローカルで実行すると、これらのファイルは Django によってローカルで提供されます。

from django.conf import settings
from django.conf.urls.static import static
from django.contrib import admin
from django.urls import include, path

urlpatterns = [
    path("", include("polls.urls")),
    path("admin/", admin.site.urls),
] + static(settings.STATIC_URL, document_root=settings.STATIC_ROOT)