Le déploiement d'applications avec état comme Django sur Cloud Run implique l'intégration de services leur permettant d'interagir entre elles pour former un projet cohérent.
Dans ce tutoriel, nous partons du principe que vous connaissez bien le développement Web avec Django. Si vous débutez dans le développement avec Django, nous vous recommandons d'écrire votre première application Django avant de continuer.
Bien que ce tutoriel illustre spécifiquement Django, vous pouvez utiliser ce processus de déploiement avec d'autres frameworks basés sur Django, tels que Wagtail et le CMS Django.
Ce tutoriel utilise Django 4, qui nécessite au moins Python 3.8.
Objectifs
Au cours de ce tutoriel, vous allez effectuer les opérations suivantes :
- Créer et connecter une base de données Cloud SQL.
- Créer et utiliser des valeurs secrètes dans Secret Manager.
Déployer une application Django sur Cloud Run.
Héberger des fichiers statiques sur Cloud Storage.
Utiliser Cloud Build pour automatiser le déploiement.
Coûts
Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :
Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Run, Cloud SQL, Cloud Build, Secret Manager, and Compute Engine APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Run, Cloud SQL, Cloud Build, Secret Manager, and Compute Engine APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Assurez-vous que le compte utilisé pour ce tutoriel dispose des autorisations suffisantes.
Préparer votre environnement
Cloner une application exemple
Le code de l'exemple d'application Django se trouve dans le dépôt GitHub GoogleCloudPlatform/python-docs-samples.
Vous pouvez soit télécharger l'exemple sous forme de fichier ZIP et l'extraire, soit cloner le dépôt sur votre ordinateur local à l'aide de la commande suivante :
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
Accédez au répertoire qui contient l'exemple de code :
Linux/macOS
cd python-docs-samples/run/django
Windows
cd python-docs-samples\run\django
Confirmer la configuration de Python
Ce tutoriel s'appuie sur Python pour exécuter l'exemple d'application sur votre machine. L'exemple de code nécessite également l'installation de dépendances.
Pour en savoir plus, consultez le guide de l'environnement de développement Python.
Assurez-vous que la version de Python est au moins la version 3.7.
python -V
Vous devriez voir
Python 3.7.3
ou une valeur supérieure.Créez un environnement virtuel Python et installez des dépendances :
Linux/macOS
python -m venv venv source venv/bin/activate pip install --upgrade pip pip install -r requirements.txt
Windows
python -m venv env venv\scripts\activate pip install --upgrade pip pip install -r requirements.txt
Téléchargez le proxy d'authentification Cloud SQL pour vous connecter à Cloud SQL depuis votre ordinateur local.
Une fois déployée, votre application communique avec votre instance Cloud SQL via le proxy d'authentification Cloud SQL qui est intégré à l'environnement Cloud Run. Notez toutefois que pour tester votre application en local, vous devez installer et utiliser une copie locale du proxy dans votre environnement de développement. Pour plus de détails, reportez-vous au guide sur les proxys d'authentification Cloud SQL.
Le proxy d'authentification Cloud SQL utilise l'API Cloud SQL pour interagir avec votre instance SQL. Pour ce faire, il nécessite l’authentification de l’application via gcloud.
Authentifiez-vous et acquérez des identifiants pour l'API :
gcloud auth application-default login
Téléchargez et installez le proxy d'authentification Cloud SQL sur votre ordinateur local.
Linux 64 bits
- Téléchargez le proxy d'authentification Cloud SQL :
wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64 -O cloud_sql_proxy
- Rendez le proxy d'authentification Cloud SQL exécutable :
chmod +x cloud_sql_proxy
Linux 32 bits
- Téléchargez le proxy d'authentification Cloud SQL :
wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.386 -O cloud_sql_proxy
- Si la commande
wget
est introuvable, exécutezsudo apt-get install wget
puis répétez la commande de téléchargement. - Rendez le proxy d'authentification Cloud SQL exécutable :
chmod +x cloud_sql_proxy
macOS 64 bits
- Téléchargez le proxy d'authentification Cloud SQL :
curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.amd64
- Rendez le proxy d'authentification Cloud SQL exécutable :
chmod +x cloud_sql_proxy
macOS 32 bits
- Téléchargez le proxy d'authentification Cloud SQL :
curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.386
- Rendez le proxy d'authentification Cloud SQL exécutable :
chmod +x cloud_sql_proxy
Mac M1
- Téléchargez le proxy d'authentification Cloud SQL :
curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.arm64
- Rendez le proxy d'authentification Cloud SQL exécutable :
chmod +x cloud_sql_proxy
Windows 64 bits
Pour télécharger le proxy d'authentification Cloud SQL, effectuez un clic droit sur le lien https://dl.google.com/cloudsql/cloud_sql_proxy_x64.exe, puis sélectionnez Enregistrer le lien sous. Renommez le fichier encloud_sql_proxy.exe
.Windows 32 bits
Pour télécharger le proxy d'authentification Cloud SQL, effectuez un clic droit sur le lien https://dl.google.com/cloudsql/cloud_sql_proxy_x86.exe, puis sélectionnez Enregistrer le lien sous. Renommez le fichier encloud_sql_proxy.exe
.Image Docker du proxy d'authentification Cloud SQL
Pour plus de commodité, plusieurs images de conteneur contenant le proxy d'authentification Cloud SQL sont disponibles sur GitHub dans le dépôt du proxy d'authentification Cloud SQL. Vous pouvez extraire la dernière image sur votre ordinateur local en utilisant Docker avec la commande suivante :docker pull gcr.io/cloudsql-docker/gce-proxy:1.30.1
Autres systèmes d'exploitation
Pour les autres systèmes d'exploitation non inclus ici, vous pouvez compiler le proxy d'authentification Cloud SQL à partir de la source.Vous pouvez déplacer le téléchargement vers un emplacement courant, tel qu'un emplacement sur votre
PATH
ou dans votre répertoire d'accueil. Si vous choisissez cette solution, lorsque vous démarrerez le proxy d'authentification Cloud SQL plus tard dans le tutoriel, n'oubliez pas de faire référence à l'emplacement que vous avez choisi lors de l'utilisation des commandescloud_sql_proxy
.- Téléchargez le proxy d'authentification Cloud SQL :
Créer des services externes
Dans ce tutoriel, nous utilisons plusieurs services Google Cloud pour fournir la base de données, le stockage multimédia et le stockage de secrets compatibles avec le projet Django déployé. Ces services sont déployés dans une région spécifique. Pour plus d'efficacité entre les services, tous les services doivent être déployés dans la même région. Pour plus d'informations sur la région la plus proche de vous, consultez la section Produits disponibles par région.
Ce tutoriel utilise les mécanismes d'hébergement d'éléments statiques intégrés dans Cloud Run.Configurer une instance Cloud SQL pour PostgreSQL
Django est officiellement compatible avec plusieurs bases de données relationnelles, mais offre la plus grande compatibilité avec PostgreSQL. PostgreSQL est compatible avec Cloud SQL. Ce tutoriel choisit donc d'utiliser ce type de base de données.
La section suivante décrit la création d'une instance PostgreSQL, d'une base de données et d'un utilisateur de base de données pour l'application.
Créez l'instance PostgreSQL :
Console
Dans Cloud Console, accédez à la page Instances Cloud SQL.
Cliquez sur Create Instance (Créer une instance).
Cliquez sur PostgreSQL.
Dans le champ ID d'instance, saisissez
INSTANCE_NAME
.Indiquez le mot de passe de l'utilisateur postgres.
Conservez les valeurs par défaut des autres champs.
Cliquez sur Create (Créer).
La création de l'instance et la préparation à son utilisation prennent quelques minutes.
gcloud
Créez l'instance PostgreSQL :
gcloud sql instances create INSTANCE_NAME \ --project PROJECT_ID \ --database-version POSTGRES_13 \ --tier db-f1-micro \ --region REGION
Remplacez les éléments suivants :
INSTANCE_NAME
: nom de l'instance Cloud SQLPROJECT_ID
: ID de projet Google CloudREGION
: région Google Cloud
La création de l'instance et la préparation à son utilisation prennent quelques minutes.
Dans l'instance créée, créez une base de données :
Console
- Sur la page de votre instance, accédez à l'onglet Bases de données.
- Cliquez sur Create database.
- Dans la boîte de dialogue Nom de la base de données, saisissez
DATABASE_NAME
. - Cliquez sur Create (Créer).
gcloud
Créez la base de données dans l'instance récemment créée :
gcloud sql databases create DATABASE_NAME \ --instance INSTANCE_NAME
Remplacez
DATABASE_NAME
par le nom de la base de données dans l'instance.
Créez un utilisateur de base de données :
Console
- Dans la page de votre instance, accédez à l'onglet Utilisateurs.
- Cliquez sur Ajouter un compte utilisateur.
- Dans la boîte de dialogue Ajouter un compte utilisateur à l'instance, sous "Authentification intégrée", effectuez les opérations suivantes :
- Saisissez le nom d'utilisateur
DATABASE_USERNAME
. - Saisissez le mot de passe
DATABASE_PASSWORD
. - Cliquez sur Ajouter.
gcloud
Créez l'utilisateur dans l'instance récemment créée :
gcloud sql users create DATABASE_USERNAME \ --instance INSTANCE_NAME \ --password DATABASE_PASSWORD
Remplacez
PASSWORD
par un mot de passe sécurisé.
Configurer un bucket Cloud Storage
Vous pouvez stocker les éléments statiques inclus dans Django, ainsi que les contenus multimédias importés par les utilisateurs, dans un espace de stockage des objets à disponibilité élevée à l'aide de Cloud Storage.
Le package django-storages[google]
gère les interactions de Django avec ce backend de stockage.
Console
- In the Google Cloud console, go to the Cloud Storage Buckets page.
- Click Create bucket.
- On the Create a bucket page, enter your bucket information. To go to the next
step, click Continue.
- For Name your bucket, enter a name that meets the bucket naming requirements.
- For Location, select the following: MEDIA_BUCKET
- For Choose a default storage class for your data, select the following: Standard.
- For Choose how to control access to objects, select an Access control option.
- For Advanced settings (optional), specify an encryption method, a retention policy, or bucket labels.
- Click Create.
gcloud
L'outil de ligne de commande gsutil
a été installé lors de l'installation de la CLI gcloud.
Créez un bucket Cloud Storage :
gsutil mb -l REGION gs://PROJECT_ID_MEDIA_BUCKET
Remplacez
MEDIA_BUCKET
par un suffixe pour le bucket multimédia. Combiné à l'ID du projet, il crée un nom de bucket unique.
Stocker les valeurs du secret dans Secret Manager
Maintenant que les services externes sont configurés, Django a besoin d'informations sur ces services. Au lieu de placer ces valeurs directement dans le code source de Django, ce tutoriel utilise Secret Manager pour stocker ces informations en toute sécurité.
Cloud Run et Cloud Build interagissent avec les secrets en utilisant leurs comptes de service respectifs. Les comptes de service sont identifiés par une adresse e-mail contenant le numéro de projet.Créer un fichier d'environnement Django en tant que secret Secret Manager
Vous stockez les paramètres requis pour démarrer Django dans un fichier d'environnement sécurisé.
L'exemple d'application utilise l'API Secret Manager pour récupérer la valeur du secret, et le package django-environ
pour charger les valeurs dans l'environnement Django. Le secret est configuré pour être accessible par Cloud Run et Cloud Build.
Créez un fichier appelé
.env
, en définissant la chaîne de connexion à la base de données, le nom du bucket multimédia et une nouvelle valeurSECRET_KEY
:echo DATABASE_URL=postgres://DATABASE_USERNAME:DATABASE_PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME > .env echo GS_BUCKET_NAME=PROJECT_ID_MEDIA_BUCKET >> .env echo SECRET_KEY=$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 50 | head -n1) >> .env
Stockez le secret dans le gestionnaire de secrets :
Console
Dans Cloud Console, accédez à la page Secret Manager.
Cliquez sur Créer un secret.
Dans le champ Nom, saisissez
django_settings
.Dans la boîte de dialogue Valeur du secret, collez le contenu de votre fichier
.env
.Cliquez sur Créer un secret.
Dans la section Détails pour django_settings, notez le numéro du projet :
projects/PROJECTNUM/secrets/django_settings
Supprimez le fichier local pour empêcher tout remplacement des paramètres locaux.
gcloud
Créez le secret
django_settings
avec la valeur du fichier.env
:gcloud secrets create django_settings --data-file .env
Pour confirmer la création du secret, vérifiez-le :
gcloud secrets describe django_settings gcloud secrets versions access latest --secret django_settings
Obtenez la valeur du numéro de projet (
PROJECTNUM
) :export PROJECTNUM=$(gcloud projects describe PROJECT_ID --format='value(projectNumber)')
Supprimez le fichier local pour empêcher tout remplacement des paramètres locaux :
rm .env
Configurez l'accès au secret :
Console
- Cliquez sur l'onglet Autorisations.
- Cliquez sur Ajouter.
- Dans le champ Nouveaux membres, saisissez
PROJECTNUM-compute@developer.gserviceaccount.com
, puis appuyez surEnter
. - Dans le champ Nouveaux membres, saisissez
PROJECTNUM@cloudbuild.gserviceaccount.com
, puis appuyez surEnter
. - Dans le menu déroulant Rôle, sélectionnez Accesseur de secrets de Secret Manager.
- Cliquez sur Enregistrer.
gcloud
Accordez l'accès au secret au compte de service Cloud Run :
gcloud secrets add-iam-policy-binding django_settings \ --member serviceAccount:PROJECTNUM-compute@developer.gserviceaccount.com \ --role roles/secretmanager.secretAccessor
Accordez l'accès au secret au compte de service Cloud Build :
gcloud secrets add-iam-policy-binding django_settings \ --member serviceAccount:PROJECTNUM@cloudbuild.gserviceaccount.com \ --role roles/secretmanager.secretAccessor
Dans le résultat, confirmez que
bindings
identifie les deux comptes de service en tant que membres.
Créer un secret pour le mot de passe administrateur de Django
L'administrateur Django est normalement créé en exécutant la commande de gestion interactive createsuperuser
.
Ce tutoriel utilise une migration de données pour créer l'administrateur, en récupérant le mot de passe administrateur à partir de Secret Manager.
Console
- Dans Cloud Console, accédez à la page Secret Manager.
Cliquez sur Créer un secret.
Dans le champ Nom, saisissez
superuser_password
.Dans le champ Valeur du secret, saisissez un mot de passe aléatoire et unique.
Cliquez sur Créer un secret.
Dans la section Détails pour
superuser_password
, notez le numéro du projet (projects/PROJECTNUM/secrets/superuser_password
).Cliquez sur l'onglet Autorisations.
Cliquez sur Ajouter.
Dans le champ Nouveaux membres, saisissez
PROJECTNUM@cloudbuild.gserviceaccount.com
, puis appuyez surEnter
.Dans le menu déroulant Rôle, sélectionnez Accesseur de secrets de Secret Manager.
Cliquez sur Enregistrer.
gcloud
Créez le secret
superuser_password
à partir d'un mot de passe généré de manière aléatoire :echo -n "$(cat /dev/urandom | LC_ALL=C tr -dc '[:alpha:]'| fold -w 30 | head -n1)" | gcloud secrets create superuser_password --data-file -
Accordez l'accès au secret à Cloud Build :
gcloud secrets add-iam-policy-binding superuser_password \ --member serviceAccount:PROJECTNUM@cloudbuild.gserviceaccount.com \ --role roles/secretmanager.secretAccessor
Dans le résultat, confirmez que
bindings
ne répertorie que Cloud Build en tant que membre.
Autoriser Cloud Build à accéder à Cloud SQL
Pour que Cloud Build puisse appliquer les migrations de base de données, vous devez autoriser Cloud Build à accéder à Cloud SQL.
Console
Dans Cloud Console, accédez à la page Identity and Access Management.
Pour modifier l'entrée pour
PROJECTNUM@cloudbuild.gserviceaccount.com
, cliquez sur Modifier.Cliquez sur Ajouter un autre rôle.
Dans la boîte de dialogue Sélectionner un rôle, sélectionnez Client Cloud SQL.
Cliquez sur Enregistrer.
gcloud
Autorisez Cloud Build à accéder à Cloud SQL :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:PROJECTNUM@cloudbuild.gserviceaccount.com \ --role roles/cloudsql.client
Exécuter l'application sur votre ordinateur local
Maintenant que les services externes sont configurés, vous pouvez exécuter l'application sur votre ordinateur. Cette configuration permet le développement local et l'application de migrations de bases de données. Notez que les migrations de bases de données sont également appliquées dans Cloud Build, mais vous devez disposer de cette configuration locale pour pouvoir utiliser makemigrations
.
Dans un terminal distinct, démarrez le proxy d'authentification Cloud SQL :
Linux/macOS
./cloud_sql_proxy -instances="PROJECT_ID:REGION:INSTANCE_NAME"=tcp:5432
Windows
cloud_sql_proxy.exe -instances="PROJECT_ID:REGION:INSTANCE_NAME"=tcp:5432
Cette étape permet d'établir une connexion depuis votre ordinateur local vers votre instance Cloud SQL à des fins de test. N'arrêtez pas le proxy d'authentification Cloud SQL lors du test local de votre application. L'exécution de ce processus dans un terminal distinct vous permet de continuer à travailler pendant son exécution.
Dans un nouveau terminal, définissez l'ID de projet localement (utilisé par l'API Secret Manager) :
Linux/macOS
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
Windows
set GOOGLE_CLOUD_PROJECT=PROJECT_ID
Définissez une variable d'environnement pour indiquer que vous utilisez le proxy d'authentification Cloud SQL (cette valeur est reconnue dans le code) :
Linux/macOS
export USE_CLOUD_SQL_AUTH_PROXY=true
Windows
set USE_CLOUD_SQL_AUTH_PROXY=true
Exécutez les migrations Django pour configurer vos modèles et vos éléments :
python manage.py makemigrations python manage.py makemigrations polls python manage.py migrate python manage.py collectstatic
Démarrez le serveur Web Django :
python manage.py runserver
Dans votre navigateur, accédez à http://localhost:8000.
La page affiche le texte suivant : "Hello, world. You're at the polls index." Le serveur Web Django qui s'exécute sur votre ordinateur diffuse les pages de l'exemple d'application.
Appuyez sur
Ctrl
/Cmd
+C
pour arrêter le serveur Web local.
Déployer l'application sur Cloud Run
Avec la configuration des services externes, vous pouvez maintenant déployer le service Cloud Run.
À l'aide du fichier
cloudmigrate.yaml
fourni, utilisez Cloud Build pour créer l'image, exécuter les migrations de la base de données et renseigner les éléments statiques :gcloud builds submit --config cloudmigrate.yaml \ --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
Cette première compilation prend quelques minutes.
Une fois la compilation réussie, déployez le service Cloud Run pour la première fois en définissant la région du service, l'image de base et l'instance Cloud SQL connectée :
gcloud run deploy polls-service \ --platform managed \ --region REGION \ --image gcr.io/PROJECT_ID/polls-service \ --add-cloudsql-instances PROJECT_ID:REGION:INSTANCE_NAME \ --allow-unauthenticated
Vous devriez obtenir un résultat indiquant que le déploiement a réussi, avec une URL de service :
Service [polls-service] revision [polls-service-00001-tug] has been deployed and is serving 100 percent of traffic at https://polls-service-<hash>-uc.a.run.app
Maintenant que l'URL de service est connue, mettez à jour le service pour définir cette valeur en tant que variable d'environnement:
SERVICE_URL=$(gcloud run services describe polls-service --platform managed \ --region REGION --format "value(status.url)") gcloud run services update polls-service \ --platform managed \ --region REGION \ --set-env-vars CLOUDRUN_SERVICE_URL=$SERVICE_URL
Pour afficher le service déployé, accédez à l'URL du service.
Pour vous connecter à l'administrateur Django, ajoutez
/admin
à l'URL et connectez-vous avec le nom d'utilisateuradmin
et le mot de passe défini précédemment.
Mettre à jour l'application
Alors que la procédure initiale de création et de déploiement était complexe, la mise à jour est un processus plus simple :
Exécutez le script de compilation et de migration Cloud Build :
gcloud builds submit --config cloudmigrate.yaml \ --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
Déployez le service en spécifiant uniquement la région et l'image :
gcloud run deploy polls-service \ --platform managed \ --region REGION \ --image gcr.io/PROJECT_ID/polls-service
Configurer pour la production
Votre déploiement Django est opérationnel, mais vous pouvez suivre d'autres étapes pour vous assurer que votre application est prête pour la production.
Désactiver le débogage
Vérifiez que la variable DEBUG
dans mysite/settings.py
est définie sur False
. Cela empêche l'affichage pour l'utilisateur de pages d'erreur détaillées, ce qui peut conduire à des fuites des informations sur les configurations.
Limiter les droits d'utilisateur de la base de données
Tous les utilisateurs créés à l'aide de Cloud SQL disposent des droits associés au rôle cloudsqlsuperuser
: CREATEROLE
, CREATEDB
et LOGIN
.
Pour empêcher l'utilisateur de la base de données Django de disposer de ces autorisations, créez-le manuellement dans PostgreSQL. Vous devrez avoir installé le terminal interactif psql
ou utiliser Cloud Shell, dans lequel cet outil est préinstallé.
Console
-
In the Google Cloud console, activate Cloud Shell.
Dans Cloud Shell, utilisez le terminal intégré pour vous connecter à votre instance
INSTANCE_NAME
:gcloud sql connect INSTANCE_NAME --user postgres
Saisissez le mot de passe utilisateur Postgres.
Vous utilisez désormais
psql
. L'invitepostgres=>
doit s'afficher.Créez un compte utilisateur :
CREATE USER DATABASE_USERNAME WITH PASSWORD 'DATABASE_PASSWORD';
Remplacez
PASSWORD
par un mot de passe unique et aléatoire.Accordez tous les droits sur la nouvelle base de données au nouvel utilisateur :
GRANT ALL PRIVILEGES ON DATABASE DATABASE_NAME TO DATABASE_USERNAME;
Quittez
psql
:\q
gcloud
Démarrez une connexion à l'instance SQL :
gcloud sql connect INSTANCE_NAME --user postgres
Remplacez
INSTANCE_NAME
par l'instance Cloud SQL créée.Saisissez le mot de passe utilisateur Postgres.
Vous utilisez désormais
psql
. L'invitepostgres=>
doit s'afficher.Créez un compte utilisateur :
CREATE USER DATABASE_USERNAME WITH PASSWORD 'DATABASE_PASSWORD';
Accordez tous les droits sur la nouvelle base de données au nouvel utilisateur :
GRANT ALL PRIVILEGES ON DATABASE DATABASE_NAME TO DATABASE_USERNAME;
Quittez
psql
:\q
Définir des autorisations minimales
Par défaut, ce service est déployé avec le compte de service de calcul par défaut. Toutefois, dans certains cas, l'utilisation du compte de service par défaut peut fournir un trop grand nombre d'autorisations. Si vous souhaitez être plus restrictif, vous devez créer votre propre compte de service et ne lui accorder que les autorisations requises par votre service. Les autorisations requises peuvent varier d'un service à l'autre, en fonction des ressources utilisées par un service particulier.
Les rôles de projet minimaux requis par ce service sont les suivants :
- Demandeur Cloud Run
- Client Cloud SQL
- Administrateur de l'espace de stockage sur le bucket multimédia
- Accesseur Secret Manager sur le secret des paramètres Django (l'accès au secret d'administrateur Django n'est pas requis par le service lui-même)
Pour créer un compte de service disposant des autorisations requises, puis l'attribuer au service, exécutez la commande suivante :
Dans la CLI gcloud, créez un compte de service avec les rôles requis:
gcloud iam service-accounts create polls-service-account SERVICE_ACCOUNT=polls-service-account@PROJECT_ID.iam.gserviceaccount.com # Cloud Run Invoker gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:${SERVICE_ACCOUNT} \ --role roles/run.invoker # Cloud SQL Client gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:${SERVICE_ACCOUNT} \ --role roles/cloudsql.client # Storage Admin, on the media bucket gsutil iam ch \ serviceAccount:${SERVICE_ACCOUNT}:roles/storage.objectAdmin \ gs://MEDIA_BUCKET # Secret Accessor, on the Django settings secret. gcloud secrets add-iam-policy-binding django_settings \ --member serviceAccount:${SERVICE_ACCOUNT} \ --role roles/secretmanager.secretAccessor
Déployez le service, en l'associant au nouveau compte de service :
gcloud run services update polls-service \ --platform managed \ --region REGION \ --service-account ${SERVICE_ACCOUNT}
Comprendre le code
Exemple d'application
L'exemple d'application Django a été créé à l'aide des outils Django standards. Les commandes suivantes créent le projet et l'application polls :
django-admin startproject mysite
python manage.py startapp polls
Les vues de base, les modèles et les configurations de routage ont été copiés à partir du tutoriel Écrire votre première application Django (Partie 1 et Partie 2).
Secrets de Secret Manager
Le fichier settings.py
contient du code qui utilise l'API Python Secret Manager pour récupérer la dernière version du secret nommé et l'extraire dans l'environnement (à l'aide de django-environ
) :
Le secret est utilisé pour stocker plusieurs valeurs secrètes afin de réduire le nombre de secrets différents à configurer.
Bien que superuser_password
aurait pu être créé directement à partir de la ligne de commande, la méthode basée sur les fichiers a été utilisée à la place. Si le paramètre a été généré depuis la ligne de commande, head -c
a permis de déterminer la longueur de la chaîne générée de manière aléatoire, tout en veillant à ce qu'il n'y ait pas de saut de ligne à la fin du fichier, ce qui aurait entraîné des problèmes lors de la saisie du mot de passe dans l'administrateur Django.
Configurations CSRF
ChromeVox intègre une protection contre la RSF (Cross Site Request Forgery). À partir de Django 4.0, la modification de ce fonctionnement signifie qu'il est important d'indiquer à Django l'URL hébergée afin d'offrir les meilleures protections aux utilisateurs qui envoient des données.
Vous fournissez l'URL de l'application en tant que variable d'environnement dans le fichier settings.py
. Il s'agit de la valeur utilisée par Django pour les paramètres pertinents.
Remplacement des secrets locaux
Si un fichier .env
se trouve sur le système de fichiers local, il est utilisé à la place de la valeur de Secret Manager. La création d'un fichier .env
localement peut être utile pour les tests locaux (par exemple, développement local avec une base de données SQLite ou d'autres paramètres locaux).
Connexion à une base de données
Le fichier settings.py
contient la configuration de la base de données SQL. Si vous définissez USE_CLOUD_SQL_AUTH_PROXY
, le paramètre DATABASES
est modifié pour déduire l'utilisation du proxy d'authentification Cloud SQL.
Contenu statique stocké dans le cloud
Le fichier settings.py
utilise également django-storages
pour intégrer le bucket multimédia Cloud Storage directement au projet :
Automatisation avec Cloud Build
Le fichier cloudmigrate.yaml
exécute non seulement les étapes de compilation d'images classiques (création d'une image de conteneur et transfert de celle-ci vers le registre de conteneurs), mais aussi les commandes Django migrate
et collectstatic
. Celles-ci nécessitent un accès à la base de données, rendu possible par app-engine-exec-wrapper, un outil d'aide pour le proxy d'authentification Cloud SQL :
Des variables de substitution sont utilisées dans cette configuration. Modifier les valeurs directement dans le fichier signifie que l'option --substitutions
peut être supprimée au moment de la migration.
Dans cette configuration, seules les migrations existantes sont appliquées. Les migrations doivent être créées localement à l'aide de la méthode de proxy d'authentification Cloud SQL définie dans la section Exécuter l'application en local. Ce modèle peut être étendu pour exécuter d'autres commandes manage.py
, si nécessaire.
Pour étendre la configuration Cloud Build afin d'inclure le déploiement dans une seule configuration sans avoir à exécuter deux commandes, consultez la page Déploiement continu à partir de Git à l'aide de Cloud Build. Cela nécessite des modifications IAM, comme décrit dans cette page.
Création de super-utilisateurs avec des migrations de données
La commande de gestion Django createsuperuser
ne peut être exécutée que de manière interactive, c'est-à-dire lorsque l'utilisateur peut saisir des informations en réponse à des invites. Bien que vous puissiez utiliser cette commande avec le proxy Cloud SQL et en exécutant des commandes dans une configuration Docker locale, une autre méthode consiste à créer le super-utilisateur en tant que migration de données :
Effectuer un nettoyage
Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.
Supprimer le projet
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Étapes suivantes
- Apprenez à configurer PostgreSQL pour la production.
- Apprenez-en plus sur Django sur Google Cloud.