Como executar o Django no ambiente do Cloud Run

Preparar o ambiente

Clonar um aplicativo de exemplo

O código do app de amostra do Django está no repositório GoogleCloudPlatform/python-docs-samples (em inglês) no GitHub.

1. É possível fazer o download da amostra como um arquivo ZIP e extraí-lo ou clonar o repositório na máquina local:

   git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
   

2. Acesse o diretório que contém o código de amostra:

   Linux/MacOS

   cd python-docs-samples/run/django
   

   Windows

   cd python-docs-samples\run\django
   

Confirmar a configuração do Python

Este tutorial depende do Python para executar o aplicativo de amostra na máquina. O código de amostra também requer a instalação de dependências

Para mais detalhes, consulte o guia do ambiente de desenvolvimento do Python.

1. Confirme se o Python tem pelo menos a versão 3.7.

    python -V
   

   Você verá Python 3.7.3 ou mais.

2. Crie um ambiente virtual em Python e instale as dependências:

   Linux/macOS

   python -m venv venv
   source venv/bin/activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

   Windows

   python -m venv env
   venv\scripts\activate
   pip install --upgrade pip
   pip install -r requirements.txt
   

Faça o download do proxy do Cloud SQL Auth para se conectar ao Cloud SQL da sua máquina local

Quando implantado, seu aplicativo usa o proxy de autenticação do Cloud SQL integrado ao ambiente do Cloud Run para se comunicar com a instância do Cloud SQL. No entanto, para testar o aplicativo no local, é necessário instalar e usar uma cópia local do proxy no ambiente de desenvolvimento. Para mais detalhes, consulte o Guia de proxy de autenticação do Cloud SQL.

O Cloud SQL Auth Proxy usa a API do Cloud SQL para interagir com sua instância do SQL. Para isso, é necessária a autenticação do aplicativo por meio do gcloud.

1. Faça a autenticação e a aquisição de credenciais para a API:

   gcloud auth application-default login
   

2. Faça o download e instale o proxy do Cloud SQL Auth na máquina local.

   Linux de 64 bits

   1. Faça o download do proxy do Cloud SQL Auth:

      wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64 -O cloud_sql_proxy
      

   2. Torne o proxy do Cloud SQL Auth executável:

      chmod +x cloud_sql_proxy
      

   Linux de 32 bits

   1. Faça o download do proxy do Cloud SQL Auth:

      wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.386 -O cloud_sql_proxy
      

   2. Torne o proxy do Cloud SQL Auth executável:

      chmod +x cloud_sql_proxy
      

   macOS de 64 bits

   1. Faça o download do proxy do Cloud SQL Auth:

      curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.amd64
      

   2. Torne o proxy do Cloud SQL Auth executável:

      chmod +x cloud_sql_proxy
      

   macOS de 32 bits

   1. Faça o download do proxy do Cloud SQL Auth:

      curl -o cloud_sql_proxy https://dl.google.com/cloudsql/cloud_sql_proxy.darwin.386
      

   2. Torne o proxy do Cloud SQL Auth executável:

      chmod +x cloud_sql_proxy
      

   Windows de 64 bits

   Clique com o botão direito do mouse em https://dl.google.com/cloudsql/cloud_sql_proxy_x64.exe e selecione Salvar link como para fazer o download do proxy do Cloud SQL Auth. Renomeie o arquivo para cloud_sql_proxy.exe.

   Windows de 32 bits

   Clique com o botão direito do mouse em https://dl.google.com/cloudsql/cloud_sql_proxy_x86.exe e selecione Salvar link como para fazer o download do proxy do Cloud SQL Auth. Renomeie o arquivo para cloud_sql_proxy.exe.

   Imagem do Docker do proxy do Cloud SQL Auth

   Por conveniência, várias imagens de contêiner que contêm o proxy do Cloud SQL Auth estão disponíveis no GitHub no repositório do proxy do Cloud SQL Auth. É possível extrair a imagem mais recente na sua máquina local usando o Docker com o seguinte comando:

   docker pull gcr.io/cloudsql-docker/gce-proxy:1.19.1
   

   Outros SOs

   Para outros sistemas operacionais não incluídos aqui, compile o proxy do Cloud SQL Auth na origem.

   É possível mover o download para um lugar comum, como um local no PATH ou seu diretório principal. Se você fizer isso, quando iniciar o proxy de autenticação do Cloud SQL posteriormente no tutorial, lembre-se de consultar o local escolhido ao usar os comandos cloud_sql_proxy.

Como preparar os serviços de apoio

Neste tutorial, usamos vários serviços do Google Cloud para fornecer o banco de dados, o armazenamento de mídia e o armazenamento de secrets compatíveis com o projeto Django implantado. Esses serviços são implantados em uma região específica. Para melhorar a eficiência entre os serviços, é melhor que todos os serviços sejam implantados na mesma região. Para mais informações sobre a região mais próxima de você, consulte Produtos disponíveis por região.

Configurar uma instância do Cloud SQL para PostgreSQL

O Django é compatível com vários bancos de dados relacionais, mas oferece o maior suporte do PostgreSQL, que é um dos tipos de banco de dados oferecidos no Cloud SQL.

As seções a seguir descrevem a criação de uma instância, um banco de dados e um usuário do banco de dados do PostgreSQL para o aplicativo de pesquisas.

Criar uma instância do PostgreSQL

Crie um banco de dados

Criar um usuário

Configurar um bucket do Cloud Storage

É possível armazenar recursos estáticos incluídos no Django, bem como mídia enviada pelo usuário, em armazenamento de objetos altamente disponível usando o Cloud Storage. O pacote django-storages[google] processa a interação do Django com esse back-end de armazenamento.

Armazenar valores do secret no Secret Manager

Agora que os serviços de backup estão configurados, o Django precisa de informações sobre esses serviços. Em vez de colocar esses valores diretamente no código-fonte do Django, este tutorial usa o Secret Manager para armazenar essas informações com segurança.

O Cloud Run e o Cloud Build interagem com os secrets usando as respectivas contas de serviço, identificadas por um endereço de e-mail que contém o número do projeto.

Criar o arquivo de ambiente Django como um secret do Secret Manager

Você armazena as configurações necessárias para iniciar o Django em um arquivo .env protegido. O código de amostra usa a API Secret Manager para recuperar o valor do secret e o pacote django-environ para carregar os valores no ambiente Django. A chave secreta está configurada para ser acessível pelo Cloud Build e pelo Cloud Run, porque ambos os serviços executarão o Django.

1. Crie um arquivo chamado .env, definindo a string de conexão do banco de dados, o nome do bucket de mídia e um novo valor SECRET_KEY:

   DATABASE_URL=postgres://django:PASSWORD@//cloudsql/PROJECT_ID:REGION:INSTANCE_NAME/DATABASE_NAME
   GS_BUCKET_NAME=PROJECT_ID-media
   SECRET_KEY=(a random string, length 50)
   

2. Armazene o secret no Secret Manager:

Criar um secret para a senha de administrador do Django

O usuário administrador do Django normalmente é criado executando o comando de gerenciamento interativo createsuperuser.

Neste tutorial, uma migração de dados é usada para criar o usuário administrador, recuperando essa senha do Secret Manager.

Conceder acesso ao Cloud Build para o Cloud SQL

Para que o Cloud Build aplique as migrações do banco de dados, é preciso conceder permissões para que o Cloud Build acesse o Cloud SQL.

Executar o app no computador local

Com os serviços de apoio configurados, agora você pode executar o app no seu computador. Essa configuração permite o desenvolvimento local e a aplicação de migrações de banco de dados. As migrações de banco de dados também são aplicadas no Cloud Build, mas você precisará ter essa configuração local para makemigrations.

1. Em um terminal separado, inicie o proxy do Cloud SQL Auth:

   Linux/macOS

   ./cloud_sql_proxy -instances="PROJECT_ID:REGION:INSTANCE_NAME"=tcp:5432
   

   Windows

   cloud_sql_proxy.exe -instances="PROJECT_ID:REGION:INSTANCE_NAME"=tcp:5432
   

   Esta etapa estabelece uma conexão do computador local com a instância do Cloud SQL para fins de testes locais. Mantenha o proxy do Cloud SQL Auth em execução durante todo o teste local do aplicativo. A execução desse processo em um terminal separado permite que você continue trabalhando enquanto ele é executado. Certifique-se de que as próximas etapas sejam concluídas em um terminal separado.

2. Em um novo terminal, defina o ID do projeto localmente :

   Linux/macOS

     export GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

   Windows

     set GOOGLE_CLOUD_PROJECT=PROJECT_ID
   

3. Defina uma variável de ambiente para indicar que você está usando o Cloud SQL Auth Proxy (este valor é reconhecido no código):

   Linux/macOS

     export USE_CLOUD_SQL_AUTH_PROXY=true
   

   Windows

     set USE_CLOUD_SQL_AUTH_PROXY=true
   

4. Execute as migrações do Django para configurar seus modelos e recursos:

   python manage.py makemigrations
   python manage.py makemigrations polls
   python manage.py migrate
   python manage.py collectstatic
   

5. Inicie o servidor da Web Django:

   python manage.py runserver
   

6. No navegador, acesse http://localhost:8000/.

   A página exibe o seguinte texto: "Hello, world. Você está no índice de pesquisas". O servidor da Web do Django em execução no seu computador exibe as páginas do aplicativo de amostra.

7. Pressione Control+C para interromper o servidor da Web local.

Implantar o aplicativo no Cloud Run

Com a configuração de serviços de apoio, é possível implantar o serviço Cloud Run.

1. Usando o cloudmigrate.yaml fornecido, use o Cloud Build para criar a imagem, executar as migrações do banco de dados e preencher os recursos estáticos:

   gcloud builds submit --config cloudmigrate.yaml \
       --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
   

   A primeira versão leva alguns minutos para ser concluída.

2. Quando a criação for bem-sucedida, implante o serviço Cloud Run pela primeira vez, definindo a região de serviço, a imagem de base e a instância do Cloud SQL conectada:

   gcloud run deploy polls-service \
       --platform managed \
       --region REGION \
       --image gcr.io/PROJECT_ID/polls-service \
       --add-cloudsql-instances PROJECT_ID:REGION:INSTANCE_NAME \
       --allow-unauthenticated
   

   Será exibida a resposta que mostra a implantação bem-sucedida, com o URL de serviço:

   Service [polls-service] revision [polls-service-00001-tug] has been deployed
   and is serving 100 percent of traffic at https://polls-service-<hash>-uc.a.run.app
   

3. Para ver o serviço implantado, acesse o URL do serviço.

4. Para fazer login no administrador do Django, anexe /admin ao URL, faça login com o nome de usuário admin e a senha definida anteriormente.

Como atualizar o aplicativo

Embora as etapas iniciais de provisionamento e implantação sejam complexas, fazer atualizações é um processo mais simples:

1. Execute o script de criação e migração do Cloud Build:

   gcloud builds submit --config cloudmigrate.yaml \
       --substitutions _INSTANCE_NAME=INSTANCE_NAME,_REGION=REGION
   

2. Implante o serviço, especificando apenas a região e a imagem:

   gcloud run deploy polls-service \
       --platform managed \
       --region REGION \
       --image gcr.io/PROJECT_ID/polls-service
   

Como configurar para produção

Agora você tem uma implantação de trabalho do Django, mas há outras etapas que podem ser seguidas para garantir que seu aplicativo esteja pronto para produção.

Verificar se a depuração está desativada

Confirme se a variável DEBUG em mysite/settings.py está definida como False. Isso impedirá que páginas de erro detalhadas sejam exibidas para o usuário, o que pode vazar informações sobre as configurações.

Limitar os privilégios de usuário do banco de dados

Todos os usuários criados com o Cloud SQL têm os privilégios associados ao papel cloudsqlsuperuser: CREATEROLE, CREATEDB e LOGIN.

Para impedir que o usuário do banco de dados Django tenha essas permissões, crie-o manualmente no PostgreSQL. É preciso ter o terminal interativo psql instalado ou usar o Cloud Shell pré-instalado.

Como definir permissões mínimas

Por padrão, esse serviço é implantado com a conta de serviço de computação padrão. No entanto, em alguns casos, o uso da conta de serviço padrão pode fornecer muitas permissões. Se você quiser ser mais restritivo, será necessário criar sua própria conta de serviço e atribuir apenas as permissões exigidas pelo serviço. As permissões necessárias podem variar de serviço para serviço, dependendo dos recursos usados por um determinado serviço.

Os papéis mínimos do projeto exigidos por este serviço são os seguintes:

• Chamador do Cloud Run
• Cliente do Cloud SQL
• Administrador do Storage, no bucket de mídia
• Acessador de Secret Manager, no secret de configurações do Django. O acesso ao secret de administrador do Django não é exigido pelo próprio serviço.

Para criar uma conta de serviço com as permissões necessárias e atribuí-la ao serviço, execute o seguinte comando:

1. Na ferramenta gcloud, crie uma conta de serviço com os papéis necessários:

   gcloud iam service-accounts create polls-service-account
   SERVICE_ACCOUNT=polls-service-account@PROJECT_ID.iam.gserviceaccount.com
   
   # Cloud Run Invoker
   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/run.invoker
   
   # Cloud SQL Client
   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/cloudsql.client
   
   # Storage Admin, on the media bucket
   gsutil iam ch \
       serviceAccount:${SERVICE_ACCOUNT}:roles/storage.objectAdmin \
       gs://PROJECT_ID-media
   
   # Secret Accessor, on the Django settings secret.
   gcloud secrets add-iam-policy-binding django_settings \
       --member serviceAccount:${SERVICE_ACCOUNT} \
       --role roles/secretmanager.secretAccessor
   

2. Implante o serviço, associando-o à nova conta de serviço:

   gcloud run services update polls-service \
       --platform managed \
       --region REGION \
       --service-account ${SERVICE_ACCOUNT}
   

Entenda o código

Exemplo de aplicativo

O app de exemplo do Django foi criado com ferramentas padrão do Django. Os seguintes comandos criam o projeto e o app de pesquisa:

django-admin startproject mysite
python manage.py startapp polls

As visualizações básicas, os modelos e as configurações de rota foram copiados de Como criar seu primeiro aplicativo Django (Parte 1 e Parte 2).

Secrets do Secret Manager

O arquivo settings.py contém o código que usa a API Secret Manager Python para recuperar a versão mais recente do secret nomeado e extraí-la para o ambiente (usando django-environ):

env = environ.Env(DEBUG=(bool, False))
env_file = os.path.join(BASE_DIR, ".env")

# Attempt to load the Project ID into the environment, safely failing on error.
try:
    _, os.environ["GOOGLE_CLOUD_PROJECT"] = google.auth.default()
except google.auth.exceptions.DefaultCredentialsError:
    pass

if os.path.isfile(env_file):
    # Use a local secret file, if provided

    env.read_env(env_file)
# ...
elif os.environ.get("GOOGLE_CLOUD_PROJECT", None):
    # Pull secrets from Secret Manager
    project_id = os.environ.get("GOOGLE_CLOUD_PROJECT")

    client = secretmanager.SecretManagerServiceClient()
    settings_name = os.environ.get("SETTINGS_NAME", "django_settings")
    name = f"projects/{project_id}/secrets/{settings_name}/versions/latest"
    payload = client.access_secret_version(name=name).payload.data.decode("UTF-8")

    env.read_env(io.StringIO(payload))
else:
    raise Exception("No local .env or GOOGLE_CLOUD_PROJECT detected. No secrets found.")

O secret é usado para armazenar vários valores de secret para reduzir o número de diferentes secrets que precisam ser configurados. Embora superuser_password possa ter sido criado diretamente da linha de comando, o método baseado em arquivo foi usado. Se for gerado a partir da linha de comando, foi usado um cuidado usando head -c para determinar o comprimento da string gerada aleatoriamente, garantindo que não havia caracteres de nova linha no final do arquivo, o que poderia causar problemas quando a senha foi inserida no administrador do Django.

Modificações de secrets locais

Se um arquivo .env for encontrado no sistema de arquivos local, ele será usado no lugar do valor do Secret Manager. A criação local de um arquivo .env pode ajudar no teste local (por exemplo, no desenvolvimento local em um banco de dados SQLite ou em outras configurações locais).

Conexão com o banco de dados

O arquivo settings.py contém a configuração do banco de dados SQL. Se você definir o USE_CLOUD_SQL_AUTH_PROXY, a configuração DATABASES será alterada para inferir o uso do proxy de autenticação do Cloud SQL.

# Use django-environ to parse the connection string
DATABASES = {"default": env.db()}

# If the flag as been set, configure to use proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
    DATABASES["default"]["HOST"] = "127.0.0.1"
    DATABASES["default"]["PORT"] = 5432

Estática, armazenada em nuvem

O arquivo settings.py também usa django-storages para integrar o bucket de mídia do Cloud Storage diretamente ao projeto:

# Define static storage via django-storages[google]
GS_BUCKET_NAME = env("GS_BUCKET_NAME")
STATIC_URL = "/static/"
DEFAULT_FILE_STORAGE = "storages.backends.gcloud.GoogleCloudStorage"
STATICFILES_STORAGE = "storages.backends.gcloud.GoogleCloudStorage"
GS_DEFAULT_ACL = "publicRead"

Automação com o Cloud Build

O arquivo cloudmigrate.yaml executa não apenas as etapas comuns de criação de imagem (criação da imagem do contêiner e envio da imagem para o registro do contêiner), mas também os comandos migrate e collectstatic do Django. Elas exigem acesso ao banco de dados, que é realizado usando o app-engine-exec-wrapper, um auxiliar para o Cloud SQL Auth Proxy

steps:
  - id: "build image"
    name: "gcr.io/cloud-builders/docker"
    args: ["build", "-t", "gcr.io/${PROJECT_ID}/${_SERVICE_NAME}", "."]

  - id: "push image"
    name: "gcr.io/cloud-builders/docker"
    args: ["push", "gcr.io/${PROJECT_ID}/${_SERVICE_NAME}"]

  - id: "apply migrations"
    name: "gcr.io/google-appengine/exec-wrapper"
    args:
      [
        "-i",
        "gcr.io/$PROJECT_ID/${_SERVICE_NAME}",
        "-s",
        "${PROJECT_ID}:${_REGION}:${_INSTANCE_NAME}",
        "-e",
        "SETTINGS_NAME=${_SECRET_SETTINGS_NAME}",
        "--",
        "python",
        "manage.py",
        "migrate",
      ]

  - id: "collect static"
    name: "gcr.io/google-appengine/exec-wrapper"
    args:
      [
        "-i",
        "gcr.io/$PROJECT_ID/${_SERVICE_NAME}",
        "-s",
        "${PROJECT_ID}:${_REGION}:${_INSTANCE_NAME}",
        "-e",
        "SETTINGS_NAME=${_SECRET_SETTINGS_NAME}",
        "--",
        "python",
        "manage.py",
        "collectstatic",
        "--verbosity",
        "2",
        "--no-input",
      ]

substitutions:
  _INSTANCE_NAME: django-instance
  _REGION: us-central1
  _SERVICE_NAME: polls-service
  _SECRET_SETTINGS_NAME: django_settings

images:
  - "gcr.io/${PROJECT_ID}/${_SERVICE_NAME}"

Variáveis de substituição são usadas nessa configuração. Se você alterar os valores no arquivo, significa que a sinalização --substitutions pode ser descartada no momento da migração.

K_SERVICE é uma das variáveis de ambiente padrão declaradas no contrato do contêiner do Cloud Run. Ele é definido nas etapas de migração porque é a variável usada em settings.py para detectar se o aplicativo está sendo executado localmente e usando o proxy de autenticação do Cloud SQL.

Nessa configuração, apenas migrações existentes são aplicadas. As migrações precisam ser criadas localmente, usando o método de proxy de autenticação do Cloud SQL definido em "Como executar o aplicativo localmente".

Para estender a configuração do Cloud Build para incluir a implantação em uma configuração sem precisar executar dois comandos, consulte Implantação contínua do git usando o Cloud Build. Isso exige alterações no IAM, conforme descrito.

Criação de superusuário com migrações de dados

O comando de gerenciamento do Django createsuperuser só pode ser executado de forma interativa, ou seja, quando o usuário puder inserir informações em resposta às solicitações. Embora seja possível usar esse comando com o Cloud SQL Proxy e executar comandos em uma configuração local do Docker, outra maneira é criar o superusuário como uma migração de dados:

import os

from django.contrib.auth.models import User
from django.db import migrations
from django.db.backends.postgresql.schema import DatabaseSchemaEditor
from django.db.migrations.state import StateApps

import google.auth
from google.cloud import secretmanager

def createsuperuser(apps: StateApps, schema_editor: DatabaseSchemaEditor) -> None:
    """
    Dynamically create an admin user as part of a migration
    Password is pulled from Secret Manger (previously created as part of tutorial)
    """
    if os.getenv("TRAMPOLINE_CI", None):
        # We are in CI, so just create a placeholder user for unit testing.
        admin_password = "test"
    else:
        client = secretmanager.SecretManagerServiceClient()

        # Get project value for identifying current context
        _, project = google.auth.default()

        # Retrieve the previously stored admin password
        PASSWORD_NAME = os.environ.get("PASSWORD_NAME", "superuser_password")
        name = f"projects/{project}/secrets/{PASSWORD_NAME}/versions/latest"
        admin_password = client.access_secret_version(name=name).payload.data.decode(
            "UTF-8"
        )

    # Create a new user using acquired password, stripping any accidentally stored newline characters
    User.objects.create_superuser("admin", password=admin_password.strip())

class Migration(migrations.Migration):

    initial = True
    dependencies = []
    operations = [migrations.RunPython(createsuperuser)]