Exécution de code dans Cloud Run

L'un des principaux avantages de l'utilisation de Cloud Run pour héberger des agents d'IA est qu'il isole le code à l'aide de son environnement d'exécution sécurisé. En créant un outil de bac à sable de code dans Cloud Run et en l'exécutant dans votre conteneur, vous pouvez exécuter du code d'application dans le langage de programmation de votre choix.

Bac à sable sécurisé à deux niveaux

Cloud Run isole toutes les instances à l'aide d'un bac à sable à deux couches, composé d'une couche matérielle équivalente à des VM individuelles (virtualisation x86) et d'une couche de noyau logiciel. Pour en savoir plus, consultez la présentation de la conception de sécurité.

Lorsque vous déployez votre code, Cloud Run le confine dans l'environnement de bac à sable. Cette isolation vous permet d'exécuter du code non fiable, tel que du code généré par un grand modèle de langage (LLM), avec une sécurité renforcée. Lorsque vous exécutez du code non fiable, limitez les autorisations IAM sur votre service Cloud Run et utilisez des règles de pare-feu VPC pour empêcher votre code d'effectuer des appels à Internet.

Modes d'exécution du code

Cloud Run propose les modes suivants pour l'exécution de code :

  • Exécution asynchrone : pour éviter de perturber le flux principal de l'application, exécutez les tâches de manière asynchrone à l'aide d'un job Cloud Run pour les tâches de longue durée ou en arrière-plan. Par exemple, exécutez un job Cloud Run qui importe du code dans Cloud Storage, installe les dépendances requises, puis traite et stocke les résultats dans Cloud Storage.

  • Exécution synchrone : pour les processus qui nécessitent une réponse immédiate, utilisez un service Cloud Run. Un service Cloud Run dispose d'un délai avant expiration maximal d'une heure, ce qui laisse beaucoup de temps à votre code pour s'exécuter. Pour limiter les instances à traiter une requête à la fois, définissez la valeur de simultanéité sur 1. Vous pouvez également récupérer le code à exécuter dans le corps de la requête, renvoyer le résultat dans la réponse, puis mettre fin à l'instance de conteneur.

    L'image suivante montre les deux modes d'exécution du code :

    Pour l'exécution asynchrone, le code est importé dans Cloud Storage, qui est exécuté en tant que job Cloud Run. La tâche envoie les résultats de l'exécution à Cloud Storage pour qu'ils y soient stockés. Pour l'exécution synchrone, l'agent envoie une requête au service Cloud Run, avec le code dans le corps de la requête. Le service dispose d'un délai avant expiration d'une heure et d'une simultanéité de 1. Le service Cloud Run traite le code et l'envoie à l'instance de service, qui renvoie une réponse à l'agent.
    Figure 1. Modes d'exécution du code dans Cloud Run

Étapes suivantes