Mengonfigurasi update image dasar otomatis

Mengonfigurasi update image dasar otomatis untuk Cloud Run memungkinkan Google membuat patch keamanan ke komponen runtime bahasa dan sistem operasi image dasar secara otomatis. Anda tidak perlu mem-build ulang atau men-deploy ulang layanan agar image dasar diupdate. Tidak ada revisi baru yang dibuat saat gambar dasar diperbarui.

Diagram berikut menunjukkan cara kode aplikasi dan dependensi ("image aplikasi") ditumpuk di atas runtime bahasa, paket OS, dan Sistem Operasi ("image dasar"). Komponen image dasar diperbarui secara otomatis oleh Google.

Diagram image dasar Cloud Run

Untuk mengonfigurasi pembaruan image dasar otomatis, lakukan hal berikut:

  • Pilih image dasar Cloud Run yang kompatibel.
  • Build dan deploy image aplikasi Anda dengan cara yang mempertahankan kemampuan untuk memindahkan basis layanan yang berjalan dengan aman.

Memilih Image Dasar

Image dasar adalah titik awal untuk sebagian besar alur kerja pengembangan berbasis container. Developer memulai dengan image dasar dan menambahkan lapisan di atasnya, yaitu library, biner, dan file konfigurasi yang diperlukan untuk menjalankan aplikasi mereka.

Buildpack Google Cloud memublikasikan dan mengelola image dasar untuk mem-build aplikasi Serverless. Image dasar ini dibuat di atas distribusi Linux Ubuntu.

Cloud Run hanya mendukung image dasar otomatis yang menggunakan image dasar buildpack Google Cloud.

Anda harus mempertimbangkan hal berikut saat memilih image dasar buildpack:

  • Stack: Stack terdiri dari versi distribusi Linux dan paket sistem, seperti OpenSSL dan curl.
  • Language: Versi bahasa pemrograman tertentu yang digunakan oleh aplikasi Anda.

Tinjau image dasar runtime untuk mempelajari lebih lanjut variasi image dasar.

Mem-build image aplikasi

Layanan dengan update otomatis yang diaktifkan harus menyediakan image aplikasi yang menghilangkan lapisan sistem operasi dasar. Ada dua cara untuk melakukannya:

  • Menggunakan deployment Cloud Run dari sumber (direkomendasikan)
  • Menggunakan sistem build, salin aplikasi Anda ke image scratch

Men-deploy dari sumber

Anda dapat menggunakan opsi deployment sumber Cloud Run untuk mem-build dan men-deploy kode sehingga layanan Anda kompatibel dengan menerima update otomatis. Untuk melakukannya, Anda harus memberikan tanda --base-image saat membuat aplikasi.

Misalnya, untuk men-deploy layanan Node.js dengan update image dasar otomatis diaktifkan, Anda akan menggunakan perintah berikut:

gcloud run deploy \
    --source . \
    --base-image nodejs22 \
    --automatic-updates

Untuk men-deploy fungsi, Anda harus menentukan flag --function dengan titik entri fungsi dari kode sumber.

Build di scratch

Anda juga dapat menggunakan toolchain build untuk membuat image penampung aplikasi yang kompatibel dengan update image dasar otomatis.

Saat Anda men-deploy layanan Cloud Run dengan update image dasar otomatis, image container aplikasi Anda akan dilapisi di atas image container dasar. Image container aplikasi hanya boleh menyertakan aplikasi Anda, bukan sistem operasi atau runtime, yang disediakan dalam image container dasar.

Untuk membuat image penampung aplikasi, lakukan hal berikut:

  1. Buat Dockerfile multi-tahap yang:
    1. Mem-build aplikasi menggunakan image dasar yang sesuai dengan dependensi yang diperlukan.
    2. Menyalin komponen yang di-build ke image awal.
  2. Build image container aplikasi dan kirim ke Artifact Registry.
  3. Deploy image container aplikasi ke Cloud Run dan tentukan image dasar.

Membuat Dockerfile multi-tahap

Kita akan menggunakan aplikasi Node.js untuk panduan ini. Panduan ini tidak khusus bahasa, dan dapat disesuaikan untuk aplikasi dan bahasa Anda.

  • Buat Dockerfile di direktori utama project kita dengan hal berikut:

    # This Dockerfile will produce an image that only includes the Node.js app and *not* the Node.js runtime.
# The resulting image will not run locally. It is intented at being layered on top of a Node.js base image.

FROM node:nodejs22-slim as builder

# Create and change to the app directory.
WORKDIR /usr/src/app

# Copy application dependency manifests to the container image and install
# production dependencies.
COPY package*.json ./
RUN npm install --only=production

# Copy local code to the container image.
COPY . ./

# Copy the application source code and depenencies onto a scratch image.
FROM scratch
WORKDIR /workspace
COPY --from=builder --chown=33:33 /usr/src/app/ ./

# Run the web service on container startup.
CMD [ "node", "index.js" ]

Dockerfile ini menggunakan build multi-tahap untuk menyalin kode sumber dan dependensi aplikasi ke image scratch yang menghilangkan sistem operasi, paket, dan komponen runtime yang akan disediakan saat runtime oleh image dasar yang dikelola Cloud Run.

Mem-build image aplikasi

Build image aplikasi Anda dan upload ke Artifact Registry. Lihat mem-build container untuk mengetahui detail tentang cara mem-build Dockerfile dengan Cloud Build dan menguploadnya ke Artifact Registry.

Men-deploy image aplikasi

Sekarang Anda siap men-deploy image aplikasi dengan mengaktifkan update otomatis menggunakan image dasar yang paling kompatibel untuk aplikasi Anda. Kita akan menggunakan runtime nodejs22 dari us-central1 untuk contoh ini. Tinjau image dasar runtime untuk mempelajari lebih lanjut variasi image dasar. diaktifkan menggunakan image dasar yang paling kompatibel untuk aplikasi Anda. Contoh berikut menggunakan runtime nodejs22 dan region us-central1. Untuk mempelajari variasi image dasar lebih lanjut, tinjau image dasar runtime.

Lihat men-deploy dari kode sumber untuk mengetahui detail tambahan tentang peran dan izin yang diperlukan.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Untuk mengaktifkan update otomatis untuk runtime nodejs22 saat men-deploy image aplikasi, jalankan perintah berikut:

    gcloud run deploy SERVICE \
    --image APP_IMAGE \
    --base-image BASE_IMAGE

    Ganti:

    • SERVICE dengan nama layanan yang ingin Anda deploy.
    • APP_IMAGE dengan URL image container aplikasi Anda.
    • BASE_IMAGE dengan URL image dasar Anda, misalnya nodejs22 atau us-central1-docker.pkg.dev/serverless-runtimes/google-22/runtimes/nodejs22 Tinjau Image dasar runtime untuk mempelajari variasi image dasar lebih lanjut.

YAML

  1. Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Perbarui runtimeClassName dan anotasi run.googleapis.com/base-images:

    apiVersion: serving.knative.dev/v1
kind: Service
metadata:
name: SERVICE
spec:
template:
  metadata:
    annotations:
      run.googleapis.com/base-images: '{"NAME":"BASE_IMAGE"}'
    spec:
      containers:
      - name: NAME
        image: APP_IMAGE
      runtimeClassName: run.googleapis.com/linux-base-image-update

    Ganti:

    • SERVICE dengan nama layanan yang ingin Anda deploy.
    • APP_IMAGE dengan URL image container aplikasi Anda.
    • BASE_IMAGE dengan URL image dasar Anda, misalnya us-central1-docker.pkg.dev/serverless-runtimes/google-22/runtimes/nodejs22. Tinjau Image dasar runtime untuk mempelajari lebih lanjut variasi image dasar.

Merakit ulang image container untuk dijalankan secara lokal

Image container aplikasi yang digunakan dengan update image dasar otomatis di-build di scratch dan tidak dapat dijalankan di luar Cloud Run dengan update image dasar diaktifkan. Anda dapat membuat image aplikasi dapat dijalankan dengan mem-rebase image aplikasi di atas image dasar yang kompatibel.

  1. Instal Docker Community Edition (CE) di workstation Anda.

  2. Download image aplikasi:

    docker pull APP_IMAGE

    Ganti APP_IMAGE dengan URL image penampung Anda.

  3. Download image dasar:

    docker pull BASE_IMAGE

    Ganti BASE_IMAGE dengan jalur image lengkap dari image dasar yang kompatibel. Lihat image dasar buildpack Google Cloud untuk mengetahui daftar image dasar yang tersedia.

  4. Susun ulang gambar:

    Gunakan Dockerfile untuk menyalin semua file dari image aplikasi kembali ke image dasar:

    ARG APP_IMAGE
ARG NEW_BASE_IMAGE

# first copy all files from the app image onto the builder image
FROM ${APP_IMAGE} AS app
FROM ${NEW_BASE_IMAGE} AS builder
COPY --from=app / /

# restore the app image config by copying everything from previous step back
# back onto the app image
FROM ${APP_IMAGE}
COPY --from=builder / /

    Buat gambar:

    docker build \
    -t IMAGE \
    --build-arg APP_IMAGE=APP_IMAGE \
    --build-arg NEW_BASE_IMAGE=BASE_IMAGE \
    .

    Ganti IMAGE dengan nama image yang telah dirakit ulang.

    Jika Anda melihat peringatan bahwa ARG ${APP_IMAGE} dan ARG ${NEW_BASE_IMAGE} bukan image dasar yang valid, Anda dapat mengabaikannya dengan aman dan menjalankan image:

    docker run -p 8080:8080 IMAGE

Menonaktifkan update otomatis

Saat men-deploy dari sumber

Saat men-deploy dari sumber, Anda dapat menonaktifkan update gambar dasar otomatis menggunakan flag --no-automatic-updates. Contoh berikut menunjukkan cara menonaktifkan update image dasar otomatis untuk layanan Node.js:

gcloud 

gcloud run deploy SERVICE \
    --source . \
    --base-image nodejs22 \
    --no-automatic-updates

Saat men-deploy image container

Untuk menonaktifkan update image dasar bagi layanan yang menggunakan image container yang dibuat dari awal, Anda harus men-deploy image container baru yang menyertakan image dasar dan menghapus image dasar:

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Untuk menonaktifkan update image dasar otomatis, jalankan perintah berikut:

    gcloud run deploy SERVICE \
    --image IMAGE \
    --base-image ""

    Ganti:

    • SERVICE dengan nama layanan yang ingin Anda deploy.
    • IMAGE dengan URL image container Anda yang berisi aplikasi, runtime, dan OS.

YAML

  1. Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:

    gcloud run services describe SERVICE --format export > service.yaml

  2. Hapus anotasi run.googleapis.com/base-images.

  3. Hapus atribut runtimeClassName.

  4. Di image, pastikan untuk menggunakan image container yang menyertakan aplikasi, runtime, dan OS.

  5. Buat atau perbarui layanan menggunakan perintah berikut:

    gcloud run services replace service.yaml

Melihat versi image dasar

Untuk melihat versi image dasar yang digunakan untuk menayangkan aplikasi Anda, lihat resource LogEntry.labels.run.googleapis.com/base_image_versions di log layanan Cloud Run.

Batasan umum

  • Update image dasar otomatis hanya mendukung image dasar buildpack Google Cloud. Anda tidak dapat menggunakan image dasar Anda sendiri.

  • Aplikasi yang menggunakan bahasa yang dikompilasi tidak akan dikompilasi ulang sebagai hasil dari update image dasar otomatis.

  • Pemindaian keamanan pada image aplikasi Anda mungkin tidak lengkap. Karena image aplikasi Anda sekarang dibuat di scratch, pemindai keamanan hanya akan memindai bagian aplikasi dari image Anda. Untuk mendapatkan gambaran yang lebih lengkap tentang keamanan penampung, Anda juga harus menjalankan pemindaian pada image dasar yang sesuai yang disediakan Google. Anda dapat mendownload image dasar dan menggunakan alat open source untuk menjalankan pemindaian.