Crea secuencias de comandos de la CLI de gcloud

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Además de ejecutar comandos de la CLI de Google Cloud desde la línea de comandos, puedes ejecutarlos desde las secuencias de comandos o desde otras automatizaciones, por ejemplo, cuando usas Jenkins para automatizar las tareas de Google Cloud.

La CLI de gcloud incluye una variedad de herramientas, como el filtrado, el formato y la marca --quiet, lo que te permite controlar de manera eficaz la salida y automatizar las tareas.

Conceptos básicos de las secuencias de comandos con la CLI de gcloud

Si quieres obtener una guía paso a paso a fin de compilar secuencias de comandos básicas con la CLI de gcloud, consulta Crea secuencias de comandos con gcloud: una guía para principiantes sobre cómo automatizar tareas en Google Cloud.

Autorización

Cuando crees secuencias de comandos con la CLI de gcloud, debes considerar los métodos de autorización. Esta CLI proporciona dos opciones:

  • Autorización de cuenta de usuario
  • Autorización de cuenta de servicio

Se recomienda la autorización de la cuenta de usuario si estás ejecutando una secuencia de comandos o cualquier otra automatización en una sola máquina.

Para autorizar el acceso y realizar otros pasos comunes de configuración de la CLI de gcloud:

gcloud init

Se recomienda la autorización de la cuenta de servicio si estás implementando una secuencia de comandos o cualquier otra automatización en distintas máquinas en un entorno de producción. También es el método de autorización recomendado si ejecutas comandos de la CLI de gcloud en una instancia de máquina virtual de Compute Engine en la que todos los usuarios tienen acceso a root.

Para usar la autorización de la cuenta de servicio, usa una cuenta de servicio existente o crea una nueva en la página Cuentas de servicio:

Ir a la página Cuentas de servicio

Para crear y descargar la clave privada asociada como un archivo de claves en formato JSON, elige Administrar claves en el menú de acciones de la cuenta de servicio.

Para ejecutar la autorización, ejecuta gcloud auth activate-service-account:

gcloud auth activate-service-account --key-file [KEY_FILE]

Puedes establecer una conexión SSH a tu instancia de VM usando gcloud compute ssh, que se encarga de la autenticación. Los archivos de configuración SSH se pueden configurar con gcloud compute config-ssh.

Si deseas obtener instrucciones detalladas sobre la autorización de las herramientas de CLI de gcloud, consulta la sección sobre cómo autorizar la CLI de gcloud.

Inhabilita mensajes

Algunos comandos de la CLI de gcloud son interactivos y les piden a los usuarios que confirmen una operación o les solicitan una entrada adicional para un comando ingresado.

En la mayoría de los casos, esto no es conveniente cuando se ejecutan comandos en una secuencia de comandos o cualquier otra automatización. Puedes inhabilitar los mensajes de los comandos de la CLI de gcloud si configuras la propiedad disable_prompts en la configuración como True o si usas la marca global --quiet o -q. La mayoría de los comandos interactivos tienen valores predeterminados cuando se requiere una entrada o una confirmación adicional. Si se inhabilitan los mensajes, se usan estos valores predeterminados.

Por ejemplo:

gcloud debug targets list --quiet

Formato de salida y filtrado

Para crear secuencias de comandos con la CLI de gcloud, es importante tener un resultado predecible en la secuencia de comandos; aquí es donde las marcas --filter y --format ayudan. Garantizan que cuando ejecutes un comando con la CLI de gcloud, se produzcan resultados que cumplan con las especificaciones de formato (como json, yaml, csv y texto) y filtros (nombres de VM con el prefijo 'prueba' año de creación después de 2015, etc.).

Si quieres ver un instructivo interactivo sobre el uso del filtro y las marcas de formato, inícialo con el siguiente botón:

Abrir en Cloud Shell

Los siguientes ejemplos muestran usos comunes del formato y el filtrado con los comandos de la CLI de gcloud:

Enumera instancias creadas en la zona us-central1-a:

gcloud compute instances list --filter="zone:us-central1-a"

Enumera en formato JSON aquellos proyectos en los que las etiquetas coinciden con valores específicos (p. ej., label.env es 'prueba' y label.version es alfa):

gcloud projects list --format="json" \
  --filter="labels.env=test AND labels.version=alpha"

Enumera proyectos con su fecha y hora de creación especificadas en la zona horaria local:

gcloud projects list \
  --format="table(name, project_id, createTime.date(tz=LOCAL))"

Enumera proyectos que se crearon luego de una fecha específica en formato de tabla:

gcloud projects list \
  --format="table(projectNumber,projectId,createTime)" \
  --filter="createTime.date('%Y-%m-%d', Z)='2016-05-11'"

Ten en cuenta que, en el último ejemplo, se usó una proyección en la clave. El filtro se aplica en la clave createTime después de que se establece el formato de fecha.

Muestra una tabla anidada de las cuotas de la región:

gcloud compute regions describe us-central1 \
  --format="table(quotas:format='table(metric,limit,usage)')"

Imprime una lista plana de cuotas globales en formato CSV:

gcloud compute project-info describe --flatten='quotas[]' \
  --format='csv(quotas.metric,quotas.limit,quotas.usage)'

Enumera los recursos de las instancias de procesamiento con títulos y decoraciones de cuadro, ordenados por nombre, en formato de tabla:

gcloud compute instances list \
  --format='table[box,title=Instances](name:sort=1,zone:label=zone,status)'

Enumera la dirección de correo electrónico del usuario autenticado del proyecto:

gcloud info --format='value(config.account)'

Para obtener ejemplos más relevantes de las capacidades de configuración de resultados incorporadas en las marcas filters, formats y projections de la CLI de gcloud, consulta esta entrada de blog sobre filtrado y formato.

Prácticas recomendadas

Si deseas que una secuencia de comandos o alguna automatización ejecute acciones condicionalmente en función del resultado de un comando de la CLI de gcloud, observa lo siguiente:

  • Depende del estado de salida del comando.

    Si el estado de salida no es cero, hubo un problema, y el resultado puede estar incompleto salvo que la documentación del comando señale lo contrario. Por ejemplo, un comando que crea múltiples recursos solo podría crear algunos, enumerarlos en el resultado estándar y luego salir con un estado que no es cero. De forma alternativa, puedes usar la propiedad show_structured_logs para analizar los registros de errores. Ejecuta gcloud config para obtener más detalles.

  • No dependas de los mensajes impresos para los errores estándar.

    La redacción de estos mensajes puede cambiar en versiones futuras de la CLI de gcloud y afectar la automatización.

  • No dependas de los resultados sin procesar de los mensajes impresos para las salidas estándar.

    El resultado predeterminado de cualquier comando puede cambiar en actualizaciones futuras. Puedes minimizar el impacto de esos cambios mediante la marca --format para dar formato al resultado de la salida con una de las siguientes opciones a fin de especificar los valores que se mostrarán: --format=json|yaml|csv|text|list. Ejecuta gcloud topic formats para ver más opciones.

    Puedes modificar el resultado predeterminado de --format con projections. Para aumentar el nivel de detalle, usa la marca --filter para mostrar un subconjunto de valores según una expresión. Luego, puedes ejecutar la secuencia de comandos contra esos valores mostrados.

    Puedes encontrar ejemplos de resultados de formato y filtro en la sección a continuación.

Ejemplos de secuencias de comandos

Con la funcionalidad de formato y filtro, puedes combinar comandos de la CLI de gcloud en una secuencia de comandos para extraer con facilidad la información incorporada.

Enumerar las claves de todos tus proyectos (cuentas de servicio)

En las siguientes secuencias de comandos de muestra, se enumeran las claves asociadas con todas las cuentas de servicio de tus proyectos de la siguiente manera:

  • Realiza iteraciones en tus proyectos
  • Obtén las cuentas de servicio asociadas para cada proyecto
  • Obtén las claves asociadas para cada cuenta de servicio

Bash

#!/bin/bash
for project in  $(gcloud projects list --format="value(projectId)")
do
  echo "ProjectId:  $project"
  for robot in $(gcloud iam service-accounts list --project $project --format="value(email)")
   do
     echo "    -> Robot $robot"
     for key in $(gcloud iam service-accounts keys list --iam-account $robot --project $project --format="value(name.basename())")
        do
          echo "        $key"
     done
   done
done

WindowsPowerShell

O como Windows PowerShell:

foreach ($project in gcloud projects list --format="value(projectId)")
{
  Write-Host "ProjectId: $project"
  foreach ($robot in  gcloud iam service-accounts list --project $project --format="value(email)")
  {
      Write-Host "    -> Robot $robot"
      foreach ($key in gcloud iam service-accounts keys list --iam-account $robot --project $project --format="value(name.basename())")
      {
        Write-Host "        $key"
      }
  }
}

Analizar el resultado del procesamiento

En el siguiente ejemplo, se muestra cómo analizar los resultados para su procesamiento. En particular, la secuencia de comandos de muestra escribe la información de la cuenta de servicio en un arreglo y segrega los valores en el campo serviceAccounts.scope() de varios valores con formato CSV:

#!/bin/bash
for scopesInfo in $(
    gcloud compute instances list --filter=name:instance-1 \
        --format="csv[no-heading](name,id,serviceAccounts[].email.list(),
                      serviceAccounts[].scopes[].map().list(separator=;))")
do
      IFS=',' read -r -a scopesInfoArray<<< "$scopesInfo"
      NAME="${scopesInfoArray[0]}"
      ID="${scopesInfoArray[1]}"
      EMAIL="${scopesInfoArray[2]}"
      SCOPES_LIST="${scopesInfoArray[3]}"

      echo "NAME: $NAME, ID: $ID, EMAIL: $EMAIL"
      echo ""
      IFS=';' read -r -a scopeListArray<<< "$SCOPES_LIST"
      for SCOPE in  "${scopeListArray[@]}"
      do
        echo "  SCOPE: $SCOPE"
      done
done