gcloud-Befehlszeilenbefehle in Skripts verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Sie können Google Cloud CLI-Befehle nicht nur über die Befehlszeile ausführen, sondern auch über Skripts oder andere Automatisierungen, beispielsweise wenn Sie Jenkins zur Automatisierung von Google Cloud-Aufgaben verwenden.

Die gcloud CLI enthält verschiedene Tools wie Filter, Formatierung und das Flag --quiet, damit Sie Ausgaben effizient verwalten und Aufgaben automatisieren können.

Grundlagen der Skripterstellung mit gcloud CLI

Eine detaillierte Anleitung zum Erstellen einfacher Skripts mit der gcloud CLI finden Sie in diesem Blogpost: Skripting with gcloud: a beginner’s guide to automatisierung Google Cloud tasks.

Autorisierung

Beim Erstellen von Skripts mit der gcloud CLI sollten Sie die Autorisierungsmethoden berücksichtigen. Die gcloud CLI bietet zwei Optionen:

  • Autorisierung über ein Nutzerkonto
  • Autorisierung über ein Dienstkonto

Die Autorisierung über ein Nutzerkonto empfiehlt sich, wenn Sie ein Skript oder eine andere Automatisierung auf einem einzigen Rechner ausführen.

So autorisieren Sie den Zugriff und führen andere gängige Einrichtungsschritte über die gcloud CLI aus:

gcloud init

Die Autorisierung über ein Dienstkonto empfiehlt sich, wenn Sie ein Skript oder eine andere Automatisierung auf mehreren Rechnern in einer Produktionsumgebung bereitstellen. Diese Autorisierungsmethode wird auch empfohlen, wenn Sie gcloud-Kommandozeilenbefehle auf einer Compute Engine-VM-Instanz ausführen, auf der alle Nutzer Zugriff auf root haben.

Verwenden Sie ein Dienstkonto auf der Seite „Dienstkonten“ oder erstellen Sie ein neues, um die Autorisierung über ein Dienstkonto zu nutzen:

Zur Seite „Dienstkonten“

Wählen Sie im Aktionsmenü des Dienstkontos Manage Keys (Schlüssel verwalten) aus, um den zugehörigen privaten Schlüssel als JSON-formatierte Schlüsseldatei zu erstellen und herunterzuladen.

Führen Sie gcloud auth activate-service-account aus, um die Autorisierung auszuführen:

gcloud auth activate-service-account --key-file [KEY_FILE]

Mit gcloud compute ssh können Sie eine SSH-Verbindung zu Ihrer VM-Instanz herstellen und so die Authentifizierung durchführen. SSH-Konfigurationsdateien können mit gcloud compute config-ssh konfiguriert werden.

Eine ausführliche Anleitung zum Autorisieren der gcloud CLI finden Sie unter gcloud-Befehlszeile autorisieren.

Eingabeaufforderungen deaktivieren

Einige gcloud-Kommandozeilenbefehle sind interaktiv und fordern Nutzer zur Bestätigung eines Vorgangs auf oder erfordern zusätzliche Angaben zu einem eingegebenen Befehl.

Bei der Ausführung von Befehlen in einem Skript oder einer anderen Automatisierung ist dies jedoch in den meisten Fällen nicht zu empfehlen. Sie können Aufforderungen von gcloud CLI-Befehlen deaktivieren. Dazu setzen Sie das Attribut disable_prompts in Ihrer Konfiguration auf True oder verwenden das globale Flag --quiet oder -q. Die meisten interaktiven Befehle bieten Standardwerte für den Fall, dass eine zusätzliche Bestätigung oder Eingabe erforderlich ist. Wenn Sie Eingabeaufforderungen deaktivieren, werden diese Standardwerte verwendet.

Beispiel:

gcloud debug targets list --quiet

Ausgabe filtern und formatieren

Für ein Skript mit der gcloud CLI ist eine vorhersehbare Ausgabe wichtig. Hier helfen die Flags --filter und --format. Wenn Sie einen Befehl über die gcloud CLI ausführen, werden eine Ausgabe erstellt, die Ihrem Format (wie JSON, YAML, CSV und Text) und den Filterspezifikationen (VM-Namen mit dem Präfix 'test Jahr nach 2015 usw.) entspricht.

Klicken Sie auf folgende Schaltfläche, um eine interaktive Anleitung zur Verwendung des Filters und der Format-Flags zu starten:

In Cloud Shell öffnen

Die folgenden Beispiele zeigen gängige Einsatzmöglichkeiten beim Formatieren und Filtern mit gcloud-Befehlen:

Instanzen aufführen, die in der Zone us-central1-a erstellt wurden:

gcloud compute instances list --filter="zone:us-central1-a"

Projekte, in denen die Labels bestimmten Werten entsprechen (z. B. "labels.env" ist "test" und "labels.version" ist "alpha") im JSON-Format auflisten:

gcloud projects list --format="json" \
  --filter="labels.env=test AND labels.version=alpha"

Projekte mit Erstellungsdatum und -zeit nach der lokalen Zeitzone auflisten:

gcloud projects list \
  --format="table(name, project_id, createTime.date(tz=LOCAL))"

Projekte, die nach einem bestimmten Datum erstellt wurden, im Tabellenformat auflisten:

gcloud projects list \
  --format="table(projectNumber,projectId,createTime)" \
  --filter="createTime.date('%Y-%m-%d', Z)='2016-05-11'"

Im letzten Beispiel wurde eine Projektion für den Schlüssel verwendet. Der Filter wird auf den Schlüssel createTime angewendet, nachdem die Datumsformatierung festgelegt wurde.

Kontingente für eine Region in einer verschachtelten Tabelle auflisten:

gcloud compute regions describe us-central1 \
  --format="table(quotas:format='table(metric,limit,usage)')"

Globale Kontingente als vereinfachte Liste im CSV-Format ausgeben:

gcloud compute project-info describe --flatten='quotas[]' \
  --format='csv(quotas.metric,quotas.limit,quotas.usage)'

Compute-Instanzressourcen mit Kästchen und Titeln nach Name sortiert im Tabellenformat auflisten:

gcloud compute instances list \
  --format='table[box,title=Instances](name:sort=1,zone:label=zone,status)'

Die im Projekt authentifizierte E-Mail-Adresse des Nutzers auflisten:

gcloud info --format='value(config.account)'

Weitere involvierte Beispiele für die Funktionen zur Ausgabekonfiguration, die in die gcloud-, formats- und projections-Flags der gcloud CLI integriert sind, finden Sie in diesem Blogpost zum Filtern und Formatieren.

Best Practices

Wenn Sie möchten, dass ein Skript oder eine andere Automatisierungsmethode auf der Grundlage der Ausgabe eines gcloud-Kommandozeilenbefehls bedingte Aktionen ausführt, achten Sie auf dies:

  • Machen Sie Aktionen vom Exit-Status von Befehlen abhängig.

    Wenn der Exit-Status nicht Null ist, ist ein Fehler aufgetreten und die Ausgabe ist möglicherweise unvollständig, sofern in der Befehlsdokumentation nicht anders angegeben. Ein Beispiel ist ein Befehl zur Erstellung mehrerer Ressourcen, der nur einen Teil der Ressourcen erstellt, diese in der Standardausgabe auflistet und dann den Vorgang mit einem Status ungleich Null beendet. Alternativ können Sie das show_structured_logs-Attribut zum Parsen von Fehlerlogs verwenden. Führen Sie gcloud config aus, um weitere Informationen zu erhalten.

  • Machen Sie keine Aktionen von Meldungen abhängig, die an die Standardfehlerausgabe gesendet werden.

    Der Wortlaut dieser Nachrichten kann sich in zukünftigen Versionen der gcloud CLI ändern und die Automatisierung beeinträchtigen.

  • Machen Sie keine Aktionen von der Rohausgabe von Meldungen abhängig, die an die Standardausgabe gesendet werden.

    Die Standardausgabe für Befehle kann sich in einem zukünftigen Release ändern. Sie können die Auswirkungen dieser Änderungen minimieren. Dazu verwenden Sie das Flag --format, um die Ausgabe mit einer der folgenden Optionen zu formatieren: --format=json|yaml|csv|text|list zum Angeben der Werte, die zurückgegeben werden sollen. Führen Sie gcloud topic formats für weitere Optionen aus.

    Sie können die Standardausgabe von --format mithilfe von projections ändern. Für eine höhere Genauigkeit können Sie das Flag --filter verwenden, um einen Teil der Werte basierend auf einem Ausdruck zurückzugeben. Sie können dann das Skript auf Basis dieser zurückgegebenen Werte erstellen.

    Beispiele zum Formatieren und Filtern der Ausgabe finden Sie im folgenden Abschnitt.

Beispielskripte

Mithilfe der Formatierungs- und Filterfunktionen können Sie gcloud-Befehlszeilenbefehle in einem Skript kombinieren, um eingebettete Informationen einfach zu extrahieren.

Schlüssel für alle Ihre Projekte auflisten

In den folgenden Beispielskripts werden die Schlüssel aufgeführt, die mit allen Ihren Dienstkonten verknüpft sind:

  • Über Ihre Projekte laufen
  • Für jedes Projekt die zugehörigen Dienstkonten abrufen

  • Für jedes Dienstkonto die zugehörigen Schlüssel abrufen

Bash

#!/bin/bash
for project in  $(gcloud projects list --format="value(projectId)")
do
  echo "ProjectId:  $project"
  for robot in $(gcloud iam service-accounts list --project $project --format="value(email)")
   do
     echo "    -> Robot $robot"
     for key in $(gcloud iam service-accounts keys list --iam-account $robot --project $project --format="value(name.basename())")
        do
          echo "        $key"
     done
   done
done

Windows PowerShell

Oder als Windows PowerShell-Skript:

foreach ($project in gcloud projects list --format="value(projectId)")
{
  Write-Host "ProjectId: $project"
  foreach ($robot in  gcloud iam service-accounts list --project $project --format="value(email)")
  {
      Write-Host "    -> Robot $robot"
      foreach ($key in gcloud iam service-accounts keys list --iam-account $robot --project $project --format="value(name.basename())")
      {
        Write-Host "        $key"
      }
  }
}

Ausgabe für die Verarbeitung parsen

Das folgende Beispiel zeigt die Analyse der Ausgabe zur Verarbeitung. Das Beispielskript schreibt die Dienstkontoinformationen in ein Array und trennt Werte im mehrwertigen serviceAccounts.scope()-Feld im CSV-Format:

#!/bin/bash
for scopesInfo in $(
    gcloud compute instances list --filter=name:instance-1 \
        --format="csv[no-heading](name,id,serviceAccounts[].email.list(),
                      serviceAccounts[].scopes[].map().list(separator=;))")
do
      IFS=',' read -r -a scopesInfoArray<<< "$scopesInfo"
      NAME="${scopesInfoArray[0]}"
      ID="${scopesInfoArray[1]}"
      EMAIL="${scopesInfoArray[2]}"
      SCOPES_LIST="${scopesInfoArray[3]}"

      echo "NAME: $NAME, ID: $ID, EMAIL: $EMAIL"
      echo ""
      IFS=';' read -r -a scopeListArray<<< "$SCOPES_LIST"
      for SCOPE in  "${scopeListArray[@]}"
      do
        echo "  SCOPE: $SCOPE"
      done
done