Déployer sur Cloud Run et afficher des insights sur la sécurité

Définir les paramètres par défaut

1. Définissez une variable d'environnement pour l'ID de projet:

   export PROJECT_ID=$(gcloud config get project)
   

2. Définissez la région par défaut pour Cloud Deploy:

   gcloud config set deploy/region us-central1
   

Accorder l'accès

Attribuez des rôles IAM au compte de service Compute Engine par défaut. Il est nécessaire pour que Cloud Deploy puisse déployer des charges de travail dans Cloud Run.

 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/clouddeploy.jobRunner"
 gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/iam.serviceAccountUser" \
     --project=$PROJECT_ID
 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/run.developer"

Si vous ne parvenez pas à ajouter l'un de ces rôles, contactez l'administrateur de votre projet.

Créer un dépôt Docker dans Artifact Registry

1. Créez un dépôt Docker nommé containers à l'emplacement us-central1, avec comme description "dépôt Docker" :

   gcloud artifacts repositories create containers --repository-format=docker \
       --location=us-central1 --description="Docker repository"
   

2. Vérifiez que votre dépôt a bien été créé :

   gcloud artifacts repositories list
   

   Vous devriez voir containers dans la liste des dépôts affichés.

Préparer l'exemple d'application

Vous aurez besoin d'un exemple de code source pour compiler et déployer. Dans cette section, vous allez cloner un dépôt source existant contenant un exemple de code Java.

1. Clonez le dépôt contenant l'exemple de code Java:

   git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
   cd software-delivery-shield-demo-java/backend
   

2. Mettez à jour cloudrun.clouddeploy.yaml pour remplacer PROJECT_ID par l'ID de votre projet:

   sed -i "s/PROJECT_ID/${PROJECT_ID}/g" cloudrun.clouddeploy.yaml
   

Compiler l'application

1. Créer et intégrer en conteneur l'application Java à l'aide de Cloud Build La commande suivante crée et conteneurise l'application Java, puis stocke le conteneur créé dans le dépôt Docker Artifact Registry:

   gcloud builds submit --config=cloudbuild.yaml --region=us-central1
   

   Une fois la compilation terminée, un message d'état de réussite semblable à celui-ci s'affiche:

   DONE
   -----------------------------------------------------------------------------
   ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
   CREATE_TIME: 2022-09-19T15:41:07+00:00
   DURATION: 54S
   SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
   IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
   STATUS: SUCCESS
   

Générer un SBOM pour l'image compilée

Un SBOM est un inventaire complet d'une application, qui identifie les packages sur lesquels repose votre logiciel. Le contenu peut inclure des logiciels tiers de fournisseurs, des artefacts internes et des bibliothèques Open Source.

Générez le SBOM pour l'image que vous avez créée à la section précédente:

gcloud artifacts sbom export
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Déployer le conteneur sur Cloud Run à l'aide de Cloud Deploy

1. Enregistrez votre pipeline et vos cibles avec le service Cloud Deploy:

   gcloud deploy apply --file cloudrun.clouddeploy.yaml
   

   Vous disposez maintenant d'un pipeline avec des cibles prêt à déployer votre application sur votre première cible.

2. Pour vérifier que votre pipeline existe, accédez à la page Pipelines de livraison dans la console Google Cloud:

   Ouvrir la page Pipelines de diffusion

   Le pipeline de livraison que vous venez de créer, cloudrun-guestbook-backend-delivery, s'affiche.

3. Cliquez sur cloudrun-guestbook-backend-delivery pour suivre la progression. La page Détails du pipeline de livraison s'ouvre.

4. Dans Cloud Shell, créez une version dans Cloud Deploy:

   gcloud deploy releases create test-release-007 \
       --delivery-pipeline=cloudrun-guestbook-backend-delivery \
       --skaffold-file=cloudrun.skaffold.yaml \
       --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
   

   La nouvelle version apparaît dans la section Versions de la page Informations sur le pipeline de livraison.

5. Surveillez la vue Visualisation du pipeline sur la page Détails du pipeline de livraison jusqu'à ce que le bouton Promouvoir s'affiche pour dev-cluster. Vous devrez peut-être actualiser la page.

6. Sur la première cible de la visualisation du pipeline de livraison, cloudrun-dev, cliquez sur Promouvoir.

   La boîte de dialogue Promouvoir la version s'affiche. Elle affiche les détails de la cible sur laquelle vous diffusez la promotion.

7. Cliquez sur Promouvoir.

   La version est maintenant mise en file d'attente pour être déployée dans cloudrun-prod. Une fois le déploiement terminé, la visualisation du pipeline de livraison indique qu'il est déployé:

   

Afficher les insights sur la sécurité dans Cloud Deploy

1. Ouvrez la page Pipelines de livraison de Cloud Deploy dans la console Google Cloud.

   Ouvrir la page "Cloud Deploy"

2. Dans le tableau Pipelines de livraison, cliquez sur cloudrun-guestbook-backend-delivery.

3. Sur la page Détails des pipelines de livraison, cliquez sur test-release-008.

4. Sur la page Détails de la release, cliquez sur l'onglet Artefacts.

5. Dans le tableau Artefacts de compilation, localisez la ligne contenant l'artefact java-guestbook-backend, puis dans la colonne Security Insights (Insights sur la sécurité) correspondante, cliquez sur Afficher.

Le panneau Sécurité de Software Delivery Shield s'affiche pour le déploiement.

Ce panneau affiche les informations suivantes:

• Niveau SLSA:ce build a atteint le niveau SLSA 3 du programme. Cliquez sur le lien En savoir plus pour connaître la signification de ce niveau de sécurité.

• Failles:toutes les failles détectées dans vos artefacts. Cliquez sur le nom de l'image (java-guestbook-backend) pour afficher les artefacts qui ont été analysés pour détecter les failles.

• Dépendances pour les artefacts de compilation

• Informations sur la compilation:détails de la compilation, tels que le compilateur et le lien pour afficher les journaux.

Afficher les insights sur la sécurité dans Cloud Run

1. Ouvrez la page Services de Cloud Run.

   Ouvrir la page "Services Cloud Run"

2. Dans la table Services de Cloud Run, cliquez sur guestbook-backend-prod.

3. Sur la page Détails du service, cliquez sur Révisions.

4. Dans le panneau Révisions, cliquez sur Sécurité.

Le panneau Sécurité de Software Delivery Shield s'affiche pour le déploiement.

Ce panneau affiche les informations suivantes:

• Identité et chiffrement:adresse e-mail du compte de service Compute Engine par défaut et clé de chiffrement utilisée pour le déploiement.

• Niveau SLSA:ce build a atteint le niveau SLSA 3 du programme. Cliquez sur le lien En savoir plus pour connaître la signification de ce niveau de sécurité.

• Failles:toutes les failles détectées dans vos artefacts. Cliquez sur le nom de l'image (java-guestbook-backend) pour afficher les artefacts qui ont été analysés pour détecter les failles.

• Dépendances pour les artefacts de compilation

• Informations sur la compilation:détails de la compilation, tels que le compilateur et le lien pour afficher les journaux.