In Cloud Run bereitstellen und Sicherheitsinformationen ansehen

In dieser Kurzanleitung wird erläutert, wie Sie ein Container-Image in Cloud Run bereitstellen und Sicherheitsinformationen für die Bereitstellung im Software Delivery Shield ansehen Bereich Sicherheit in der Google Cloud Console. Sie werden Folgendes tun:

  • Mit Cloud Deploy ein Image in Cloud Run bereitstellen. Cloud Deploy ist ein Google Cloud-Dienst, der die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Hochstufungssequenz automatisiert.
  • Rufen Sie die folgenden Sicherheitserkenntnisse für die Bereitstellung auf:

    • Informationen zur Identität und Verschlüsselung für die Bereitstellung.
    • SLSA-Ebene (Supply-chain Levels for Software Artifacts), die das Maß an Sicherheit für die Bereitstellung angibt.
    • Sicherheitslücken in Build-Artefakten.
    • Software-Materialliste (SBOM) für die Build-Artefakte.
    • Build-Herkunft: eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthält Details wie die Digests der erstellten Images, die Eingabedaten Quellspeicherorten, Build-Toolchain, Build-Schritte und Build-Dauer.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.
  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Build, Artifact Registry, Cloud Deploy, Cloud Run, and Container Scanning APIs:

    gcloud services enable cloudbuild.googleapis.com  artifactregistry.googleapis.com  clouddeploy.googleapis.com  run.googleapis.com  containerscanning.googleapis.com
  7. Install the Google Cloud CLI.
  8. To initialize the gcloud CLI, run the following command:

    gcloud init
  9. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Cloud Build, Artifact Registry, Cloud Deploy, Cloud Run, and Container Scanning APIs:

    gcloud services enable cloudbuild.googleapis.com  artifactregistry.googleapis.com  clouddeploy.googleapis.com  run.googleapis.com  containerscanning.googleapis.com

Standardeinstellungen festlegen

  1. Legen Sie eine Umgebungsvariable für die Projekt-ID fest:

    export PROJECT_ID=$(gcloud config get project)
    
  2. Legen Sie die Standardregion für Cloud Deploy fest:

    gcloud config set deploy/region us-central1
    

Zugriff gewähren

Weisen Sie dem Standarddienstkonto der Compute Engine IAM-Rollen zu. Dies ist erforderlich für Cloud Deploy zum Bereitstellen von Arbeitslasten in Cloud Run.

 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/clouddeploy.jobRunner"
 gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/iam.serviceAccountUser" \
     --project=$PROJECT_ID
 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/run.developer"

Wenn beim Hinzufügen einer dieser Rollen Probleme auftreten, wenden Sie sich an Ihren Projektadministrator.

Docker-Repository in Artifact Registry erstellen

  1. Erstellen Sie ein neues Docker-Repository mit dem Namen containers am Standort us-central1 mit der Beschreibung „Docker repository“:

    gcloud artifacts repositories create containers --repository-format=docker \
        --location=us-central1 --description="Docker repository"
    
  2. Prüfen Sie, ob Ihr Repository erstellt wurde:

    gcloud artifacts repositories list
    

    In der Liste der angezeigten Repositories sollte containers aufgeführt sein.

Beispielanwendung vorbereiten

Sie benötigen Beispielquellcode zum Erstellen und Bereitstellen. In diesem Abschnitt Klonen Sie ein vorhandenes Quell-Repository, das ein Java-Codebeispiel enthält.

  1. Klonen Sie das Repository, das das Java-Codebeispiel enthält:

    git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
    cd software-delivery-shield-demo-java/backend
    
  2. Aktualisieren Sie cloudrun.clouddeploy.yaml, um PROJECT_ID durch Ihre Projekt-ID zu ersetzen:

    sed -i "s/PROJECT_ID/${PROJECT_ID}/g" cloudrun.clouddeploy.yaml
    

Anwendung erstellen

  1. Erstellen und containerisieren Sie die Java-Anwendung mit Cloud Build. Mit dem folgenden Befehl wird die Java-Anwendung erstellt und containerisiert und der erstellte Container im Docker-Repository von Artifact Registry gespeichert:

    gcloud builds submit --config=cloudbuild.yaml --region=us-central1
    

    Nach Abschluss des Builds wird eine Erfolgsstatusmeldung angezeigt, die der Folgendes:

    DONE
    -----------------------------------------------------------------------------
    ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
    CREATE_TIME: 2022-09-19T15:41:07+00:00
    DURATION: 54S
    SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
    IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
    STATUS: SUCCESS
    

SBOM für das erstellte Image generieren

Eine SBOM ist ein vollständiges Inventar einer Anwendung, das die Pakete identifiziert. auf den sich Ihre Software stützt. Die Inhalte können Drittanbieter-Software von interne Artefakte und Open-Source-Bibliotheken.

Generieren Sie die SBOM für das Image, das Sie im vorherigen Abschnitt erstellt haben:

gcloud artifacts sbom export \
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Container mit Cloud Deploy in Cloud Run bereitstellen

  1. Registrieren Sie Ihre Pipeline und Ziele beim Cloud Deploy-Dienst:

    gcloud deploy apply --file cloudrun.clouddeploy.yaml
    

    Sie haben jetzt eine Pipeline mit Zielen und können Ihre Anwendung für das erste Ziel bereitstellen.

  2. Rufen Sie in der Google Cloud Console die Seite Bereitstellungspipelines auf, um zu prüfen, ob Ihre Pipeline vorhanden ist:

    Zur Seite der Lieferpipelines

    Die Bereitstellungspipeline, die Sie gerade erstellt haben, cloudrun-guestbook-backend-delivery angezeigt wird.

  3. Klicken Sie auf cloudrun-guestbook-backend-delivery, um den Fortschritt zu verfolgen. Die Seite Details zur Lieferpipeline wird geöffnet.

  4. Erstellen Sie in Cloud Shell einen Release in Cloud Deploy:

    gcloud deploy releases create test-release-007 \
        --delivery-pipeline=cloudrun-guestbook-backend-delivery \
        --skaffold-file=cloudrun.skaffold.yaml \
        --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
    

    Die neue Veröffentlichung wird im Abschnitt Releases auf der Seite Übermittlung Pipelinedetails.

  5. Beobachten Sie die Ansicht Pipeline-Visualisierung auf der Seite Details zur Lieferpipeline, bis die Schaltfläche Hochstufen für dev-cluster angezeigt wird. Möglicherweise müssen Sie die Seite aktualisieren.

  6. Klicken Sie für das erste Ziel in der Visualisierung der Lieferpipeline, cloudrun-dev, auf Hochstufen.

    Das Dialogfeld Release veröffentlichen wird angezeigt. Hier sehen Sie die Details des Ziels, auf das Sie werben.

  7. Klicken Sie auf Hochstufen.

    Der Release wird jetzt für die Bereitstellung in cloudrun-prod in die Warteschlange gestellt. Wenn die Bereitstellung abgeschlossen ist, wird sie in der Visualisierung der Bereitstellungspipeline als bereitgestellt angezeigt:

    Screenshot der Bereitstellung

Sicherheitserkenntnisse in Cloud Deploy ansehen

  1. Öffnen Sie in der Google Cloud Console die Seite Bereitstellungspipelines von Cloud Deploy.

    Seite „Cloud Deploy“ öffnen

  2. Klicken Sie in der Tabelle Bereitstellungspipelines auf cloudrun-guestbook-backend-delivery.

  3. Klicken Sie auf der Seite Details zu Bereitstellungspipelines auf test-release-008.

  4. Klicken Sie auf der Seite Release-Details auf den Tab Artefakte.

  5. Suchen Sie in der Tabelle Build-Artefakte die Zeile mit dem Artefakt java-guestbook-backend. Klicken Sie unter der entsprechenden Spalte Security Insights auf Ansehen.

Sie sehen das Steuerfeld Sicherheit von Software Delivery Shield für die Bereitstellung.

Screenshot des Bereichs „Sicherheit“

In diesem Bereich werden die folgenden Informationen angezeigt:

  • SLSA-Ebene: Dieser Build hat die SLSA-Ebene 3 erreicht. Klicken Sie auf den Link Weitere Informationen, um mehr über diese Sicherheitsstufe zu erfahren.

  • Sicherheitslücken: Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

  • Abhängigkeiten für die Build-Artefakte.

  • Build-Details:Details des Builds wie der Builder und der Link zu Logs ansehen.

Sicherheitsinformationen in Cloud Run ansehen

  1. Öffnen Sie in Cloud Run die Seite Dienste.

    Seite „Cloud Run-Dienste“ öffnen

  2. Klicken Sie in der Tabelle Cloud Run-Dienste auf guestbook-backend-prod.

  3. Klicken Sie auf der Seite Dienstdetails auf Überarbeitungen.

  4. Klicken Sie im Bereich Überarbeitungen auf Sicherheit.

Sie sehen das Steuerfeld Sicherheit von Software Delivery Shield für die Bereitstellung.

Screenshot des Bereichs „Sicherheit“

In diesem Bereich werden die folgenden Informationen angezeigt:

  • Identität und Verschlüsselung: Die E-Mail-Adresse der Compute Engine-Standardadresse Dienstkonto und den für die Bereitstellung verwendeten Verschlüsselungsschlüssel.

  • SLSA-Ebene: Dieser Build hat die SLSA-Ebene 3 erreicht. Klicken Sie auf Weitere Informationen um mehr über die Sicherheitsebene zu erfahren.

  • Sicherheitslücken: Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

  • Abhängigkeiten für die Build-Artefakte.

  • Build-Details:Details des Builds wie der Builder und der Link zu Logs ansehen.

Bereinigen

Löschen Sie das Google Cloud-Projekt mit den Ressourcen, damit Ihrem Google Cloud-Konto die auf dieser Seite verwendeten Ressourcen nicht in Rechnung gestellt werden.

  1. Deaktivieren Sie die Container Scanning API:

    gcloud services disable containerscanning.googleapis.com --force
    
  2. Löschen Sie den guestbook-backend-dev-Cloud Run-Dienst:

    gcloud run services delete guestbook-backend-dev --region=us-central1 \
        --project=${PROJECT_ID}
    
  3. So löschen Sie den Dienst guestbook-backend-prod:

    gcloud run services delete guestbook-backend-prod --region=us-central1 \
        --project=${PROJECT_ID}
    
  4. Löschen Sie die Bereitstellungspipeline, einschließlich Release und Roll-outs:

    gcloud deploy delivery-pipelines delete cloudrun-guestbook-backend-delivery \
        --force --region=us-central1 --project=${PROJECT_ID}
    

    Mit diesem Befehl werden die Bereitstellungspipeline selbst sowie alle release- und rollout Ressourcen Die Sicherheit der Softwarelieferkette, die für diese Pipeline erstellt wurde.

  5. Löschen Sie das Artifact Registry-Repository:

    gcloud artifacts repositories delete containers \
        --location=us-central1 --async
    

Das war alles. Sie haben diesen Schnellstart abgeschlossen!

Nächste Schritte