In Cloud Run bereitstellen und Sicherheitserkenntnisse ansehen

Standardeinstellungen festlegen

1. Legen Sie eine Umgebungsvariable für die Projekt-ID fest:

   export PROJECT_ID=$(gcloud config get project)
   

2. Legen Sie die Standardregion für Cloud Deploy fest:

   gcloud config set deploy/region us-central1
   

Zugriff gewähren

Weisen Sie dem Standarddienstkonto der Compute Engine IAM-Rollen zu. Dies ist erforderlich, damit Cloud Deploy Arbeitslasten in Cloud Run bereitstellen kann.

 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/clouddeploy.jobRunner"
 gcloud iam service-accounts add-iam-policy-binding $(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/iam.serviceAccountUser" \
     --project=$PROJECT_ID
 gcloud projects add-iam-policy-binding $PROJECT_ID \
     --member=serviceAccount:$(gcloud projects describe $PROJECT_ID \
     --format="value(projectNumber)")-compute@developer.gserviceaccount.com \
     --role="roles/run.developer"

Wenn Sie Probleme beim Hinzufügen einer dieser Rollen haben, wenden Sie sich an Ihren Projektadministrator.

Docker-Repository in Artifact Registry erstellen

1. Erstellen Sie ein neues Docker-Repository mit dem Namen containers am Standort us-central1 mit der Beschreibung „Docker repository“:

   gcloud artifacts repositories create containers --repository-format=docker \
       --location=us-central1 --description="Docker repository"
   

2. Prüfen Sie, ob Ihr Repository erstellt wurde:

   gcloud artifacts repositories list
   

   In der Liste der angezeigten Repositories sollte containers aufgeführt sein.

Beispielanwendung vorbereiten

Sie benötigen einen Beispielcode zum Erstellen und Bereitstellen. In diesem Abschnitt klonen Sie ein vorhandenes Quell-Repository, das ein Java-Codebeispiel enthält.

1. Klonen Sie das Repository, das das Java-Codebeispiel enthält:

   git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
   cd software-delivery-shield-demo-java/backend
   

2. Aktualisieren Sie cloudrun.clouddeploy.yaml, um PROJECT_ID durch Ihre Projekt-ID zu ersetzen:

   sed -i "s/PROJECT_ID/${PROJECT_ID}/g" cloudrun.clouddeploy.yaml
   

Anwendung erstellen

1. Erstellen und containerisieren Sie die Java-Anwendung mit Cloud Build. Mit dem folgenden Befehl wird die Java-Anwendung erstellt und containerisiert und der erstellte Container im Docker-Repository von Artifact Registry gespeichert:

   gcloud builds submit --config=cloudbuild.yaml --region=us-central1
   

   Nach Abschluss des Builds wird eine Erfolgsmeldung wie die folgende angezeigt:

   DONE
   -----------------------------------------------------------------------------
   ID: 3e08565f-7f57-4449-bc68-51c46cf33d03
   CREATE_TIME: 2022-09-19T15:41:07+00:00
   DURATION: 54S
   SOURCE: gs://sds-docs-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f78055e9.tgz
   IMAGES: us-central1-docker.pkg.dev/sds-docs-project/containers/java-guestbook-backend:quickstart
   STATUS: SUCCESS
   

SBOM für das erstellte Image generieren

Ein SBOM ist ein vollständiges Inventar einer Anwendung, in dem die Pakete aufgeführt sind, auf die Ihre Software angewiesen ist. Der Inhalt kann Software von Drittanbietern, interne Artefakte und Open-Source-Bibliotheken umfassen.

Generieren Sie die SBOM für das Image, das Sie im vorherigen Abschnitt erstellt haben:

gcloud artifacts sbom export \
    --uri=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

Container mit Cloud Deploy in Cloud Run bereitstellen

1. Registrieren Sie Ihre Pipeline und Ziele beim Cloud Deploy-Dienst:

   gcloud deploy apply --file cloudrun.clouddeploy.yaml
   

   Sie haben jetzt eine Pipeline mit Zielen und können Ihre Anwendung für das erste Ziel bereitstellen.

2. Rufen Sie in der Google Cloud Console die Seite Bereitstellungspipelines auf, um zu prüfen, ob Ihre Pipeline vorhanden ist:

   Zur Seite der Lieferpipelines

   Die soeben erstellte Bereitstellungspipeline cloudrun-guestbook-backend-delivery wird angezeigt.

3. Klicken Sie auf cloudrun-guestbook-backend-delivery, um den Fortschritt zu verfolgen. Die Seite Details zur Lieferpipeline wird geöffnet.

4. Erstellen Sie in Cloud Shell eine Version in Cloud Deploy:

   gcloud deploy releases create test-release-007 \
       --delivery-pipeline=cloudrun-guestbook-backend-delivery \
       --skaffold-file=cloudrun.skaffold.yaml \
       --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
   

   Die neue Version wird auf der Seite Details zur Bereitstellungspipeline im Abschnitt Releases angezeigt.

5. Beobachten Sie die Ansicht Pipeline-Visualisierung auf der Seite Details zur Lieferpipeline, bis die Schaltfläche Hochstufen für dev-cluster angezeigt wird. Möglicherweise müssen Sie die Seite aktualisieren.

6. Klicken Sie für das erste Ziel in der Visualisierung der Lieferpipeline, cloudrun-dev, auf Hochstufen.

   Das Dialogfeld Release veröffentlichen wird angezeigt. Hier sehen Sie die Details des Ziels, auf das Sie werben.

7. Klicken Sie auf Hochstufen.

   Der Release wird jetzt für die Bereitstellung in cloudrun-prod in die Warteschlange gestellt. Wenn die Bereitstellung abgeschlossen ist, wird sie in der Visualisierung der Bereitstellungspipeline als bereitgestellt angezeigt:

   

Sicherheitserkenntnisse in Cloud Deploy ansehen

1. Öffnen Sie in der Google Cloud Console die Seite Bereitstellungspipelines von Cloud Deploy.

   Seite „Cloud Deploy“ öffnen

2. Klicken Sie in der Tabelle Bereitstellungspipelines auf cloudrun-guestbook-backend-delivery.

3. Klicken Sie auf der Seite Details zur Bereitstellungspipeline auf test-release-008.

4. Klicken Sie auf der Seite Release-Details auf den Tab Artefakte.

5. Suchen Sie in der Tabelle Build-Artefakte die Zeile mit dem Artefakt java-guestbook-backend und klicken Sie unter der entsprechenden Spalte Sicherheitsinformationen auf Anzeigen.

Für die Bereitstellung wird der Tab Sicherheit angezeigt.

Auf diesem Tab werden im Bereich Sicherheitsinformationen die folgenden Informationen angezeigt:

• SLSA-Ebene:Dieser Build hat die SLSA-Ebene 3 erreicht. Klicken Sie auf den Link Weitere Informationen, um mehr über diese Sicherheitsstufe zu erfahren.

• Sicherheitslücken:Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

• Abhängigkeiten für die Build-Artefakte.

• Build-Details:Details des Builds wie der Builder und der Link zum Aufrufen von Logs.

Sicherheitserkenntnisse in Cloud Run ansehen

1. Öffnen Sie die Seite Cloud Run-Dienste.

   Seite „Cloud Run-Dienste“ öffnen

2. Klicken Sie in der Tabelle Cloud Run-Dienste auf guestbook-backend-prod.

3. Klicken Sie auf der Seite Dienstdetails auf Überarbeitungen.

4. Klicken Sie im Bereich Überarbeitungen auf Sicherheit.

Für die Bereitstellung wird der Tab Sicherheit angezeigt.

Auf diesem Tab werden im Bereich Sicherheitsinformationen die folgenden Informationen angezeigt:

• Identität und Verschlüsselung:Die E-Mail-Adresse des Standard-Compute Engine-Dienstkontos und der für die Bereitstellung verwendete Verschlüsselungsschlüssel.

• SLSA-Ebene:Dieser Build hat die SLSA-Ebene 3 erreicht. Klicken Sie auf den Link Weitere Informationen, um mehr über diese Sicherheitsstufe zu erfahren.

• Sicherheitslücken:Alle in Ihren Artefakten gefundenen Sicherheitslücken. Klicken Sie auf den Image-Namen (java-guestbook-backend), um die Artefakte aufzurufen, die auf Sicherheitslücken geprüft wurden.

• Abhängigkeiten für die Build-Artefakte.

• Build-Details:Details des Builds wie der Builder und der Link zum Aufrufen von Logs.