Neuaufbau von Container-Images automatisieren, um Basis-Image-Updates zu synchronisieren

Umgebung vorbereiten

Bevor Sie fortfahren, müssen Sie die folgenden Umgebungsvariablen festlegen.

1. Legen Sie die Projekt-ID für das Cloud-Projekt fest, das Sie verwenden möchten:

   PROJECT_ID=$PROJECT_ID
   

2. Legen Sie den GitHub-Nutzernamen fest, unter dem Sie Ihr Repository speichern möchten:

   GITHUB_USER=$GITHUB_ID
   

3. Legen Sie die Variablen PROJECT_NUMBER und REGION fest, die während des Prozesses verwendet werden sollen:

   PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \
       --format='value(projectNumber)')
   
   REGION=$REGION
   

   Ersetzen Sie im vorherigen Beispiel $REGION durch den Namen der Region, die Sie verwenden möchten, z. B. us-central1.

   Weitere Informationen zu verfügbaren Regionen finden Sie unter Standorte von Cloud Workstations.

Artifact Registry-Repository erstellen

In dieser Anleitung verwenden Sie Artifact Registry, um Ihre Bilder zu speichern und zu scannen.

1. Erstellen Sie mit dem folgenden Befehl ein Repository:

   gcloud artifacts repositories create custom-images \
         --repository-format=docker \
         --location=$REGION \
         --description="Docker repository"
   

   Ersetzen Sie $REGION durch den Namen der Region, die Sie verwenden möchten.

2. Konfigurieren Sie Docker so, dass Ihre gcloud-CLI-Anmeldedaten für den Zugriff auf Artifact Registry verwendet werden.

   gcloud auth configure-docker $REGION-docker.pkg.dev
   

   Führen Sie den folgenden Befehl aus, um die Artefaktanalyse zu deaktivieren:

   gcloud services disable containerscanning.googleapis.com
   

GitHub-Repository konfigurieren

In der Praxis speichern Sie die Dockerfile für Ihre benutzerdefinierten Images in einem Git-Repository. Der automatisierte Prozess greift während des Build-Prozesses auf dieses Repository zu, um die relevanten Konfigurationen und das Dockerfile abzurufen.

Beispiel-Repository verzweigen

So forken Sie ein Beispiel-Repository mit Containerdefinitionen:

1. Klicken Sie auf diesen Link, um eine neue Fork des software-delivery-workshop-Repositories zu erstellen.
2. Wenn Sie dazu aufgefordert werden, melden Sie sich bei GitHub an.
3. Wählen Sie Ihren GitHub-Nutzernamen als Inhaber aus. Der Repository-Name wird als software-delivery-workshop angezeigt.
4. Klicken Sie auf Fork erstellen und warten Sie einige Sekunden, bis der Vorgang abgeschlossen ist.

Cloud Build mit GitHub verbinden

Verbinden Sie das Repository anschließend über die integrierte GitHub-Verbindungsfunktion mit Cloud Build. Klicken Sie auf den Link zum GitHub-Repository und folgen Sie der Anleitung. Sie müssen den Trigger im letzten Schritt des Assistenten nicht erstellen und können die letzten Schritte überspringen, da Sie dies später über die Befehlszeile tun können.

• Cloud Build mit dem GitHub-Repository verbinden

Wenn Sie eine andere Git-Repository-Lösung verwenden, können Sie auch der Anleitung zum Verbinden von Cloud Build mit GitLab oder Bitbucket folgen.

Cloud Build-Trigger erstellen

Das Beispiel-Repository enthält eine Containerdefinition und eine Cloud Build-Konfiguration, mit der das Container-Image erstellt wird. In diesem Schritt erstellen Sie einen Cloud Build-Trigger, der die Anweisungen in der Datei cloudbuild.yaml ausführt, die sich im Ordner labs/cloudbuild-scheduled-jobs/code-oss-java befindet.

gcloud builds triggers create manual \
    --name=custom-image-trigger \
    --repo=$GITHUB_USER/software-delivery-workshop \
    --repo-type=GITHUB \
    --branch=main \
    --build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
    --substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java

TRIGGER_ID=$(gcloud builds triggers list \
    --filter=name="custom-image-trigger" --format="value(id)")

In diesem Beispiel wird Folgendes konfiguriert:

• Mit dem Befehl gcloud wird in Cloud Build ein manueller Trigger mit dem Namen custom-image-trigger erstellt, wie das Flag name in der zweiten Zeile zeigt.
• Die nächsten drei Zeilen enthalten Flags, die sich auf das Quell-GitHub-Repository beziehen:
  • Pfad zum Repository
  • Typ des Repositorys
  • Zu erstellender Git-Zweig
• Das Flag build-config gibt den Pfad zur Cloud Build-Datei im Git-Repository an.

• Verwenden Sie das Flag substitutions, um den Job dynamisch zu gestalten. Für diesen Job werden die folgenden Variablen übergeben:

  • Region, $_REGION
  • Name des Artifact Registry-Repositories, $_AR_REPO_NAME
  • Name des Container-Images, $_AR_IMAGE_NAME
  • Speicherort des zu erstellenden Dockerfiles, $_IMAGE_DIR

  In der Datei cloudbuild.yaml sehen Sie, wie diese Variablen im Prozess verwendet werden.

• Nach dem Erstellen des Triggers wird der eindeutige Name des Triggers abgerufen und zur späteren Verwendung in der Umgebungsvariablen $TRIGGER_ID gespeichert.

Cloud Scheduler konfigurieren

Damit Ihre Images immer auf dem neuesten Stand sind, können Sie mit Cloud Scheduler den Cloud Build-Trigger in einem festgelegten Intervall ausführen. In dieser Anleitung wird der Job täglich ausgeführt. Legen Sie in der Praxis eine Häufigkeit fest, die Ihren organisatorischen Anforderungen entspricht, damit immer die neuesten Updates enthalten sind.

1. Weisen Sie dem Standarddienstkonto eine erforderliche Rolle zu, um den Cloud Build-Trigger aufzurufen:

   gcloud projects add-iam-policy-binding $PROJECT_ID \
       --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
       --role="roles/cloudbuild.builds.editor"
   

2. Weisen Sie dem Cloud Build-Dienstkonto eine erforderliche Rolle zu, um Images in Artifact Registry hochzuladen:

   gcloud projects add-iam-policy-binding $PROJECT_ID \
       --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \
       --role="roles/artifactregistry.admin"
   

3. Erstellen Sie den Cloud Scheduler-Job mit dem folgenden Befehl:

   gcloud scheduler jobs create http run-build \
       --schedule='0 1 * * *' \
       --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \
       --location=us-central1 \
       --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform
   

4. Der Job ist so konfiguriert, dass er einmal täglich ausgeführt wird. Wenn Sie die Funktion sofort testen möchten, führen Sie den Job manuell über Cloud Scheduler aus:

   Zu Cloud Scheduler

   1. Suchen Sie auf der Cloud Scheduler-Seite nach dem Eintrag run-build, den Sie gerade erstellt haben.
   2. Klicken Sie in der Spalte „Aktionen“ auf das Dreipunkt-Menü more_vertMehr für diese Zeile.
   3. Klicken Sie auf Jobausführung erzwingen, um das System manuell zu testen.

   4. Nachdem der Befehl erfolgreich ausgeführt wurde, rufen Sie die Seite „Cloud Build-Verlauf“ auf, um den Fortschritt zu überprüfen:

      Zum Cloud Build-Verlauf

Ergebnisse überprüfen

Da Sie die Container Scanning API im Rahmen der Einrichtung aktiviert haben, werden die Images in Artifact Registry automatisch auf Sicherheitslücken geprüft.

So prüfen Sie die Sicherheitslücken:

1. Öffnen Sie die Seite „Artifact Registry-Repositories“:

   Zu Artifact Registry-Repositories

2. Klicken Sie in der Liste der Repositories auf ein Repository.

3. Klicken Sie auf einen Image-Namen. Die Gesamtzahl der Sicherheitslücken für jeden Image-Digest wird in der Spalte Sicherheitslücken angezeigt.

   

4. Wenn Sie die Liste der Sicherheitslücken für ein Image aufrufen möchten, klicken Sie auf den Link in der Spalte Vulnerabilities (Sicherheitslücken). Die Liste mit den Sicherheitslücken umfasst den Schweregrad, die Verfügbarkeit einer entsprechenden Lösung und den Namen des Pakets, das die Sicherheitslücke enthält.