Automatiza las recompilaciones de imágenes de contenedor para sincronizar las actualizaciones de imágenes base

Cloud Workstations te permite crear y usar imágenes personalizadas para tus estaciones de trabajo. Después de que se usa una imagen personalizada, es útil automatizar la compilación de la imagen personalizada para extraer las correcciones y actualizaciones disponibles en las imágenes base.

En este instructivo, aprenderás a compilar una canalización automatizada para garantizar que incluyas actualizaciones de seguridad y parches en tus imágenes de estaciones de trabajo personalizadas.

Objetivos

Si sigues este instructivo, compilarás una canalización automatizada para tu imagen base con estos pasos:

  1. Crea un repositorio de Artifact Registry para almacenar y analizar tu imagen personalizada.
  2. Configura GitHub con Google Cloud para almacenar los parámetros de configuración de las imágenes.
  3. Crear un activador de Cloud Build para automatizar la creación y la implementación de imágenes personalizadas a Artifact Registry.
  4. Configura Cloud Scheduler para iniciar compilaciones de forma periódica.
  5. Revisa los resultados de los procesos automatizados.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  9. Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Prepare el entorno

Antes de continuar, asegúrate de configurar las siguientes variables de entorno.

  1. Establece el ID del proyecto de la nube que planeas usar:

    PROJECT_ID=$PROJECT_ID

  2. Establece el nombre de usuario de GitHub en el que planeas almacenar tu repositorio:

    GITHUB_USER=$GITHUB_ID

  3. Configura las variables PROJECT_NUMBER y REGION para usar durante el proceso:

    PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \
    --format='value(projectNumber)')

REGION=$REGION

    En el ejemplo anterior, reemplaza $REGION por el nombre de la región que planeas usar, por ejemplo, us-central1.

    Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Cloud Workstations.

Crea un repositorio de Artifact Registry

En este instructivo, usarás Artifact Registry para almacenar y analizar tus imágenes.

  1. Crea un repositorio con el siguiente comando:

    gcloud artifacts repositories create custom-images \
      --repository-format=docker \
      --location=$REGION \
      --description="Docker repository"

    Reemplaza $REGION por el nombre de la región que planeas usar.

  2. Configura Docker para que use tus credenciales de CLI de gcloud cuando accedas a Artifact Registry.

    gcloud auth configure-docker $REGION-docker.pkg.dev

    Para desactivar Artifact Analysis, ejecuta el siguiente comando:

    gcloud services disable containerscanning.googleapis.com

Configura tu repositorio de GitHub

En la práctica, se conserva el Dockerfile para las imágenes personalizadas en un repositorio de Git. El proceso automatizado accede a ese repositorio durante el proceso de compilación para extraer las configuraciones y el Dockerfile relevantes.

Bifurca el repositorio de muestra

Para bifurcar un repositorio de muestra que proporciona definiciones de contenedores, sigue estos pasos: pasos:

  1. Haz clic en este vínculo para Crea una bifurcación nueva. del repositorio software-delivery-workshop.
  2. Si se te solicita, accede a GitHub.
  3. Selecciona tu nombre de usuario de GitHub como propietario. El nombre del repositorio aparece como software-delivery-workshop
  4. Haz clic en Crear bifurcación y espera unos segundos a que se complete el proceso.

Conecta Cloud Build a GitHub

A continuación, conecta ese repositorio a Cloud Build con la función de conexión de GitHub integrada. Haz clic en el vínculo al repositorio de GitHub y sigue las instrucciones que describen cómo completar el proceso. No es necesario crea el activador en el último paso del asistente y puedes omitir el último ya que puedes hacerlo más adelante desde la línea de comandos.

Si usas una solución de repositorio de Git diferente, también puedes seguir las instrucciones para conectar Cloud Build a GitLab o Bitbucket.

Crea un activador de Cloud Build

El repositorio de muestra contiene una definición de contenedor y una de Terraform que se usa para compilar la imagen del contenedor. En este paso, crearás un activador de Cloud Build que ejecuta las instrucciones del cloudbuild.yaml, que puedes encontrar en la labs/cloudbuild-scheduled-jobs/code-oss-java carpeta.

gcloud builds triggers create manual \
    --name=custom-image-trigger \
    --repo=$GITHUB_USER/software-delivery-workshop \
    --repo-type=GITHUB \
    --branch=main \
    --build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
    --substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java

TRIGGER_ID=$(gcloud builds triggers list \
    --filter=name="custom-image-trigger" --format="value(id)")

En este ejemplo, se configura lo siguiente:

  • El comando gcloud de la CLI crea un activador manual dentro de Cloud Build llamado custom-image-trigger, como lo indica la marca name en la segunda línea.
  • Las siguientes tres líneas contienen marcas relacionadas con el repositorio de código fuente de GitHub:
  • La marca build-config indica la ruta de acceso Archivo de Cloud Build en el repositorio de Git.

  • Para que el trabajo sea dinámico, usa la marca substitutions. Para esta tarea, el comando pasa las siguientes variables:

    • Región, $_REGION
    • Nombre del repositorio de Artifact Registry, $_AR_REPO_NAME
    • Nombre de la imagen del contenedor, $_AR_IMAGE_NAME
    • Ubicación del Dockerfile que se compilará, $_IMAGE_DIR

    Consulta el cloudbuild.yaml para ver cómo se usan estas variables en el proceso.

  • Después de crear el activador, se recupera el nombre único del activador y se almacena en la variable de entorno $TRIGGER_ID para usarlo más adelante.

Configura Cloud Scheduler

Para ayudar a garantizar que tus imágenes estén al día con las actualizaciones más recientes parches, usa Cloud Scheduler para ejecutar Cloud Build se activa en una frecuencia establecida. En este instructivo, la tarea se ejecuta todos los días. En establece esta frecuencia en una frecuencia que se alinee con las necesidades de tu organización garantizar que siempre se incluyan las actualizaciones más recientes.

  1. Otorga un rol requerido a la cuenta de servicio predeterminada para invocar el activador de Cloud Build:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --role="roles/cloudbuild.builds.editor"

  2. Otorga un rol requerido a la cuenta de servicio de Cloud Build para subir imágenes a Artifact Registry:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \
    --role="roles/artifactregistry.admin"

  3. Crea el trabajo de Cloud Scheduler con el siguiente comando:

    gcloud scheduler jobs create http run-build \
    --schedule='0 1 * * *' \
    --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \
    --location=us-central1 \
    --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform

  4. La tarea se configura para ejecutarse una vez al día. Sin embargo, para probar la función de inmediato, ejecútala de forma manual desde Cloud Scheduler:

    Ir a Cloud Scheduler

    1. En la página de Cloud Scheduler, busca la entrada que acabas de crear. llamada run-build.
    2. En la columna Acciones, haz clic en el menú de opciones more_vertMás de esa fila.
    3. Haz clic en Forzar la ejecución de un trabajo para probar el sistema de forma manual.

    4. Después de que el comando se ejecute correctamente, cambia a la página del historial de Cloud Build para revisar el progreso:

      Ir al historial de Cloud Build

Revisa los resultados

Porque habilitaste la API de Container Scanning como parte de la configuración Artifact Registry analiza automáticamente las imágenes por motivos de seguridad vulnerabilidades.

Para revisar las vulnerabilidades, sigue estos pasos:

  1. Abre la página Repositories de Artifact Registry:

    Ir a Repositorios de Artifact Registry

  2. En la lista de repositorios, haz clic en un repositorio.

  3. Haz clic en el nombre de una imagen. Los totales de vulnerabilidades de cada resumen de imagen aparecen en la columna Vulnerabilidades.

    Página Repositorios de Artifact Registry que muestra el nombre de una imagen de muestra

  4. Para ver la lista de vulnerabilidades de una imagen, haz clic en el vínculo de la columna Vulnerabilidades. En la lista de vulnerabilidades, se muestra la gravedad, la disponibilidad de una corrección y el nombre del paquete que contiene la vulnerabilidad.

    Página Vulnerabilidades de Artifact Registry que muestra una lista de ejemplo de vulnerabilidades

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos utilizados en esta página, asegúrate de borrar los recursos que que ya no necesitas.

Para borrar un proyecto de Google Cloud desde la consola de Google Cloud o desde la CLI de gcloud, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Administrar recursos.

    Ir a Administrar recursos

  2. En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
  3. En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

gcloud

    Borra un proyecto de Google Cloud:

    gcloud projects delete PROJECT_ID

Para obtener más información sobre cómo borrar otros recursos, como clústeres de estaciones de trabajo, configuraciones de estaciones de trabajo y estaciones de trabajo, consulta Borra recursos.

¿Qué sigue?