Cloud Workstations memungkinkan Anda membuat dan menggunakan image kustom untuk workstation Anda. Setelah image kustom digunakan, sebaiknya otomatiskan build ulang image kustom untuk mengambil perbaikan dan update yang tersedia dalam image dasar.
Dalam tutorial ini, Anda akan mempelajari cara mem-build pipeline otomatis untuk membantu memastikan bahwa Anda menyertakan update dan patch keamanan pada image workstation kustom.
Tujuan
Dengan mengikuti tutorial ini, Anda akan mem-build pipeline otomatis untuk image dasar dengan langkah-langkah berikut:
- Buat repositori Artifact Registry untuk menyimpan dan memindai image kustom Anda.
- Konfigurasikan GitHub dengan Google Cloud untuk menyimpan konfigurasi image Anda.
- Buat pemicu Cloud Build untuk mengotomatiskan pembuatan dan deployment image kustom ke Artifact Registry.
- Konfigurasikan Cloud Scheduler untuk memulai build secara rutin.
- Tinjau hasil proses otomatis.
Biaya
Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.
Sebelum memulai
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API Artifact Registry, Container Scanning API, Cloud Build, dan Cloud Scheduler.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API Artifact Registry, Container Scanning API, Cloud Build, dan Cloud Scheduler.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Menyiapkan lingkungan
Sebelum melanjutkan, pastikan Anda telah menetapkan variabel lingkungan berikut.
Tetapkan project ID untuk project cloud yang akan Anda gunakan:
PROJECT_ID=$PROJECT_ID
Tetapkan nama pengguna GitHub tempat Anda berencana menyimpan repositori:
GITHUB_USER=$GITHUB_ID
Tetapkan variabel
PROJECT_NUMBER
danREGION
untuk digunakan melalui proses:PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \ --format='value(projectNumber)') REGION=$REGION
Pada contoh sebelumnya, ganti $REGION dengan nama wilayah yang akan Anda gunakan—misalnya,
us-central1
.Untuk mengetahui informasi selengkapnya tentang region yang tersedia, lihat lokasi Cloud Workstation.
Membuat repositori Artifact Registry
Dalam tutorial ini, Anda menggunakan Artifact Registry untuk menyimpan dan memindai image.
Buat repositori dengan perintah berikut:
gcloud artifacts repositories create custom-images \ --repository-format=docker \ --location=$REGION \ --description="Docker repository"
Ganti $REGION dengan nama wilayah yang akan Anda gunakan.
Konfigurasikan Docker untuk menggunakan kredensial CLI
gcloud
Anda saat mengakses Artifact Registry.gcloud auth configure-docker $REGION-docker.pkg.dev
Untuk menonaktifkan Artifact Analysis, jalankan perintah berikut:
gcloud services disable containerscanning.googleapis.com
Mengonfigurasi repositori GitHub Anda
Dalam praktiknya, Anda menyimpan Dockerfile untuk image kustom di repositori Git. Proses otomatis mengakses repositori tersebut selama proses build untuk mengambil konfigurasi dan Dockerfile yang relevan.
Melakukan fork repositori contoh
Untuk melakukan fork repositori contoh yang memberikan definisi container, ikuti langkah-langkah berikut:
- Klik link ini untuk
Create a new fork.
dari repositori
software-delivery-workshop
. - Jika diminta, login ke GitHub.
- Pilih nama pengguna GitHub Anda sebagai Pemilik. Nama Repositori akan muncul sebagai
software-delivery-workshop
. - Klik Create fork dan tunggu beberapa detik hingga prosesnya selesai.
Menghubungkan Cloud Build ke GitHub
Selanjutnya, hubungkan repositori tersebut ke Cloud Build menggunakan kemampuan koneksi GitHub bawaan. Klik link ke repositori GitHub dan ikuti petunjuk yang menjelaskan cara menyelesaikan prosesnya. Anda tidak perlu membuat pemicu di langkah terakhir wizard, dan dapat melewati langkah terakhir karena Anda dapat melakukannya nanti dari command line.
Jika menggunakan solusi repositori Git lain, Anda juga dapat mengikuti petunjuk untuk menghubungkan Cloud Build ke GitLab atau Bitbucket.
Membuat pemicu Cloud Build
Repositori contoh berisi definisi container dan konfigurasi Cloud Build yang digunakan untuk mem-build image container. Pada langkah ini, Anda akan membuat pemicu Cloud Build yang menjalankan petunjuk dalam file cloudbuild.yaml
yang dapat ditemukan di folder labs/cloudbuild-scheduled-jobs/code-oss-java.
gcloud builds triggers create manual \
--name=custom-image-trigger \
--repo=$GITHUB_USER/software-delivery-workshop \
--repo-type=GITHUB \
--branch=main \
--build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
--substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java
TRIGGER_ID=$(gcloud builds triggers list \
--filter=name="custom-image-trigger" --format="value(id)")
Contoh ini mengonfigurasi hal berikut:
- Perintah CLI
gcloud
membuat pemicu manual dalam Cloud Build bernamacustom-image-trigger
, seperti yang ditunjukkan oleh flagname
di baris kedua. - Tiga baris berikutnya berisi flag yang terkait dengan repositori GitHub sumber:
- Jalur ke repositori
- Jenis repositori
- Cabang Git yang akan di-build
- Flag
build-config
menunjukkan jalur ke file Cloud Build di repositori Git. Untuk membuat tugas dinamis, gunakan flag
substitutions
. Untuk tugas ini, perintah meneruskan variabel berikut:- Wilayah,
$_REGION
- Nama repositori Artifact Registry,
$_AR_REPO_NAME
- Nama image container,
$_AR_IMAGE_NAME
- Lokasi Dockerfile untuk di-build,
$_IMAGE_DIR
Lihat file cloudbuild.yaml untuk mengetahui bagaimana variabel ini digunakan dalam prosesnya.
- Wilayah,
Setelah pemicu dibuat, nama unik pemicu diambil dan disimpan di variabel lingkungan
$TRIGGER_ID
untuk digunakan nanti.
Mengonfigurasi Cloud Scheduler
Untuk membantu memastikan bahwa image Anda selalu diperbarui dengan update dan patch terbaru, gunakan Cloud Scheduler untuk menjalankan pemicu Cloud Build pada frekuensi yang ditetapkan. Untuk tutorial ini, tugas berjalan setiap hari. Dalam praktiknya, tetapkan ini ke frekuensi yang selaras dengan kebutuhan organisasi Anda untuk membantu memastikan bahwa update terbaru selalu disertakan.
Berikan peran yang diperlukan ke akun layanan default untuk memanggil pemicu Cloud Build:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \ --role="roles/cloudbuild.builds.editor"
Berikan peran yang diperlukan ke akun layanan Cloud Build untuk mengupload image ke Artifact Registry:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role="roles/artifactregistry.admin"
Buat tugas Cloud Scheduler dengan perintah berikut:
gcloud scheduler jobs create http run-build \ --schedule='0 1 * * *' \ --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \ --location=us-central1 \ --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform
Tugas ini disetel untuk dijalankan satu kali setiap hari. Namun, untuk segera menguji fitur, jalankan tugas secara manual dari Cloud Scheduler:
- Di halaman Cloud Scheduler, temukan entri yang baru saja dibuat bernama run-build.
- Di kolom Actions, klik menu opsi more_vertMore untuk baris tersebut.
- Klik Force a job run untuk menguji sistem secara manual.
Setelah perintah berhasil dijalankan, beralihlah ke halaman histori Cloud Build untuk meninjau progresnya:
Meninjau hasil
Karena Anda mengaktifkan Container Scanning API sebagai bagian dari proses penyiapan, Artifact Registry akan otomatis memindai image untuk mendeteksi kerentanan keamanan.
Untuk meninjau kerentanan:
Buka halaman Artifact Registry Repositories:
Dalam daftar repositori, klik repositori.
Klik nama gambar. Total kerentanan untuk setiap ringkasan gambar muncul di kolom Kerentanan.
Untuk melihat daftar kerentanan untuk sebuah gambar, klik link di kolom Kerentanan. Daftar kerentanan menampilkan keparahan, ketersediaan perbaikan, dan nama paket yang berisi kerentanan.
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.
Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan di halaman ini, pastikan Anda tidak lupa untuk menghapus resource yang tidak lagi diperlukan.
Untuk menghapus project Google Cloud dari Google Cloud Console atau dari CLI gcloud
:
Konsol
- Di konsol Google Cloud, buka halaman Manage resource.
- Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
- Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.
gcloud
Menghapus project Google Cloud:
gcloud projects delete PROJECT_ID
Langkah selanjutnya
- Tinjau daftar image dasar standar yang tersedia.
- Sesuaikan image container Anda.
- Tinjau jenis mesin yang tersedia.
- Menyiapkan praktik terbaik keamanan.
- Pelajari arsitektur referensi, diagram, dan praktik terbaik tentang Google Cloud. Lihat Cloud Architecture Center kami.