Cloud Workstations te permite crear y usar imágenes personalizadas para tus estaciones de trabajo. Después de que se usa una imagen personalizada, es útil automatizar la compilación de la imagen personalizada para extraer las correcciones y actualizaciones disponibles en las imágenes base.
En este instructivo, aprenderás a compilar una canalización automatizada para garantizar que incluyas actualizaciones de seguridad y parches en tus imágenes de estaciones de trabajo personalizadas.
Objetivos
Si sigues este instructivo, compilarás una canalización automatizada para tu imagen base con estos pasos:
- Crea un repositorio de Artifact Registry para almacenar y analizar tu imagen personalizada.
- Configura GitHub con Google Cloud para almacenar los parámetros de configuración de las imágenes.
- Crear un activador de Cloud Build para automatizar la creación y la implementación de imágenes personalizadas a Artifact Registry.
- Configura Cloud Scheduler para iniciar compilaciones de forma periódica.
- Revisa los resultados de los procesos automatizados.
Costos
En este documento, usarás los siguientes componentes facturables de Google Cloud:
Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios.
Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.
Antes de comenzar
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Enable the Artifact Registry, Container Scanning API, Cloud Build, and Cloud Scheduler APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Prepare el entorno
Antes de continuar, asegúrate de configurar las siguientes variables de entorno.
Establece el ID del proyecto de la nube que planeas usar:
PROJECT_ID=$PROJECT_ID
Establece el nombre de usuario de GitHub en el que planeas almacenar tu repositorio:
GITHUB_USER=$GITHUB_ID
Configura las variables
PROJECT_NUMBER
yREGION
para usar durante el proceso:PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID \ --format='value(projectNumber)') REGION=$REGION
En el ejemplo anterior, reemplaza $REGION por el nombre de la región que planeas usar, por ejemplo,
us-central1
.Para obtener más información sobre las regiones disponibles, consulta Ubicaciones de Cloud Workstations.
Crea un repositorio de Artifact Registry
En este instructivo, usarás Artifact Registry para almacenar y analizar tus imágenes.
Crea un repositorio con el siguiente comando:
gcloud artifacts repositories create custom-images \ --repository-format=docker \ --location=$REGION \ --description="Docker repository"
Reemplaza $REGION por el nombre de la región que planeas usar.
Configura Docker para que use tus credenciales de CLI de
gcloud
cuando accedas a Artifact Registry.gcloud auth configure-docker $REGION-docker.pkg.dev
Para desactivar Artifact Analysis, ejecuta el siguiente comando:
gcloud services disable containerscanning.googleapis.com
Configura tu repositorio de GitHub
En la práctica, se conserva el Dockerfile para las imágenes personalizadas en un repositorio de Git. El proceso automatizado accede a ese repositorio durante el proceso de compilación para extraer las configuraciones y el Dockerfile relevantes.
Bifurca el repositorio de muestra
Para bifurcar un repositorio de muestra que proporciona definiciones de contenedores, sigue estos pasos: pasos:
- Haz clic en este vínculo para
Crea una bifurcación nueva.
del repositorio
software-delivery-workshop
. - Si se te solicita, accede a GitHub.
- Selecciona tu nombre de usuario de GitHub como propietario. El nombre del repositorio aparece como
software-delivery-workshop
- Haz clic en Crear bifurcación y espera unos segundos a que se complete el proceso.
Conecta Cloud Build a GitHub
A continuación, conecta ese repositorio a Cloud Build con la función de conexión de GitHub integrada. Haz clic en el vínculo al repositorio de GitHub y sigue las instrucciones que describen cómo completar el proceso. No es necesario crea el activador en el último paso del asistente y puedes omitir el último ya que puedes hacerlo más adelante desde la línea de comandos.
Si usas una solución de repositorio de Git diferente, también puedes seguir las instrucciones para conectar Cloud Build a GitLab o Bitbucket.
Crea un activador de Cloud Build
El repositorio de muestra contiene una definición de contenedor y una
de Terraform que se usa para compilar la imagen del contenedor. En este paso, crearás un
activador de Cloud Build que ejecuta las instrucciones del
cloudbuild.yaml
, que puedes encontrar en la
labs/cloudbuild-scheduled-jobs/code-oss-java
carpeta.
gcloud builds triggers create manual \
--name=custom-image-trigger \
--repo=$GITHUB_USER/software-delivery-workshop \
--repo-type=GITHUB \
--branch=main \
--build-config=labs/cloudbuild-scheduled-jobs/code-oss-java/cloudbuild.yaml \
--substitutions=_REGION=$REGION,_AR_REPO_NAME=custom-images,_AR_IMAGE_NAME=code-oss-java,_IMAGE_DIR=labs/cloudbuild-scheduled-jobs/code-oss-java
TRIGGER_ID=$(gcloud builds triggers list \
--filter=name="custom-image-trigger" --format="value(id)")
En este ejemplo, se configura lo siguiente:
- El comando
gcloud
de la CLI crea un activador manual dentro de Cloud Build llamadocustom-image-trigger
, como lo indica la marcaname
en la segunda línea. - Las siguientes tres líneas contienen marcas relacionadas con el repositorio de código fuente de GitHub:
- Ruta de acceso al repositorio
- Tipo de repositorio
- Rama de Git para compilar
- La marca
build-config
indica la ruta de acceso Archivo de Cloud Build en el repositorio de Git. Para que el trabajo sea dinámico, usa la marca
substitutions
. Para esta tarea, el comando pasa las siguientes variables:- Región,
$_REGION
- Nombre del repositorio de Artifact Registry,
$_AR_REPO_NAME
- Nombre de la imagen del contenedor,
$_AR_IMAGE_NAME
- Ubicación del Dockerfile que se compilará,
$_IMAGE_DIR
Consulta el cloudbuild.yaml para ver cómo se usan estas variables en el proceso.
- Región,
Después de crear el activador, se recupera el nombre único del activador y se almacena en la variable de entorno
$TRIGGER_ID
para usarlo más adelante.
Configura Cloud Scheduler
Para ayudar a garantizar que tus imágenes estén al día con las actualizaciones más recientes parches, usa Cloud Scheduler para ejecutar Cloud Build se activa en una frecuencia establecida. En este instructivo, la tarea se ejecuta todos los días. En establece esta frecuencia en una frecuencia que se alinee con las necesidades de tu organización garantizar que siempre se incluyan las actualizaciones más recientes.
Otorga un rol requerido a la cuenta de servicio predeterminada para invocar el activador de Cloud Build:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$PROJECT_NUMBER-compute@developer.gserviceaccount.com" \ --role="roles/cloudbuild.builds.editor"
Otorga un rol requerido a la cuenta de servicio de Cloud Build para subir imágenes a Artifact Registry:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:$PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role="roles/artifactregistry.admin"
Crea el trabajo de Cloud Scheduler con el siguiente comando:
gcloud scheduler jobs create http run-build \ --schedule='0 1 * * *' \ --uri=https://cloudbuild.googleapis.com/v1/projects/$PROJECT_ID/locations/global/triggers/$TRIGGER_ID:run \ --location=us-central1 \ --oauth-service-account-email=$PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --oauth-token-scope=https://www.googleapis.com/auth/cloud-platform
La tarea se configura para ejecutarse una vez al día. Sin embargo, para probar la función de inmediato, ejecútala de forma manual desde Cloud Scheduler:
- En la página de Cloud Scheduler, busca la entrada que acabas de crear. llamada run-build.
- En la columna Acciones, haz clic en el menú de opciones more_vertMás de esa fila.
- Haz clic en Forzar la ejecución de un trabajo para probar el sistema de forma manual.
Después de que el comando se ejecute correctamente, cambia a la página del historial de Cloud Build para revisar el progreso:
Revisa los resultados
Porque habilitaste la API de Container Scanning como parte de la configuración Artifact Registry analiza automáticamente las imágenes por motivos de seguridad vulnerabilidades.
Para revisar las vulnerabilidades, sigue estos pasos:
Abre la página Repositories de Artifact Registry:
En la lista de repositorios, haz clic en un repositorio.
Haz clic en el nombre de una imagen. Los totales de vulnerabilidades de cada resumen de imagen aparecen en la columna Vulnerabilidades.
Para ver la lista de vulnerabilidades de una imagen, haz clic en el vínculo de la columna Vulnerabilidades. En la lista de vulnerabilidades, se muestra la gravedad, la disponibilidad de una corrección y el nombre del paquete que contiene la vulnerabilidad.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos utilizados en esta página, asegúrate de borrar los recursos que que ya no necesitas.
Para borrar un proyecto de Google Cloud desde la consola de Google Cloud o desde la CLI de gcloud
, haz lo siguiente:
Console
- En la consola de Google Cloud, ve a la página Administrar recursos.
- En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
- En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.
gcloud
Borra un proyecto de Google Cloud:
gcloud projects delete PROJECT_ID
¿Qué sigue?
- Revisa la lista de imágenes base preconfiguradas disponibles.
- Personaliza tus imágenes de contenedor.
- Revisa los tipos de máquinas disponibles.
- Configura las prácticas recomendadas de seguridad.
- Explora arquitecturas de referencia, diagramas y prácticas recomendadas sobre Google Cloud. Consulta nuestro Cloud Architecture Center.