1. 簡介
Cloud Run 是代管運算平台,能夠讓您執行可透過 HTTP 要求叫用的無狀態容器。Cloud Run 採用無伺服器技術,可為您省去所有基礎架構管理工作,讓您專心處理最重要的事物,也就是建構出色的應用程式。
另外,這項服務也會與 Google Cloud 生態系統的許多其他部分原生通訊,包括適用於代管資料庫的 Cloud SQL、適用於統一物件儲存空間的 Cloud Storage,以及用於管理密鑰的 Secret Manager。
Django CMS 是建立在 Django 之上的企業內容管理系統 (CMS)。Django 是高階的 Python 網路架構。
在本教學課程中,您將使用這些元件部署小型 Django CMS 專案。
注意:本程式碼研究室上次通過驗證時,使用的是 Django CMS 4.1.2 和 django-cms/cms-template v4.1。
課程內容
- 如何使用 Cloud Shell
- 如何建立 Cloud SQL 資料庫
- 如何建立 Cloud Storage 值區
- 如何建立 Secret Manager 密鑰
- 如何使用不同 Google Cloud 服務的 Secrets
- 如何將 Google Cloud 元件連結至 Cloud Run 服務
- 如何使用 Container Registry 儲存已建構的容器
- 如何部署至 Cloud Run
- 如何在 Cloud Build 中執行資料庫結構定義遷移作業
2. 設定和需求
自助式環境設定
- 登入 Google Cloud 控制台,然後建立新專案或重複使用現有專案。如果您還沒有 Gmail 或 Google Workspace 帳戶,請先建立帳戶。
- 「Project name」是這個專案參與者的顯示名稱。這是 Google API 未使用的字元字串。你隨時可以更新。
- 專案 ID 在所有 Google Cloud 專案中都是不重複的值,且無法變更 (設定後即無法變更)。Cloud 控制台會自動產生專屬字串,您通常不需要特別在意。在大多數程式碼研究室中,您都需要參照專案 ID (通常會以
PROJECT_ID表示)。如果您不喜歡系統產生的 ID,可以隨機產生另一個 ID。或者,您也可以自行嘗試,看看是否可用。在這個步驟完成後就無法變更,且會在整個專案期間維持不變。 - 資訊中的第三個值是專案編號,部分 API 會使用這個編號。如要進一步瞭解這三個值,請參閱說明文件。
- 接下來,您需要在 Cloud 控制台中啟用計費功能,才能使用 Cloud 資源/API。執行這個程式碼研究室不會產生太多費用,甚至可能完全不會產生費用。如要關閉資源,避免在本教學課程結束後繼續產生費用,您可以刪除建立的資源或專案。新使用者符合 $300 美元免費試用計畫的資格。
Google Cloud Shell
雖然 Google Cloud 可透過筆記型電腦遠端操作,但在本程式碼研究室中,我們會使用 Google Cloud Shell,這是在雲端執行的指令列環境。
啟用 Cloud Shell
- 在 Cloud 控制台中,按一下「啟用 Cloud Shell」圖示
。
如果這是您首次啟動 Cloud Shell,系統會顯示中介畫面,說明 Cloud Shell 的功能。如果您看到中介畫面,請按一下「繼續」。
佈建並連線至 Cloud Shell 的作業只需幾分鐘的時間。
這個虛擬機器已載入所有必要的開發工具。提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作,大幅提升網路效能和驗證功能。在本程式碼研究室中,您的大部分作業都可透過瀏覽器完成。
連線至 Cloud Shell 後,您應會發現自己通過驗證,且專案已設為您的專案 ID。
- 在 Cloud Shell 中執行下列指令,確認您已通過驗證:
gcloud auth list
指令輸出
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- 在 Cloud Shell 中執行下列指令,確認 gcloud 指令知道您的專案:
gcloud config list project
指令輸出
[core] project = <PROJECT_ID>
如未設定,請輸入下列指令設定專案:
gcloud config set project <PROJECT_ID>
指令輸出
Updated property [core/project].
3. 啟用 Cloud API
在 Cloud Shell 中,為要使用的元件啟用 Cloud API:
gcloud services enable \ run.googleapis.com \ sql-component.googleapis.com \ sqladmin.googleapis.com \ compute.googleapis.com \ cloudbuild.googleapis.com \ secretmanager.googleapis.com \ artifactregistry.googleapis.com
由於這是您第一次透過 gcloud 呼叫 API,系統會要求您授權使用憑證發出這項要求。這項操作會在每個 Cloud Shell 工作階段中執行一次。
這項作業可能需要幾分鐘才能完成。
完成後,畫面上應會顯示類似以下的成功訊息:
Operation "operations/acf.cc11852d-40af-47ad-9d59-477a12847c9e" finished successfully.
4. 建立範本專案
您將使用 Django CMS cms-template 做為 Django CMS 範例專案。
如要建立這個範本專案,請使用 Cloud Shell 建立名為 djangocms-cloudrun 的新目錄,然後前往該目錄:
mkdir ~/djangocms-cloudrun cd ~/djangocms-cloudrun
將 django-cms 套件安裝到臨時虛擬環境中:
virtualenv venv source venv/bin/activate pip install djangocms-frontend\[cms-4]
複製 cms-template 專案:
django-admin startproject --template https://github.com/django-cms/cms-template/archive/4.1.zip myproject .
您現在可以在名為 myproject 的資料夾中有一個 Django CMS 專案範本:
ls -F
manage.py* media/ myproject/ project.db requirements.in requirements.txt static/ venv/
您現在可以關閉並移除臨時虛擬環境:
deactivate rm -rf venv
從這裡,容器中會呼叫 Django CMS。
您也可以移除自動複製的 requirements.in 檔案 (由 pip-tools 用來產生 requirements.txt 檔案)。本程式碼研究室不會使用以下項目:
rm requirements.in
5. 建立後端服務
您現在將建立後端服務:專用服務帳戶、Artifact Registry、Cloud SQL 資料庫、Cloud Storage 值區,以及多個 Secret Manager 值。
保護部署中所用密碼的值對任何專案的安全性至關重要,並確保沒有人不小心將不合適的密碼放入密碼 (例如,直接在設定檔中或終端機輸入,以便從歷史記錄擷取密碼)。
首先,請為專案 ID 設定兩個基本環境變數:
PROJECT_ID=$(gcloud config get-value core/project)
一個用於區域:
REGION=us-central1
建立服務帳戶
如要限制服務對 Google Cloud 其他部分的存取權,請建立專屬的服務帳戶:
gcloud iam service-accounts create cloudrun-serviceaccount
您將在本程式碼研究室的後續章節中,透過電子郵件地址參照這個帳戶。在環境變數中設定該值:
SERVICE_ACCOUNT=$(gcloud iam service-accounts list \
--filter cloudrun-serviceaccount --format "value(email)")
建立 Artifact Registry
如要儲存已建構的容器映像檔,請在所選區域中建立容器登錄:
gcloud artifacts repositories create containers --repository-format docker --location $REGION
在本程式碼研究室的後續章節中,我們會依名稱參照這個註冊資料庫:
ARTIFACT_REGISTRY=${REGION}-docker.pkg.dev/${PROJECT_ID}/containers
建立資料庫
建立 Cloud SQL 執行個體:
gcloud sql instances create myinstance --project $PROJECT_ID \ --database-version POSTGRES_14 --tier db-f1-micro --region $REGION
這項作業會在幾分鐘內完成。
在該例項中建立資料庫:
gcloud sql databases create mydatabase --instance myinstance
在該例項中,建立使用者:
DJPASS="$(cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9' | fold -w 30 | head -n 1)" gcloud sql users create djuser --instance myinstance --password $DJPASS
授予服務帳戶連結執行個體的權限:
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member serviceAccount:${SERVICE_ACCOUNT} \
--role roles/cloudsql.client
建立儲存空間值區
建立 Cloud Storage 值區 (註記名稱在全域範圍內不得重複):
GS_BUCKET_NAME=${PROJECT_ID}-media
gcloud storage buckets create gs://${GS_BUCKET_NAME} --location ${REGION}
授予服務帳戶管理儲存桶的權限:
gcloud storage buckets add-iam-policy-binding gs://${GS_BUCKET_NAME} \
--member serviceAccount:${SERVICE_ACCOUNT} \
--role roles/storage.admin
由於儲存在值區中的物件會有不同的來源 (值區網址,而非 Cloud Run 網址),因此您需要設定跨源資源共享 (CORS) 設定。
建立名為 cors.json 的新檔案,並在其中加入下列內容:
touch cors.json cloudshell edit cors.json
cors.json
[
{
"origin": ["*"],
"responseHeader": ["Content-Type"],
"method": ["GET"],
"maxAgeSeconds": 3600
}
]
將這個 CORS 設定套用至新建立的儲存空間值區:
gsutil cors set cors.json gs://$GS_BUCKET_NAME
將設定儲存為密鑰
設定備份服務後,您現在會將這些值儲存在使用 Secret Manager 保護的檔案中。
Secret Manager 可讓您以二進位 blob 或文字字串的形式儲存、管理及存取密鑰。很適合用來在執行階段儲存應用程式所需的設定資訊,例如資料庫密碼、API 金鑰或 TLS 憑證。
首先,建立檔案並加入資料庫連線字串、媒體值區、Django 的密鑰 (用於加密工作階段和權杖的簽署),然後啟用偵錯功能:
echo DATABASE_URL=\"postgres://djuser:${DJPASS}@//cloudsql/${PROJECT_ID}:${REGION}:myinstance/mydatabase\" > .env
echo GS_BUCKET_NAME=\"${GS_BUCKET_NAME}\" >> .env
echo SECRET_KEY=\"$(cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9' | fold -w 50 | head -n 1)\" >> .env
echo DEBUG=True >> .env
接著,建立名為 application_settings 的密鑰,並使用該檔案做為密鑰:
gcloud secrets create application_settings --data-file .env
允許服務帳戶存取這組密鑰:
gcloud secrets add-iam-policy-binding application_settings \
--member serviceAccount:${SERVICE_ACCOUNT} --role roles/secretmanager.secretAccessor
列出密鑰,確認密鑰已建立:
gcloud secrets versions list application_settings
確認 Secret 已建立後,移除本機檔案:
rm .env
6. 設定應用程式
有鑑於您剛建立的後端服務,您必須依據自己的需求變更範本專案。
這包括引入 django-environ,以便使用環境變數做為設定值,並將您定義為密鑰的值填入。如要實作這個效果,您需要擴充範本設定。您也需要新增其他 Python 依附元件。
調整設定
移動 settings.py 檔案,並將其重新命名為 basesettings.py:
mv myproject/settings.py myproject/basesettings.py
使用 Cloud Shell 網路編輯器建立新的 settings.py 檔案,並加入以下程式碼:
touch myproject/settings.py cloudshell edit myproject/settings.py
myproject/settings.py
import io
import os
from urllib.parse import urlparse
import environ
# Import the original settings from each template
from .basesettings import *
# Load the settings from the environment variable
env = environ.Env()
env.read_env(io.StringIO(os.environ.get("APPLICATION_SETTINGS", None)))
# Setting this value from django-environ
SECRET_KEY = env("SECRET_KEY")
# Ensure myproject is added to the installed applications
if "myproject" not in INSTALLED_APPS:
INSTALLED_APPS.append("myproject")
# If defined, add service URLs to Django security settings
CLOUDRUN_SERVICE_URLS = env("CLOUDRUN_SERVICE_URLS", default=None)
if CLOUDRUN_SERVICE_URLS:
CSRF_TRUSTED_ORIGINS = env("CLOUDRUN_SERVICE_URLS").split(",")
# Remove the scheme from URLs for ALLOWED_HOSTS
ALLOWED_HOSTS = [urlparse(url).netloc for url in CSRF_TRUSTED_ORIGINS]
else:
ALLOWED_HOSTS = ["*"]
# Default false. True allows default landing pages to be visible
DEBUG = env("DEBUG", default=False)
# Set this value from django-environ
DATABASES = {"default": env.db()}
# Change database settings if using the Cloud SQL Auth Proxy
if os.getenv("USE_CLOUD_SQL_AUTH_PROXY", None):
DATABASES["default"]["HOST"] = "127.0.0.1"
DATABASES["default"]["PORT"] = 5432
# Define static storage via django-storages[google]
GS_BUCKET_NAME = env("GS_BUCKET_NAME")
STATICFILES_DIRS = []
GS_DEFAULT_ACL = "publicRead"
STORAGES = {
"default": {
"BACKEND": "storages.backends.gcloud.GoogleCloudStorage",
},
"staticfiles": {
"BACKEND": "storages.backends.gcloud.GoogleCloudStorage",
},
}
請花點時間閱讀關於每項設定新增的解說。
請注意,這個檔案可能會顯示程式碼檢查錯誤。這個狀況有可能發生:Cloud Shell 沒有這項專案的規定背景資訊,因此可能會回報無效的匯入項目和未使用的匯入作業。
Python 依附元件
找出 requirements.txt 檔案,並附加下列套件:
cloudshell edit requirements.txt
requirements.txt (附加)
gunicorn psycopg2-binary django-storages[google] django-environ
定義應用程式映像檔
只要容器符合 Cloud Run 容器合約,Cloud Run 就會執行該容器。本教學課程選擇省略 Dockerfile,改用 Cloud Native Buildpacks。建構包可協助建構常見語言 (包括 Python) 的容器。
本教學課程會選擇自訂 Procfile,用於啟動網頁應用程式。
如要將範本專案容器化,請先在專案頂層 (與 manage.py 相同的目錄中) 建立名為 Procfile 的新檔案,然後複製下列內容:
touch Procfile cloudshell edit Procfile
Procfile
web: gunicorn --bind 0.0.0.0:$PORT --workers 1 --threads 8 --timeout 0 myproject.wsgi:application
7. 設定、建構及執行遷移步驟
如要在 Cloud SQL 資料庫中建立資料庫結構定義,並在 Cloud Storage 值區中填入靜態資產,您必須執行 migrate 和 collectstatic。
這些基本 Django 遷移指令必須在已建構的容器映像檔中執行,且該指令必須可存取資料庫。
您也需要執行 createsuperuser 來建立管理員帳戶,以便登入 Django 管理員。
為此,您將使用 Cloud Run 工作來執行這些工作。Cloud Run 工作可讓您執行已定義結尾的處理程序,相當適合用於管理工作。
定義 Django 超級使用者密碼
如要建立超級使用者,您必須使用非互動式版本的 createsuperuser 指令。這個指令需要使用特殊名稱的環境變數,以取代輸入密碼的提示。
使用隨機產生的密碼建立新密鑰:
echo -n $(cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9' | fold -w 30 | head -n 1) | gcloud secrets create django_superuser_password --data-file=-
允許服務帳戶存取這個密鑰:
gcloud secrets add-iam-policy-binding django_superuser_password \
--member serviceAccount:${SERVICE_ACCOUNT} \
--role roles/secretmanager.secretAccessor
更新 Procfile
為了清楚瞭解 Cloud Run 工作,請在 Procfile 中建立捷徑,並將下列進入點附加至 Procfile:
migrate: python manage.py migrate && python manage.py collectstatic --noinput --clear createuser: python manage.py createsuperuser --username admin --email noop@example.com --noinput
您現在應該有三個項目:預設的 web 進入點、用來套用資料庫遷移作業的 migrate 進入點,以及執行 createsuperuser 指令的 createuser 進入點。
建構應用程式映像檔
更新 Procfile 後,建構映像檔:
gcloud builds submit --pack image=${ARTIFACT_REGISTRY}/myimage
建立 Cloud Run 工作
映像檔已建立完成,您可以使用該映像檔建立 Cloud Run 工作。
這些工作使用先前建構的映像檔,但使用不同的 command 值。這些值會對應至 Procfile 中的值。
建立遷移工作的步驟:
gcloud run jobs create migrate \
--region $REGION \
--image ${ARTIFACT_REGISTRY}/myimage \
--set-cloudsql-instances ${PROJECT_ID}:${REGION}:myinstance \
--set-secrets APPLICATION_SETTINGS=application_settings:latest \
--service-account $SERVICE_ACCOUNT \
--command migrate
建立使用者建立作業:
gcloud run jobs create createuser \
--region $REGION \
--image ${ARTIFACT_REGISTRY}/myimage \
--set-cloudsql-instances ${PROJECT_ID}:${REGION}:myinstance \
--set-secrets APPLICATION_SETTINGS=application_settings:latest \
--set-secrets DJANGO_SUPERUSER_PASSWORD=django_superuser_password:latest \
--service-account $SERVICE_ACCOUNT \
--command createuser
執行 Cloud Run 工作
設定好工作設定後,請執行遷移作業:
gcloud run jobs execute migrate --region $REGION --wait
確認這個指令的輸出內容顯示執行作業「已順利完成」。
您稍後更新應用程式時,會執行這項指令。
設定資料庫後,使用工作建立使用者:
gcloud run jobs execute createuser --region $REGION --wait
確認這個指令的輸出內容顯示執行作業「已順利完成」。
您不必再次執行這個指令。
8. 部署至 Cloud Run
建立並填入備份服務後,您現在可以建立 Cloud Run 服務來存取這些服務。
您可以使用下列指令,建立容器化應用程式至 Cloud Run 的初始部署作業:
gcloud run deploy djangocms-cloudrun \
--region $REGION \
--image ${ARTIFACT_REGISTRY}/myimage \
--set-cloudsql-instances ${PROJECT_ID}:${REGION}:myinstance \
--set-secrets APPLICATION_SETTINGS=application_settings:latest \
--service-account $SERVICE_ACCOUNT \
--allow-unauthenticated
稍候片刻,等待部署作業完成。部署成功之後,指令列會顯示服務網址:
Service [djangocms-cloudrun] revision [djangocms-cloudrun-00001-...] has been deployed and is serving 100 percent of traffic. Service URL: https://djangocms-cloudrun-...run.app
您現在可以在網路瀏覽器中開啟這個網址,查看已部署的容器:
由於這是新安裝,系統會自動將您重新導向至登入頁面。
9. 存取 Django 管理員
Django CMS 的主要功能之一,就是互動式管理員。
更新 CSRF 設定
Django 內建防範跨網站偽造要求 (CSRF) 的保護機制。每當有表單提交至 Django 網站時 (包括登入 Django 管理員),系統都會檢查「信任來源」設定。如果與要求的來源不相符,Django 會傳回錯誤。
在 mysite/settings.py 檔案中,如果 CLOUDRUN_SERVICE_URL 環境變數已定義,則 CSRF_TRUSTED_ORIGINS 和 ALLOWED_HOSTS 設定會使用該變數。雖然定義 ALLOWED_HOSTS 並非必要,但建議您新增這個屬性,因為 CSRF_TRUSTED_ORIGINS 已要求使用這個屬性。
您需要服務網址,因此必須先完成初次部署,才能新增這項設定。
您必須更新服務,才能新增此環境變數。您可以將其新增至 application_settings 密鑰,或直接新增做為環境變數。
擷取服務網址:
CLOUDRUN_SERVICE_URLS=$(gcloud run services describe djangocms-cloudrun \ --region $REGION \ --format "value(metadata.annotations[\"run.googleapis.com/urls\"])" | tr -d '"[]') echo $CLOUDRUN_SERVICE_URLS
在您的 Cloud Run 服務上,將這個值設為環境變數:
gcloud run services update djangocms-cloudrun \ --region $REGION \ --update-env-vars "^##^CLOUDRUN_SERVICE_URLS=$CLOUDRUN_SERVICE_URLS"
登入 Django 管理員
如要存取 Django 管理員介面,請在服務網址後方加上 /admin。
現在請使用「admin」使用者名稱登入,並使用下列指令擷取密碼:
gcloud secrets versions access latest --secret django_superuser_password && echo ""
10. 套用應用程式更新
開發應用程式時,您可能會想在本機上進行測試。為此,您必須連線至 Cloud SQL (「正式環境」) 資料庫或本機 (「測試」) 資料庫。
連線至實際工作環境的資料庫
您可以使用 Cloud SQL 驗證 Proxy 連線至 Cloud SQL 執行個體。這個應用程式會建立從本機電腦到資料庫的連線。
安裝 Cloud SQL 驗證 Proxy 後,請按照下列步驟操作:
# Create a virtualenv
virtualenv venv
source venv/bin/activate
pip install -r requirements.txt
# Copy the application settings to your local machine
gcloud secrets versions access latest --secret application_settings > temp_settings
# Run the Cloud SQL Auth Proxy
./cloud-sql-proxy ${PROJECT_ID}:${REGION}:myinstance
# In a new tab, start the local web server using these new settings
USE_CLOUD_SQL_AUTH_PROXY=true APPLICATION_SETTINGS=$(cat temp_settings) python manage.py runserver
請務必在工作完成後移除 temp_settings 檔案。
連線至本機 SQLite 資料庫
或者,您也可以在開發應用程式時使用本機資料庫。Django 支援 PostgreSQL 和 SQLite 資料庫,而有些 PostgreSQL 沒有 SQLite 所具備的功能,不過在許多情況下,功能都相同。
如要設定 SQLite,您必須更新應用程式設定,指向本機資料庫,然後套用結構定義遷移作業。
如要設定這項方法,請按照下列步驟操作:
# Create a virtualenv virtualenv venv source venv/bin/activate pip install -r requirements.txt # Copy the application settings to your local machine gcloud secrets versions access latest --secret application_settings > temp_settings # Edit the DATABASE_URL setting to use a local sqlite file. For example: DATABASE_URL=sqlite:////tmp/my-tmp-sqlite.db # Set the updated settings as an environment variable APPLICATION_SETTINGS=$(cat temp_settings) # Apply migrations to the local database python manage.py migrate # Start the local web server python manage.py runserver
完成作業後,請務必移除 temp_settings 檔案。
建立遷移作業
變更資料庫模型時,您可能需要執行 python manage.py makemigrations 來產生 Django 的遷移檔案。
設定實際工作環境或測試資料庫連線之後,您可以執行這個指令。或者,您也可以提供空白設定,在沒有資料庫的情況下產生遷移檔案:
SECRET_KEY="" DATABASE_URL="" GS_BUCKET_NAME="" python manage.py makemigrations
套用應用程式更新
如要將變更套用至應用程式,您需要:
- 就能將變更建構到新的映像檔
- 套用任何資料庫或靜態遷移作業,然後
- 更新 Cloud Run 服務,以便使用新映像檔。
如要建構映像檔,請按照下列步驟操作:
gcloud builds submit --pack image=${ARTIFACT_REGISTRY}/myimage
如有要套用的遷移作業,請執行 Cloud Run 工作:
gcloud run jobs execute migrate --region $REGION --wait
如要使用新映像檔更新服務,請按照下列步驟操作:
gcloud run services update djangocms-cloudrun \
--platform managed \
--region $REGION \
--image gcr.io/${PROJECT_ID}/myimage
11. 恭喜!
您已成功將複雜的專案部署至 Cloud Run!
- Cloud Run 會自動及水平擴充您的容器映像檔,以處理收到的要求,然後在需求減少時縮減規模。您只需要支付處理要求期間使用的 CPU、記憶體和網路費用。
- 您可以使用 Cloud SQL 佈建代管 PostgreSQL 執行個體,讓系統自動維護,並原生整合至許多 Google Cloud 系統。
- Cloud Storage 可讓您以順暢的方式在 Django 中存取雲端儲存空間。
- Secret Manager 可讓您儲存密鑰,並允許 Google Cloud 的特定部分存取密鑰。
清理
如要避免系統向您的 Google Cloud Platform 帳戶收取在本教學課程中使用資源的相關費用:
瞭解詳情
- Cloud Run 上的 Django:https://cloud.google.com/python/django/run
- Hello Cloud Run with Python:https://codelabs.developers.google.com/codelabs/cloud-run-hello-python3
- 在 Google Cloud 中使用 Python:https://cloud.google.com/python
- Google Cloud Python 用戶端:https://github.com/googleapis/google-cloud-python