1. Présentation
Cloud Run est une plate-forme sans serveur entièrement gérée qui vous permet d'exécuter des conteneurs sans état pouvant être appelés via des requêtes HTTP. Cet atelier de programmation vous montrera comment connecter une application Node.js sur Cloud Run à AlloyDB de manière sécurisée avec un compte de service à l'aide de l'authentification IAM.
Objectifs de l'atelier
Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :
- Créez une instance AlloyDB (configurée pour utiliser Private Service Connect).
- Déployer une application sur Cloud Run qui se connecte à votre instance AlloyDB
2. Prérequis
- Si vous n'avez pas encore de compte Google, vous devez en créer un.
- Utilisez un compte personnel au lieu d'un compte professionnel ou scolaire. Il est possible que des restrictions s'appliquent aux comptes professionnels et scolaires, ce qui vous empêche d'activer les API nécessaires pour cet atelier.
3. Configuration du projet
- Connectez-vous à la console Google Cloud.
- Activez la facturation dans la console Cloud.
- Cet atelier devrait vous coûter moins de 1 USD en ressources Cloud.
- Vous pouvez suivre les étapes à la fin de cet atelier pour supprimer les ressources et éviter ainsi des frais supplémentaires.
- Les nouveaux utilisateurs peuvent bénéficier d'un essai sans frais pour bénéficier d'un crédit de 300$.
- Créez un projet ou réutilisez-en un existant.
4. Ouvrir l'éditeur Cloud Shell
- Accédez à l'éditeur Cloud Shell.
- Si le terminal ne s'affiche pas en bas de l'écran, ouvrez-le :
- Cliquez sur le menu hamburger
. - Cliquez sur Terminal
- Cliquez sur Nouveau terminal
- Cliquez sur le menu hamburger
- Dans le terminal, définissez votre projet à l'aide de la commande suivante :
- Format :
gcloud config set project [PROJECT_ID] - Exemple :
gcloud config set project lab-project-id-example - Si vous ne vous souvenez pas de l'ID de votre projet :
- Vous pouvez lister tous vos ID de projet avec la commande suivante :
gcloud projects list | awk '/PROJECT_ID/{print $2}'
- Vous pouvez lister tous vos ID de projet avec la commande suivante :
- Format :
- Si vous êtes invité à autoriser l'accès, cliquez sur Autoriser pour continuer.
- Le message suivant doit s'afficher :
Updated property [core/project].
WARNINGs'affiche et que vous êtes invité àDo you want to continue (Y/N)?, cela signifie probablement que vous avez saisi l'ID de projet de manière incorrecte. Appuyez surN, puis surEnter, et réessayez d'exécuter la commandegcloud config set project.
5. Activer les API
Dans le terminal, activez les API :
gcloud services enable \
compute.googleapis.com \
alloydb.googleapis.com \
run.googleapis.com \
artifactregistry.googleapis.com \
cloudbuild.googleapis.com \
cloudaicompanion.googleapis.com
Si vous êtes invité à autoriser l'accès, cliquez sur Autoriser pour continuer.
L'exécution de cette commande peut prendre quelques minutes, mais un message semblable à celui qui suit devrait s'afficher pour vous indiquer que l'opération s'est correctement déroulée :
Operation "operations/acf.p2-73d90d00-47ee-447a-b600" finished successfully.
6. Configurer un compte de service
Créez et configurez un compte de service Google Cloud pour Cloud Run afin qu'il dispose des autorisations nécessaires pour se connecter à AlloyDB.
- Exécutez la commande
gcloud iam service-accounts createcomme suit pour créer un compte de service :gcloud iam service-accounts create quickstart-service-account \ --display-name="Quickstart Service Account" - Exécutez la commande gcloud projects add-iam-policy-binding comme suit pour ajouter le rôle Utilisateur de base de données AlloyDB au compte de service Google Cloud que vous venez de créer.
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \ --member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \ --role="roles/alloydb.databaseUser" - Exécutez la commande gcloud projects add-iam-policy-binding comme suit pour ajouter le rôle Consommateur Service Usage au compte de service Google Cloud que vous venez de créer.
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \ --member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \ --role="roles/serviceusage.serviceUsageConsumer" - Exécutez la commande gcloud projects add-iam-policy-binding comme suit pour ajouter le rôle Rédacteur de journal au compte de service Google Cloud que vous venez de créer.
gcloud projects add-iam-policy-binding ${GOOGLE_CLOUD_PROJECT} \ --member="serviceAccount:quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \ --role="roles/logging.logWriter"
7. Créer une base de données AlloyDB
- Exécutez la commande
gcloud alloydb clusters createpour créer une instance Cloud SQL.gcloud alloydb clusters create quickstart-cluster \ --password=$(openssl rand -base64 20) \ --region=us-central1 \ --project=${GOOGLE_CLOUD_PROJECT} \ --enable-private-service-connect \ --database-version=POSTGRES_16
L'exécution de cette commande peut prendre quelques minutes.
- Exécutez la commande
gcloud alloydb instances createpour créer une instance Cloud SQL.gcloud alloydb instances create quickstart-instance \ --project=${GOOGLE_CLOUD_PROJECT} \ --instance-type=PRIMARY \ --cpu-count=2 \ --region=us-central1 \ --cluster=quickstart-cluster \ --allowed-psc-projects=${GOOGLE_CLOUD_PROJECT} \ --database-flags=alloydb.iam_authentication=on - Exécutez la commande
gcloud alloydb instances describepour obtenir le lien du rattachement de service PSC et l'exporter vers une variable.export SERVICE_ATTACHMENT=$(gcloud alloydb instances describe quickstart-instance \ --cluster=quickstart-cluster --region=us-central1 \ --format="value(pscInstanceConfig.serviceAttachmentLink)") gcloud compute addresses create quickstart-address \ --region=us-central1 \ --subnet=defaultgcloud compute forwarding-rules create quickstart-endpoint \ --region=us-central1 \ --network=default \ --address=quickstart-address \ --target-service-attachment=${SERVICE_ATTACHMENT}
Créez un utilisateur de base de données PostgreSQL pour que le compte de service que vous avez créé précédemment puisse accéder à la base de données.
gcloud alloydb users create quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam \
--cluster=quickstart-cluster \
--region=us-central1 \
--type=IAM_BASED \
--superuser=true
8. Préparer l'application
Préparez une application Node.js qui répond aux requêtes HTTP.
- Dans Cloud Shell, créez un répertoire nommé
helloworld, puis accédez-y :mkdir helloworld cd helloworld - Initialisez un fichier
package.jsonen tant que module.npm init -y npm pkg set type="module" npm pkg set main="index.mjs" npm pkg set scripts.start="node index.mjs" - Installez la bibliothèque Google Cloud Auth.
npm install google-auth-library - Installez
pgpour interagir avec la base de données PostgreSQL.npm install pg - Installez Express pour accepter les requêtes HTTP entrantes.
npm install express - Créez un fichier
index.mjsavec le code de l'application. Ce code est capable de :- Accepter les requêtes HTTP
- Se connecter à la base de données
- Stocker l'heure de la requête HTTP dans la base de données
- Renvoie les heures des cinq dernières requêtes
cat > index.mjs << "EOF" import express from 'express'; import pg from 'pg'; const { Pool } = pg; import {GoogleAuth} from 'google-auth-library'; const auth = new GoogleAuth({ scopes: ['https://www.googleapis.com/auth/alloydb.login'], }); const pool = new Pool({ host: process.env.DB_HOST, user: process.env.DB_USER, password: async () => { return await auth.getAccessToken(); }, database: process.env.DB_NAME, ssl: { require: true, rejectUnauthorized: false, // required for self-signed certs // https://node-postgres.com/features/ssl#self-signed-cert } }); const app = express(); app.get('/', async (req, res) => { await pool.query('INSERT INTO visits(created_at) VALUES(NOW())'); const {rows} = await pool.query('SELECT created_at FROM visits ORDER BY created_at DESC LIMIT 5'); console.table(rows); // prints the last 5 visits res.send(rows); }); const port = parseInt(process.env.PORT) || 8080; app.listen(port, async () => { console.log('process.env: ', process.env); await pool.query(`CREATE TABLE IF NOT EXISTS visits ( id SERIAL NOT NULL, created_at timestamp NOT NULL, PRIMARY KEY (id) );`); console.log(`helloworld: listening on port ${port}`); }); EOF
Ce code crée un serveur Web de base qui écoute le port défini par la variable d'environnement PORT. L'application est maintenant prête à être déployée.
9. Déployer l'application Cloud Run
- Exécutez la commande ci-dessous pour déployer votre application sur Cloud Run :
gcloud run deploy helloworld \ --region=us-central1 \ --source=. \ --set-env-vars DB_NAME="quickstart_db" \ --set-env-vars DB_USER="postgres" \ --set-env-vars DB_PASSWORD=${DB_PASSWORD} \ --set-env-vars DB_HOST="$(gcloud sql instances describe quickstart-instance --project=${GOOGLE_CLOUD_PROJECT} --format='value(settings.ipConfiguration.pscConfig.pscAutoConnections.ipAddress)')" \ --service-account="quickstart-service-account@${GOOGLE_CLOUD_PROJECT}.iam.gserviceaccount.com" \ --network=default \ --subnet=default \ --allow-unauthenticated - Si vous y êtes invité, appuyez sur
YetEnterpour confirmer que vous souhaitez continuer :Do you want to continue (Y/n)? Y
Après quelques minutes, l'application devrait vous fournir une URL à consulter.
Accédez à l'URL pour voir votre application en action. Chaque fois que vous accédez à l'URL ou que vous actualisez la page, les cinq visites les plus récentes sont renvoyées au format JSON.
Après quelques minutes, l'application devrait vous fournir une URL à consulter.
Accédez à l'URL pour voir votre application en action. Chaque fois que vous accédez à l'URL ou que vous actualisez la page, les cinq visites les plus récentes sont renvoyées au format JSON.
10. Félicitations
Dans cet atelier, vous avez appris à :
- Créez une instance AlloyDB (configurée pour utiliser Private Service Connect).
- Déployer une application sur Cloud Run qui se connecte à votre instance AlloyDB
Effectuer un nettoyage
Cloud SQL ne propose pas de niveau sans frais et vous sera facturé si vous continuez à l'utiliser. Vous pouvez supprimer votre projet Cloud pour éviter des frais supplémentaires.
Bien que Cloud Run ne facture pas lorsque le service n'est pas utilisé, il se peut que des frais vous soient facturés pour le stockage de l'image de conteneur dans Artifact Registry. La suppression de votre projet Cloud arrête la facturation de toutes les ressources utilisées dans ce projet.
Si vous le souhaitez, supprimez le projet :
gcloud projects delete $GOOGLE_CLOUD_PROJECT
Vous pouvez également supprimer les ressources inutiles de votre disque Cloud Shell. Vous pouvez :
- Supprimez le répertoire du projet de l'atelier de programmation :
rm -rf ~/task-app - Avertissement ! Cette prochaine action est irréversible. Si vous souhaitez supprimer tous les éléments de votre Cloud Shell pour libérer de l'espace, vous pouvez supprimer l'intégralité de votre répertoire d'accueil. Veillez à ce que tout ce que vous souhaitez conserver soit enregistré ailleurs.
sudo rm -rf $HOME
Continuer à apprendre
- Déployer une application Next.js full stack sur Cloud Run avec Cloud SQL pour PostgreSQL à l'aide du connecteur Node.js Cloud SQL
- Déployer une application Angular Full Stack sur Cloud Run avec Cloud SQL pour PostgreSQL à l'aide du connecteur Node.js Cloud SQL
- Déployer une application Angular full stack sur Cloud Run avec Firestore à l'aide du SDK Admin Node.js
- Déployer une application Next.js full stack sur Cloud Run avec Firestore à l'aide du SDK Admin Node.js