Ringkasan

Di lab ini, Anda akan menyiapkan informasi konfigurasi, baik yang dienkripsi maupun yang tidak dienkripsi. Informasi konfigurasi yang terenkripsi disimpan sebagai secret. Informasi konfigurasi yang tidak terenkripsi disimpan sebagai ConfigMap.

Pendekatan ini menghindari hard coding atas informasi tersebut menjadi code base. Kredensial (seperti kunci API) yang termasuk secret seharusnya tidak pernah masuk ke dalam repositori kode seperti GitHub (kecuali kredensial tersebut dienkripsi sebelum masuk, tetapi sebaiknya kredensial tersebut tetap dipisahkan).

Tujuan

Di lab ini, Anda akan mempelajari cara melakukan tugas-tugas berikut:

• Membuat secret menggunakan perintah kubectl dan file manifes.
• Membuat ConfigMap menggunakan perintah kubectl dan file manifes.
• Memakai secret di container menggunakan variabel lingkungan atau volume yang terpasang.
• Memakai ConfigMap di container menggunakan variabel lingkungan atau volume yang terpasang.

Penyiapan lab

Mengakses Qwiklabs

Untuk setiap lab, Anda akan memperoleh project Google Cloud baru serta serangkaian resource selama jangka waktu tertentu, tanpa biaya.

1. Login ke Qwiklabs menggunakan jendela samaran.

2. Perhatikan waktu akses lab (misalnya, 1:15:00), dan pastikan Anda dapat menyelesaikannya dalam waktu tersebut.
   Tidak ada fitur jeda. Bila perlu, Anda dapat memulai ulang lab, tetapi Anda harus memulai dari awal.

3. Jika sudah siap, klik Start lab.

4. Catat kredensial lab (Nama pengguna dan Sandi) Anda. Anda akan menggunakannya untuk login ke Google Cloud Console.

5. Klik Open Google Console.

6. Klik Use another account, lalu salin/tempel kredensial lab ini ke perintah yang muncul.
   Jika menggunakan kredensial lain, Anda akan menerima pesan error atau dikenai biaya.

7. Setujui ketentuan dan lewati halaman resource pemulihan.

Setelah Anda menyelesaikan langkah login awal, dasbor project akan muncul.

Mengaktifkan Google Cloud Shell

Google Cloud Shell adalah virtual machine yang dilengkapi dengan berbagai fitur pengembangan. Virtual machine ini menawarkan direktori beranda persisten berkapasitas 5 GB dan berjalan di Google Cloud.

Google Cloud Shell menyediakan akses command line untuk resource Google Cloud Anda.

1. Di Cloud Console, pada toolbar di kanan atas, klik tombol Open Cloud Shell.

   

2. Klik Continue.

Proses menyediakan dan menghubungkan ke lingkungan memerlukan waktu beberapa saat. Setelah terhubung, Anda sudah diautentikasi, dan project ditetapkan ke PROJECT_ID Anda. Contoh:

gcloud adalah alat command line untuk Google Cloud. Alat ini sudah terinstal di Cloud Shell dan mendukung pelengkapan command line.

• Anda dapat menampilkan daftar nama akun yang aktif dengan perintah ini:

gcloud auth list

Output:

Akun berkredensial: - @.com (aktif)

Contoh output:

Akun berkredensial: - google1623327_student@qwiklabs.net

• Anda dapat menampilkan daftar project ID dengan perintah ini:

gcloud config list project

Output:

[core] project =

Contoh output:

[core] project = qwiklabs-gcp-44776a13dea667a6 Catatan: Dokumentasi lengkap gcloud tersedia dalam panduan ringkasan gcloud CLI .

Tugas 1. Menangani secret

Dalam tugas ini, Anda akan mengautentikasi container dengan Google Cloud agar dapat mengakses layanan Google Cloud. Anda menyiapkan topik dan langganan Cloud Pub/Sub, mencoba mengakses topik Cloud Pub/Sub dari container yang berjalan di GKE, dan melihat bahwa permintaan akses gagal.

Untuk mengakses topik Pub/Sub dengan benar, Anda membuat akun layanan dengan kredensial dan meneruskan kredensial tersebut melalui Secret Kubernetes.

Menyiapkan akun layanan tanpa izin

1. Di Konsol Google Cloud, pada Navigation menu (), klik IAM & Admin > Service accounts.
2. Klik + Create Service Account.
3. Di kotak teks Service Account Name, masukkan no-permissions.
4. Klik Create and Continue.
5. Klik Continue lalu klik Done.
6. Temukan akun layanan no-permissions di daftar, lalu salin alamat email yang terkait dengannya ke file teks untuk digunakan nanti.

Membuat cluster GKE

Saat Anda membuat cluster ini, Anda akan menentukan akun layanan yang dibuat sebelumnya. Sebagai gambaran akan kebutuhan akun layanan dengan izin yang tepat, akun layanan tidak memiliki izin ke layanan Google Cloud lainnya sehingga tidak dapat terhubung ke aplikasi uji coba Cloud Pub/Sub yang nanti akan di-deploy. Anda akan memperbaiki hal ini nanti di lab.

1. Di Cloud Shell, ketik perintah berikut guna membuat variabel lingkungan untuk zona Google Cloud dan nama cluster yang akan digunakan untuk membuat cluster bagi lab ini:

export my_zone={{{ project_0.default_zone | ZONE }}} export my_cluster=standard-cluster-1

2. Konfigurasi pelengkapan command line untuk alat command line kubectl:

source <(kubectl completion bash)

3. Di Cloud Shell, ketik perintah berikut guna menetapkan variabel lingkungan untuk nama akun layanan, dengan [MY-SERVICE-ACCOUNT-EMAIL] adalah alamat email akun layanan yang Anda buat sebelumnya:

export my_service_account=[MY-SERVICE-ACCOUNT-EMAIL]

Contoh:

export my_service_account=no-permissions@qwiklabs-gcp-4ee5983fdd675469.iam.gserviceaccount.com

4. Di Cloud Shell, ketik perintah berikut untuk membuat cluster Kubernetes:

gcloud container clusters create $my_cluster \ --num-nodes 2 --zone $my_zone \ --service-account=$my_service_account Catatan: Anda perlu menunggu beberapa menit hingga deployment cluster selesai.

5. Konfigurasi akses ke cluster Anda untuk kubectl:

gcloud container clusters get-credentials $my_cluster --zone $my_zone

Menyiapkan Cloud Pub/Sub dan men-deploy aplikasi untuk membaca dari topik

1. Di Cloud Shell, ketik perintah berikut guna menetapkan variabel lingkungan untuk komponen pub/sub:

export my_pubsub_topic=echo export my_pubsub_subscription=echo-read

2. Untuk membuat topik Cloud Pub/Sub bernama echo dan langganan bernama echo-read yang terkait dengan topik tersebut, jalankan perintah gcloud berikut:

gcloud pubsub topics create $my_pubsub_topic gcloud pubsub subscriptions create $my_pubsub_subscription \ --topic=$my_pubsub_topic

Men-deploy aplikasi untuk membaca dari topik Cloud Pub/Sub

Anda membuat deployment dengan container yang dapat membaca dari topik Cloud Pub/Sub. Karena dibutuhkan izin spesifik untuk berlangganan dan membaca dari topik Cloud Pub/Sub, container ini perlu dilengkapi dengan kredensial agar berhasil terhubung ke Cloud Pub/Sub.

File manifes Deployment bernama pubsub.yaml disediakan untuk Anda.

apiVersion: apps/v1 kind: Deployment metadata: name: pubsub spec: selector: matchLabels: app: pubsub template: metadata: labels: app: pubsub spec: containers: - name: subscriber image: gcr.io/google-samples/pubsub-sample:v1

1. Di Cloud Shell, masukkan perintah berikut untuk membuat clone repositori ke lab Cloud Shell:

git clone https://github.com/GoogleCloudPlatform/training-data-analyst

2. Buat link simbolis sebagai pintasan ke direktori kerja:

ln -s ~/training-data-analyst/courses/ak8s/v1.1 ~/ak8s

3. Ubah ke direktori yang berisi file sampel untuk lab ini:

cd ~/ak8s/Secrets/

4. Deploy aplikasi:

kubectl apply -f pubsub.yaml

5. Setelah aplikasi di-deploy, buat kueri Pod dengan menjalankan perintah berikut:

kubectl get pods -l app=pubsub

Perintah berikut memfilter daftar Pod, yang hanya mencakup Pod yang memiliki label yang cocok berupa app: pubsub.

Output:

NAME READY STATUS RESTARTS AGE pubsub-74d4d96ddb-lqkt8 0/1 CrashLoopBackOff 0 6s Catatan: Anda perlu menunggu sekitar satu menit. Aplikasi sedang dimulai, tetapi ini tidak akan berhasil.

6. Cantumkan lagi Pod ke daftar:

kubectl get pods -l app=pubsub

Output:

NAME READY STATUS RESTARTS AGE pubsub-74d4d96ddb-lqkt8 0/1 Error 4 2m

Perhatikan status Pod. Pod mengalami error dan telah dimulai ulang beberapa kali.

7. Untuk memeriksa log dari Pod, jalankan perintah berikut:

kubectl logs -l app=pubsub

Pesan error yang ditampilkan pada akhir log mengindikasikan bahwa aplikasi tidak memiliki izin untuk membuat kueri layanan Cloud Pub/Sub.

StatusCode.PERMISSION_DENIED, User not authorized to perform this action.

Membuat kredensial akun layanan

Anda akan membuat layanan akun baru serta memberinya akses ke langganan pub/sub yang sedang diupayakan oleh aplikasi uji coba untuk digunakan. Alih-alih mengubah akun layanan node cluster GKE, Anda akan membuat kunci JSON untuk akun layanan, lalu secara aman meneruskan kunci JSON ke Pod melalui Secret Kubernetes.

1. Di Konsol Google Cloud, pada Navigation menu, klik IAM & Admin > Service Accounts.
2. Klik + Create Service Account.
3. Di kotak teks Service Account Name, masukkan pubsub-app, lalu klik Create and Continue.
4. Pada menu drop-down Select a role, pilih Pub/Sub > Pub/Sub Subscriber.
5. Konfirmasi bahwa peran sudah tercantum, lalu klik Continue dan klik Done.
6. Di layar ringkasan Akun Layanan, klik tiga titik di sisi kanan akun layanan pubsub-app, lalu pilih Manage Keys.
7. Di menu drop-down, klik Add Key, lalu pilih Create new key.
8. Pilih JSON sebagai jenis kunci, lalu klik Create.
9. File kunci JSON yang berisi kredensial akun layanan akan didownload ke komputer Anda. Anda dapat melihat file di kotak download di bagian bawah layar. Anda akan menggunakan file kunci ini untuk mengonfigurasi sampel aplikasi guna mengautentikasi Cloud Pub/Sub API.
10. Klik Close.
11. Di hard drive, cari kunci JSON yang baru saja didownload, lalu ganti nama file menjadi credentials.json.

Mengimpor kredensial sebagai secret

1. Di Cloud Shell, klik tiga titik () pada toolbar Cloud Shell untuk menampilkan opsi lebih lanjut.

2. Klik Upload, lalu upload file credentials.json dari mesin lokal Anda ke VM Cloud Shell dan klik Upload.
3. Di Cloud Shell, masukkan perintah berikut untuk mengonfirmasi bahwa file telah diupload:

ls ~/

Anda akan melihat file kredensial yang telah diupload serta direktori file lab yang telah Anda clone sebelumnya.

4. Untuk menyimpan file kunci credentials.json ke Secret Kubernetes bernama pubsub-key, jalankan perintah berikut:

kubectl create secret generic pubsub-key \ --from-file=key.json=$HOME/credentials.json

Perintah ini membuat sebuah secret bernama pubsub-key yang memiliki nilai key.json yang menampung konten kunci pribadi yang didownload dari Konsol Google Cloud.

5. Hapus file credentials.json dari komputer Anda:

rm -rf ~/credentials.json

Mengonfigurasi aplikasi dengan secret

Anda kini mengupdate deployment untuk mencakup perubahan berikut:

• Tambahkan volume ke spesifikasi Pod. Volume ini berisi secret.
• Volume secret terpasang di container aplikasi.
• Variabel lingkungan GOOGLE_APPLICATION_CREDENTIALS ditetapkan untuk diarahkan ke file kunci di pemasangan volume secret.

Variabel lingkungan GOOGLE_APPLICATION_CREDENTIALS secara otomatis dikenali oleh Library Klien Cloud, dalam kasus ini, klien Cloud Pub/Sub untuk Python.

File Deployment yang diupdate bernama pubsub-secret.yaml telah diberikan untuk Anda.

apiVersion: apps/v1 kind: Deployment metadata: name: pubsub spec: selector: matchLabels: app: pubsub template: metadata: labels: app: pubsub spec: volumes: - name: google-cloud-key secret: secretName: pubsub-key containers: - name: subscriber image: gcr.io/google-samples/pubsub-sample:v1 volumeMounts: - name: google-cloud-key mountPath: /var/secrets/google env: - name: GOOGLE_APPLICATION_CREDENTIALS value: /var/secrets/google/key.json

1. Deploy file konfigurasi pubsub-secret.yaml:

kubectl apply -f pubsub-secret.yaml

2. Setelah konfigurasi di-deploy, jalankan perintah berikut untuk menampilkan status Pod:

kubectl get pods -l app=pubsub

Status Pod seharusnya adalah Running. Perubahan status mungkin memerlukan waktu beberapa detik untuk muncul.

Output:

NAME READY STATUS RESTARTS AGE pubsub-c4f48b868-xk27w 1/1 Running 0 35s

Uji coba menerima pesan Cloud Pub/Sub

1. Setelah mengonfigurasi aplikasi, publikasikan pesan ke topik Cloud Pub/Sub yang Anda buat sebelumnya di lab:

gcloud pubsub topics publish $my_pubsub_topic --message="Hello, world!"

Output (ID pesan Anda akan berbeda):

messageIds: - '328977244395410'

Dalam beberapa detik, pesan seharusnya dipilih oleh aplikasi dan dicetak oleh aliran output.

2. Untuk memeriksa log dari Pod yang di-deploy, jalankan perintah berikut:

kubectl logs -l app=pubsub

Output-nya akan terlihat seperti contoh.

Output:

Pulling messages from Pub/Sub subscription... [2018-12-17 22:01:06.860378] Received message: ID=328977244395410 Data=b'Hello, world!' [2018-12-17 22:01:06.860736] Processing: 328977244395410 [2018-12-17 22:01:09.863973] Processed: 328977244395410

Klik Check my progress untuk memverifikasi tujuan.

Menangani Secret

Tugas 2. Menangani ConfigMap

ConfigMap mengikat file konfigurasi, argumen command line, variabel lingkungan, nomor port, dan artefak konfigurasi lainnya ke container Pod dan komponen sistem Anda saat runtime.

Melalui ConfigMap, Anda dapat memisahkan konfigurasi dari Pod dan komponen. Namun, ConfigMap tidak sesuai untuk kredensial karena tidak terenkripsi. Di sinilah letak perbedaan antara secret dan ConfigMap: secret dienkripsi sehingga lebih sesuai untuk informasi rahasia atau sensitif seperti kredensial.

ConfigMap lebih sesuai untuk informasi konfigurasi umum seperti nomor port.

Menggunakan perintah kubectl untuk membuat ConfigMap

Anda menggunakan kubectl untuk membuat ConfigMap dengan mengikuti pola kubectl membuat configmap [NAME] [DATA] dan menambahkan flag untuk file (--from-file) atau literal (--from-literal).

1. Awali dengan literal sederhana dalam perintah kubectl berikut:

kubectl create configmap sample --from-literal=message=hello

2. Untuk melihat bagaimana Kubernetes menyerap ConfigMap, jalankan perintah berikut:

kubectl describe configmaps sample

Output-nya akan terlihat seperti contoh.

Output:

Name: sample Namespace: default Labels: <none> Annotations: <none> Data ==== message: ---- hello Events: <none>

Berikutnya, Anda akan membuat ConfigMap dari file. File sample2.properties telah diberikan untuk Anda dan berisi beberapa sampel data:

message2=world foo=bar meaningOfLife=42

3. Untuk membuat ConfigMap dari sample2.properties, jalankan perintah berikut:

kubectl create configmap sample2 --from-file=sample2.properties

4. Untuk melihat bagaimana Kubernetes menyerap ConfigMap, jalankan perintah berikut:

kubectl describe configmaps sample2

Output-nya akan terlihat seperti contoh.

Output:

Name: sample2 Namespace: default Labels: <none> Annotations: <none> Data ==== sample2.properties: ---- message2=world foo=bar meaningOfLife=42 Events: <none>

Menggunakan file manifes untuk membuat ConfigMaps

Anda juga dapat menggunakan file konfigurasi YAML untuk membuat ConfigMap. File config-map-3.yaml berisi definisi ConfigMap yang bernama sample3. Anda akan menggunakan ConfigMap ini nanti untuk mendemonstrasikan dua cara berbeda dalam mengekspos data di dalam container.

apiVersion: v1 data: airspeed: africanOrEuropean meme: testAllTheThings kind: ConfigMap metadata: name: sample3 namespace: default selfLink: /api/v1/namespaces/default/configmaps/sample3

1. Buat ConfigMap dari file YAML:

kubectl apply -f config-map-3.yaml

2. Untuk melihat bagaimana Kubernetes menyerap ConfigMap, jalankan perintah berikut:

kubectl describe configmaps sample3

Output-nya akan terlihat seperti contoh.

Output:

Name: sample3 Namespace: default Labels: <none> Annotations: <none> Data ==== airspeed: ---- africanOrEuropean meme: ---- testAllTheThings Events: <none>

Sekarang, Anda memiliki informasi konfigurasi bukan secret yang tidak dienkripsi, benar-benar terpisah dari aplikasi, dan tersedia untuk cluster Anda. Anda telah menjalankan tugas ini menggunakan ConfigMap dengan tiga cara berbeda untuk mendemonstrasikan berbagai opsi. Namun, pada praktiknya, Anda biasanya memilih satu metode, yang kemungkinan besar berupa pendekatan file konfigurasi YAML. File konfigurasi menyediakan data berisi nilai yang Anda simpan, sehingga Anda dapat dengan mudah mengulang prosesnya nanti.

Selanjutnya, Anda akan mempelajari cara mengakses informasi ini dari dalam aplikasi Anda.

Menggunakan variabel lingkungan untuk memakai ConfigMap dalam container

Untuk dapat mengakses ConfigMap dari dalam Container dengan menggunakan variabel lingkungan, definisi Pod harus diupdate untuk mencakup satu atau beberapa configMapKeyRefs.

File pubsub-configmap.yaml merupakan versi terbaru dari Deployment demo Cloud Pub/Sub yang mencakup setelan tambahan env: di bagian akhir file untuk mengimpor variabel lingkungan dari ConfigMap ke container.

- name: INSIGHTS valueFrom: configMapKeyRef: name: sample3 key: meme

1. Untuk menerapkan kembali file konfigurasi terbaru, jalankan perintah berikut:

kubectl apply -f pubsub-configmap.yaml

Karena aplikasi Anda memiliki akses ke variabel lingkungan bernama INSIGHTS, yang memiliki nilai berupa testAllTheThings.

2. Untuk memverifikasi bahwa variabel lingkungan memiliki nilai yang benar, Anda harus mendapatkan akses shell ke Pod, yang berarti Anda membutuhkan nama Pod. Untuk mendapatkan nama Pod, jalankan perintah berikut:

kubectl get pods

Output-nya akan terlihat seperti contoh.

Output:

NAME READY STATUS RESTARTS AGE pubsub-77df8f8c6-krfl2 1/1 Running 0 4m

3. Untuk memulai sesi shell, jalankan perintah berikut, yang mengganti nama Pod Anda dengan [MY-POD-NAME]:

kubectl exec -it [MY-POD-NAME] -- sh

Contoh:

kubectl exec -it pubsub-77df8f8c6-krfl2 -- sh

4. Untuk mencetak daftar variabel lingkungan, jalankan perintah berikut:

printenv

INSIGHTS=testAllTheThings seharusnya muncul dalam daftar.

5. Untuk keluar dari sesi shell container, jalankan perintah berikut:

exit

Menggunakan volume terpasang untuk memakai ConfigMap dalam container

Anda dapat mengisi volume dengan data ConfigMap sebagai ganti (atau sebagai tambahan untuk) menyimpannya di variabel lingkungan.

Dalam Deployment ini, ConfigMap bernama sample-3 yang Anda buat sebelumnya dalam tugas ini juga ditambahkan sebagai volume bernama config-3 dalam spesifikasi Pod. Volume config-3 lalu terpasang di dalam container di jalur /etc/config. Metode asli yang menggunakan Variabel lingkungan untuk mengimpor ConfigMap juga dikonfigurasi.

File Deployment yang diupdate bernama pubsub-configmap2.yaml telah diberikan untuk Anda.

apiVersion: apps/v1 kind: Deployment metadata: name: pubsub spec: selector: matchLabels: app: pubsub template: metadata: labels: app: pubsub spec: volumes: - name: google-cloud-key secret: secretName: pubsub-key - name: config-3 configMap: name: sample3 containers: - name: subscriber image: gcr.io/google-samples/pubsub-sample:v1 volumeMounts: - name: google-cloud-key mountPath: /var/secrets/google - name: config-3 mountPath: /etc/config env: - name: GOOGLE_APPLICATION_CREDENTIALS value: /var/secrets/google/key.json - name: INSIGHTS valueFrom: configMapKeyRef: name: sample3 key: meme

1. Terapkan kembali file konfigurasi yang diupdate:

kubectl apply -f pubsub-configmap2.yaml

2. Hubungkan kembali ke sesi shell container untuk mengetahui apakah nilai dalam ConfigMap dapat diakses atau tidak. Nama Pod akan sudah berubah. Untuk mendapatkan nama Pod, jalankan perintah berikut:

kubectl get pods

Output-nya akan terlihat seperti contoh.

Output:

NAME READY STATUS RESTARTS AGE pubsub-747cf8c545-ngsrf 1/1 Running 0 30s pubsub-df6bc7b87-vb8cz 1/1 Terminating 0 4m

3. Untuk memulai sesi shell, jalankan perintah berikut, yang mengganti nama Pod Anda dengan [MY-POD-NAME]:

kubectl exec -it [MY-POD-NAME] -- sh

Contoh:

kubectl exec -it pubsub-747cf8c545-ngsrf -- sh

4. Buka folder yang terkait:

cd /etc/config

5. Cantumkan daftar file dalam folder:

Nama file sebagai kunci dari sample3 harus dicantumkan.

ls

Output:

airspeed meme

6. Untuk melihat konten salah satu file, jalankan perintah berikut:

cat airspeed

Output:

africanOrEuropean# Catatan: Nilai airspeed tidak mencakup enter, sehingga command prompt (tanda \#) berada di bagian akhir nilai yang ditampilkan.

7. Untuk keluar dari shell container, jalankan perintah berikut:

exit

Klik Check my progress untuk memverifikasi tujuan.

Menangani ConfigMap

Mengakhiri lab Anda

Setelah Anda menyelesaikan lab, klik Akhiri Lab. Google Cloud Skills Boost menghapus resource yang telah Anda gunakan dan membersihkan akun.

Anda akan diberi kesempatan untuk menilai pengalaman menggunakan lab. Pilih jumlah bintang yang sesuai, ketik komentar, lalu klik Submit.

Makna jumlah bintang:

• 1 bintang = Sangat tidak puas
• 2 bintang = Tidak puas
• 3 bintang = Netral
• 4 bintang = Puas
• 5 bintang = Sangat puas

Anda dapat menutup kotak dialog jika tidak ingin memberikan masukan.

Untuk masukan, saran, atau koreksi, gunakan tab Support.

Hak cipta 2020 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.