Запуск контейнерного приложения в Yandex Serverless Containers
- Подготовьте облако к работе
- Создайте сервисный аккаунт
- Создайте сеть и настройте группу безопасности
- Создайте виртуальную машину с MongoDB
- Создайте секрет Yandex Lockbox
- Создайте реестр Container Registry
- Загрузите Docker-образ в реестр
- Создайте контейнер Serverless Containers
- Создайте API-шлюз API Gateway
- Проверьте работу приложения
- Как удалить созданные ресурсы
С помощью этого руководства вы сможете развернуть контейнер с приложением в сервисе Serverless Containers для администрирования СУБД MongoDB.
СУБД развернута на виртуальной машине Yandex Compute Cloud, контейнер с приложением хранится в реестре Yandex Container Registry, чувствительные данные зашифрованы с помощью Yandex Lockbox, а безопасный доступ к приложению реализован через API-шлюз Yandex API Gateway. Вся инфраструктура контейнерного приложения располагается в одном каталоге.
Чтобы развернуть контейнерное приложение:
- Подготовьте облако к работе.
- Создайте сервисный аккаунт.
- Создайте сеть и настройте группу безопасности.
- Создайте виртуальную машину Compute Cloud с MongoDB.
- Создайте секрет Yandex Lockbox и версию.
- Создайте реестр Container Registry.
- Загрузите Docker-образ в Container Registry.
- Создайте контейнер Serverless Containers.
- Создайте API-шлюз API Gateway.
- Проверьте работу приложения.
Если созданные ресурсы вам больше не нужны, удалите их.
Подготовьте облако к работе
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
- На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки приложения входит:
- плата за постоянно запущенную ВМ (см. тарифы Yandex Compute Cloud);
- плата за хранение секретов (см. тарифы Yandex Lockbox);
- плата за хранение Docker-образа (см. тарифы Yandex Container Registry);
- плата за количество вызовов контейнера, вычислительные ресурсы, выделенные для выполнения приложения, и исходящий трафик (см. тарифы Serverless Containers);
- плата за запросы к API-шлюзу (см. тарифы Yandex API Gateway).
Создайте сервисный аккаунт
Создайте сервисный аккаунт и назначьте ему роли на каталог, в котором будет размещаться инфраструктура контейнерного приложения.
- В консоли управления перейдите в каталог, в котором будет размещаться инфраструктура контейнерного приложения.
- В списке сервисов выберите Identity and Access Management.
- Нажмите кнопку Создать сервисный аккаунт.
- Введите имя сервисного аккаунта —
mongo-express. - Нажмите Добавить роль и выберите роли
container-registry.images.puller,lockbox.payloadViewerиserverless-containers.containerInvoker. - Нажмите Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Создайте сервисный аккаунт с именем
mongo-express:yc iam service-account create --name mongo-express -
Назначьте сервисному аккаунту роли
container-registry.images.puller,lockbox.payloadViewerиserverless-containers.containerInvokerна каталог, в котором будет размещаться контейнер:yc resource-manager folder add-access-binding <имя_или_идентификатор_каталога> \ --role container-registry.images.puller, lockbox.payloadViewer, serverless-containers.containerInvoker \ --subject serviceAccount:<идентификатор_сервисного_аккаунта>Где:
<имя_или_идентификатор_каталога>— имя или идентификатор каталога, в котором будет размещаться контейнер.--subject serviceAccount— идентификатор сервисного аккаунтаmongo-express.
Чтобы создать сервисный аккаунт, воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create.
Чтобы назначить сервисному аккаунту роли на каталог, воспользуйтесь методом REST API updateAccessBindings для ресурса Folder или вызовом gRPC API FolderService/UpdateAccessBindings.
Создайте сеть и настройте группу безопасности
-
В консоли управления выберите каталог, в котором нужно создать сеть.
-
В списке сервисов выберите Virtual Private Cloud.
-
Справа сверху нажмите Создать сеть.
-
В поле Имя укажите
mongo-express-network. -
В поле Дополнительно выберите опцию Создать подсети.
-
Нажмите Создать сеть.
-
На панели слева выберите Группы безопасности.
-
Нажмите значок напротив группы безопасности, созданной по умолчанию для сети
mongo-express-network. -
В открывшемся меню нажмите Редактировать.
-
Настройте группу безопасности:
-
Нажмите Создать группу безопасности.
-
В блоке Правила добавьте правило по инструкции под таблицей:
Направление
трафикаОписание Диапазон портов Протокол Назначение /
ИсточникCIDR блоки Входящийany27017ЛюбойCIDR0.0.0.0/0- Выберите вкладку Исходящий трафик или Входящий трафик.
- Нажмите Добавить правило.
- В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик. Чтобы открыть все порты, нажмите Выбрать весь диапазон.
- В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.
- В поле Назначение или Источник выберите
CIDR— правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите0.0.0.0/0. - Нажмите Сохранить.
-
Нажмите Сохранить.
-
Повторно нажмите Сохранить.
-
-
Создайте облачную сеть:
yc vpc network create \ --name mongo-express-network -
Узнайте имя или идентификатор группы, которую требуется изменить:
yc vpc security-groups listРезультат:
+----------------------+---------------------------------+------------------------------------+----------------------+ | ID | NAME | DESCRIPTION | NETWORK-ID | +----------------------+---------------------------------+------------------------------------+----------------------+ | enp9bmjge93b******** | default-sg-enp509crtquf******** | Default security group for network | enp509crtquf******** | +----------------------+---------------------------------+------------------------------------+----------------------+ -
Добавьте правило с помощью команды
update-rulesи параметра--add-rule:yc vpc security-group update-rules <имя_или_идентификатор_группы> \ --add-rule "direction=ingress,port=27017,protocol=any,v4-cidrs=[0.0.0.0/0,0.0.0.0/0]"Где
<имя_или_идентификатор_группы>— значение, полученное шагом ранее.
-
Чтобы создать облачную сеть, воспользуйтесь методом REST API create для ресурса Network или вызовом gRPC API NetworkService/Create и передайте в запросе:
- Идентификатор каталога, в котором будет размещаться сеть.
- Имя новой сети
mongo-express-networkв параметреname.
-
Чтобы добавить правило в группу безопасности, воспользуйтесь методом REST API updateRules для ресурса SecurityGroup или вызовом gRPC API SecurityGroupService/UpdateRules и передайте в запросе:
-
Идентификатор группы безопасности, в которую будут добавлены правила, в параметре
securityGroupId.Чтобы узнать идентификатор группы безопасности, воспользуйтесь методом REST API list для ресурса SecurityGroup или вызовом gRPC API SecurityGroupService/List и передайте в запросе идентификатор каталога в параметре
folderId. -
Новые правила группы безопасности в массиве
additionRuleSpecs[]:- Направление трафика —
ingress. - Имя протокола передачи трафика в параметре
additionRuleSpecs[].protocolName—any. - Список CIDR и масок подсетей в параметре
additionRuleSpecs[].cidrBlocks.v4CidrBlocks[]—[0.0.0.0/0,0.0.0.0/0]. - Первый порт из диапазона портов для трафика в параметре
additionRuleSpecs[].ports.fromPort—0. - Последний порт из диапазона портов для трафика в параметре
additionRuleSpecs[].ports.toPort—65535.
- Направление трафика —
-
Создайте виртуальную машину с MongoDB
Рекомендуем использовать ВМ в минимальной конфигурации.
-
На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите
Виртуальная машина. -
В блоке Образ загрузочного диска:
-
Перейдите на вкладку Container Solution и нажмите Настроить.
-
В открывшемся окне перейдите на вкладку Docker-compose и укажите спецификацию ВМ:
version: '3.1' services: mongo: image: mongo restart: always environment: MONGO_INITDB_ROOT_USERNAME: mongo_db_user MONGO_INITDB_ROOT_PASSWORD: <пароль> ports: - 27017:27017В значении параметра
MONGO_INITDB_ROOT_PASSWORDзадайте пароль, который будет использоваться для доступа к БД. Для создания пароля можно воспользоваться генератором паролей. Сохраните пароль, он понадобится вам на следующих шагах. -
Нажмите Применить.
-
-
В блоке Расположение выберите зону доступности, в которой будет создана ВМ. Если вы не знаете, какая зона доступности вам нужна, оставьте выбранную по умолчанию.
-
В блоке Сетевые настройки:
- В поле Подсеть выберите подсеть в созданной ранее сети
mongo-express-network. - В поле Публичный IP-адрес выберите
Автоматически.
- В поле Подсеть выберите подсеть в созданной ранее сети
-
В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:
- В поле Логин введите имя пользователя. Не используйте имя
rootили другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте командуsudo. -
В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.
Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:
- Нажмите кнопку Добавить ключ.
- Задайте имя SSH-ключа.
- Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
- Нажмите кнопку Добавить.
SSH-ключ будет добавлен в ваш профиль пользователя организации.
Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.
- В поле Логин введите имя пользователя. Не используйте имя
-
В блоке Общая информация задайте имя ВМ:
mongo-vm. -
Нажмите кнопку Создать ВМ.
Дождитесь перехода ВМ в статус Running и сохраните ее публичный IP-адрес — он потребуется для подключения к БД.
-
Подготовьте пару ключей (открытый и закрытый) для SSH-доступа на ВМ.
-
Подготовьте файл спецификации Docker-контейнера
docker-spec.yaml:version: '3.1' services: mongo: image: mongo restart: always environment: MONGO_INITDB_ROOT_USERNAME: mongo_db_user MONGO_INITDB_ROOT_PASSWORD: <пароль> ports: - 27017:27017В значении параметра
MONGO_INITDB_ROOT_PASSWORDзадайте пароль, который будет использоваться для доступа к БД. Для создания пароля можно воспользоваться генератором паролей. Сохраните пароль, он понадобится вам на следующих шагах. -
Выполните команду:
yc compute instance create-with-container \ --coi-spec-file docker-spec.yaml \ --name mongo-vm \ --zone ru-central1-b \ --ssh-key ssh-key.pub \ --create-boot-disk size=30Где:
--coi-spec-file— путь к файлу спецификации Docker-контейнера.--name— имя ВМ.--zone— зона доступности.--ssh-key— содержимое файла открытого ключа. Пару ключей для подключения по SSH необходимо создать самостоятельно.--create-boot-disk size— размер загрузочного диска. Должен быть не менее 30 ГБ.
Результат:
done (1m40s) id: epde18u4mahl******** folder_id: b1g7gvsi89m3******** created_at: "2023-02-08T10:34:06.601Z" name: mongo-vm ...
Создайте секрет Yandex Lockbox
В секрете Yandex Lockbox в зашифрованном виде будут храниться данные для аутентификации.
- В консоли управления выберите каталог, в котором будет создан секрет.
- В списке сервисов выберите Lockbox.
- Нажмите Создать секрет.
- В поле Имя введите имя секрета —
mongodb-creds. - В блоке Версия:
- В поле Ключ введите
login. - В поле Значение введите логин пользователя БД —
mongo_db_user.
- В поле Ключ введите
- Нажмите Добавить ключ/значение и укажите второй секрет:
- В поле Ключ введите
password. - В поле Значение введите пароль для доступа к БД — значение
MONGO_INITDB_ROOT_PASSWORDиз спецификации ВМ.
- В поле Ключ введите
- Нажмите Создать.
-
Создайте секрет
mongodb-credsс помощью команды:yc lockbox secret create \ --name mongodb-creds \ --payload "[{'key': 'login', 'text_value': 'mongo_db_user'},{'key': 'password', 'text_value': '<пароль>'}]"Где:
--name— имя секрета.--payload— содержимое секрета в виде массива YAML или JSON.<пароль>— значениеMONGO_INITDB_ROOT_PASSWORDиз спецификации ВМ.
Результат:
id: e6q6nbjfu9m2******** folder_id: b1qt6g8ht345******** created_at: "2023-02-08T10:34:06.601Z" name: mongodb-creds status: ACTIVE current_version: id: e6q0s9airqca******** secret_id: e6q6nbjfu9m2******** created_at: "2023-02-08T10:34:06.601Z" status: ACTIVE payload_entry_keys: - login - password
Чтобы создать секрет, воспользуйтесь методом REST API create для ресурса Secret или вызовом gRPC API SecretService/Create.
Создайте реестр Container Registry
В реестре Container Registry будет храниться Docker-образ приложения mongo-express.
- В консоли управления выберите каталог, в котором будет создан реестр.
- В списке сервисов выберите Container Registry.
- Нажмите Создать реестр.
- Задайте имя реестра
app-registry. - Нажмите Создать реестр.
Создайте реестр app-registry:
yc container registry create --name app-registry
Результат:
done
id: crpd50616s9a********
folder_id: b1g88tflru0e********
name: app-registry
status: ACTIVE
created_at: "2023-02-08T10:34:06.601Z"
Чтобы создать реестр, воспользуйтесь методом REST API create для ресурса Registry или вызовом gRPC API RegistryService/CreateRegistryRequest.
Загрузите Docker-образ в реестр
-
Зарегистрируйтесь на Docker Hub.
-
Установите Docker:
-
Скачайте образ
mongo-express:docker pull mongo-expressРезультат выполнения команды:
Using default tag: latest latest: Pulling from library/mongo-express 6a428f9f83b0: Pull complete f2b1fb32259e: Pull complete 40888f2a0a1f: Pull complete 4e3cc9ce09be: Pull complete eaa1898f3899: Pull complete ab4078090382: Pull complete ae780a42c79e: Pull complete e60224d64a04: Pull complete Digest: sha256:dcfcf89bf91238ff129469a5a94523b3025913dcc41597d72d4d5f4a******** Status: Downloaded newer image for mongo-express:latest docker.io/library/mongo-express:latest -
Аутентифицируйтесь в Container Registry с помощью Docker Credential helper:
CLI-
Сконфигурируйте Docker для использования
docker-credential-yc:yc container registry configure-dockerРезультат:
Credential helper is configured in '/home/<user>/.docker/config.json'Настройки сохраняются в профиле текущего пользователя.
-
Проверьте, что Docker сконфигурирован — в конфигурационном файле
${HOME}/.docker/config.jsonдолжна появиться строка:"cr.yandex": "yc"
Docker готов к использованию.
-
-
Загрузите Docker-образ в реестр:
CLI-
Присвойте загруженному образу
mongo-expressURL видаcr.yandex/<идентификатор_реестра>/<имя_Docker-образа>:<тег>:docker tag mongo-express \ cr.yandex/<идентификатор_реестра>/mongo-express:mongo-tag -
Загрузите образ
mongo-expressв реестр:docker push cr.yandex/<идентификатор_реестра>/mongo-express:mongo-tag
-
Создайте контейнер Serverless Containers
Чтобы запустить приложение в Yandex Cloud, создайте контейнер и его ревизию.
- В консоли управления перейдите в каталог, в котором хотите создать контейнер.
- Выберите сервис Serverless Containers.
- Нажмите Создать контейнер.
- Введите имя контейнера
mongo-express-container. - Нажмите Создать.
- Перейдите на вкладку Редактор.
- В блоке Ресурсы укажите объем RAM —
1024 МБ. - В блоке Параметры образа:
- В поле URL образа укажите Docker-образ, загруженный ранее.
- В поле Переменные окружения добавьте переменные:
ME_CONFIG_BASICAUTH_USERNAME— оставьте значение пустым.ME_CONFIG_BASICAUTH_PASSWORD— оставьте значение пустым.VCAP_APP_PORT— укажите порт8080.ME_CONFIG_MONGODB_SERVER— укажите публичный адрес ВМ, полученный ранее.
- В поле Секреты Lockbox укажите секреты:
ME_CONFIG_MONGODB_AUTH_USERNAME— укажите секрет с ключомlogin.ME_CONFIG_MONGODB_AUTH_PASSWORD— укажите секрет с ключомpassword.
- В блоке Настройки:
- В поле Сервисный аккаунт укажите
mongo-express. - В поле Таймаут укажите
15.
- В поле Сервисный аккаунт укажите
- В блоке Ресурсы укажите объем RAM —
- Нажмите Создать ревизию.
-
Создайте контейнер:
yc serverless container create --name mongo-express-containerРезультат:
id: bba3fva6ka5g******** folder_id: b1gqvft7kjk3******** created_at: "2023-02-08T10:34:06.601Z" name: mongo-express-container url: https://bba3fva6ka5g********.containers.yandexcloud.net/ status: ACTIVE -
Создайте ревизию контейнера:
yc serverless container revision deploy \ --container-name mongo-express-container \ --image <URL_Docker-образа> \ --cores 1 \ --memory 1GB \ --concurrency 1 \ --execution-timeout 15s \ --service-account-id <идентификатор_сервисного_аккаунта_mongo-express> \ --environment ME_CONFIG_BASICAUTH_USERNAME="", ME_CONFIG_BASICAUTH_PASSWORD="", VCAP_APP_PORT=8080, ME_CONFIG_MONGODB_SERVER=<публичный_адрес_ВМ> \ --secret environment-variable=ME_CONFIG_MONGODB_AUTH_USERNAME,key=login \ --secret environment-variable=ME_CONFIG_MONGODB_AUTH_PASSWORD,key=passwordГде:
-
--image— URL Docker-образаmongo-express, загруженного ранее. -
--service-account-id— идентификатор сервисного аккаунтаmongo-express, созданного ранее. -
--environment— переменные окружения:ME_CONFIG_BASICAUTH_USERNAME— оставьте значение пустым.ME_CONFIG_BASICAUTH_PASSWORD— оставьте значение пустым.VCAP_APP_PORT— укажите порт8080.ME_CONFIG_MONGODB_SERVER— укажите публичный адрес ВМ, полученный ранее.
-
--secret environment-variable— секретыME_CONFIG_MONGODB_AUTH_USERNAMEиME_CONFIG_MONGODB_AUTH_PASSWORD, созданные ранее.
Результат:
id: bbajn5q2d74c******** container_id: bba3fva6ka5g******** created_at: "2023-02-08T10:34:06.601Z" image: image_url: cr.yandex/crpd3cicopk7********/mongo-express-container:latest image_digest: sha256:de8e1dce7ceceeafaae122f7670084a1119c961cd9ea1795eae92bd******** resources: memory: "1073741824" cores: "1" execution_timeout: 15s service_account_id: ajeqnasj95o7******** status: ACTIVE -
Чтобы создать контейнер, воспользуйтесь методом REST API create для ресурса Container или вызовом gRPC API ContainerService/Create.
Чтобы создать ревизию контейнера, воспользуйтесь методом REST API deployRevision для ресурса Container или вызовом gRPC API ContainerService/DeployRevision.
Создайте API-шлюз API Gateway
Создайте API-шлюз с расширением x-yc-apigateway-integration:serverless_containers.
-
В консоли управления выберите каталог, в котором необходимо создать API-шлюз.
-
В списке сервисов выберите API Gateway.
-
Нажмите Создать API-шлюз.
-
В поле Имя введите название API-шлюза —
mongo-express-gw. -
В блок Спецификация добавьте спецификацию:
openapi: 3.0.0 info: title: Sample API version: 1.0.0 servers: - url: https://mongo-express-container.apigw.yandexcloud.net paths: /{proxy+}: x-yc-apigateway-any-method: x-yc-apigateway-integration: type: serverless_containers container_id: <идентификатор_контейнера> service_account_id: <идентификатор_сервисного_аккаунта> parameters: - explode: false in: path name: proxy required: false schema: default: '-' type: string style: simpleГде:
container_id— идентификатор контейнераmongo-express-container.service_account_id— идентификатор сервисного аккаунтаmongo-express.
-
Нажмите Создать.
-
Подготовьте файл спецификации API по стандарту OpenAPI 3.0.
Спецификация
openapi: 3.0.0 info: title: Sample API version: 1.0.0 servers: - url: https://mongo-express-container.apigw.yandexcloud.net paths: /{proxy+}: x-yc-apigateway-any-method: x-yc-apigateway-integration: type: serverless_containers container_id: <идентификатор_контейнера> service_account_id: <идентификатор_сервисного_аккаунта> parameters: - explode: false in: path name: proxy required: false schema: default: '-' type: string style: simpleГде:
container_id— идентификатор контейнераmongo-express-container.service_account_id— идентификатор сервисного аккаунтаmongo-express.
-
Укажите параметры и создайте API-шлюз с помощью команды:
yc serverless api-gateway create \ --name mongo-express-gw \ --spec=<путь_к_файлу_спецификации>
Чтобы создать API-шлюз, воспользуйтесь методом REST API create для ресурса ApiGateway или вызовом gRPC API ApiGatewayService/Create.
Проверьте работу приложения
Перейдите по ссылке https://mongo-express-container.apigw.yandexcloud.net. Откроется административная панель MongoDB.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы: