Cloud Next '26会场,灯光聚拢到一个小型分享厅。我和队友Wietse带着一台笔记本,要在一个小时内把这几年团队打磨Cloud Run的全套心法,塞进这场名为“终极指南”的演讲里。听众是一群能写代码、能上线服务,但对Cloud Run还感到陌生的工程师。我们的目标很简单:让他们走出这个房间时,可以闭着眼睛用一条命令把容器推到生产环境,并理解背后自动扩缩、联网、定价的每一个齿轮是怎么转起来的。

演讲从一行命令开始:部署一个容器。Cloud Run是Google Cloud的无服务器引擎,开发者只需提供一个符合标准的容器镜像,就能按需运行起来,完全不用触碰虚拟机或者Kubernetes集群。我们当场用示例起了一个“Hello Cloud Run”的web服务,浏览器里立刻返回了响应。有人问没有现成的容器怎么办?别急,后面马上揭晓,直接从源码部署也是支持的。

打开网易新闻 查看精彩图片

接下来是全场最有参与感的环节——弹性伸缩演示。我们投出一个二维码,每个扫码的听众都会在自己的浏览器里触发一次独立的容器实例启动。Wietse解释说,如果想让请求进来时零延迟,可以设置最小实例数,让一定数量的容器始终处于预热状态;要是担心后端数据库被突发流量打垮,或者想守住预算底线,就定好最大实例数,伸缩的上限绝不超过这个数字。

很多人以为gcloud run deploy只是一条简单的上传指令,实际上背后藏着五步自动化流水线。第一步,本地目录被安全上传到一个隐形的Cloud Storage桶里。第二步,Cloud Build接手构建:如果目录里有Dockerfile就按Dockerfile打镜像,没有的话,开源的Buildpacks会自动探测语言栈(比如Go、Node.js、Python)并编译出容器。第三步,成品镜像被推送到Artifact Registry。第四步,Cloud Run生成一个新的Revision——这是一个不可变的、只读的容器及其配置快照。最后一步,新Revision通过启动健康检查之后,全部线上流量便平滑切到新版本,老Revision就此退役。

谈完服务实例,我们拉出一个更大视角:Cloud Run里不只有Service这一种资源形态。Web应用、API、微服务天然适合放在Service里,它会自动获得域名、TLS证书和负载均衡。同时还有一些辅助资源需要留意,比如与VPC网络的对等连接,让容器能访问内网的数据库或者后端服务;又如卷挂载,可以把持久化数据挂进容器临时工作目录,或者用临时磁盘存放运行时产生的临时文件。

在日志和排障部分,我们拆解了一个经典报错:“container failed to start on port 8080”。原因通常是容器启动时没有在指定的端口上监听,或者健康检查超时。解决思路很简单:确认容器里实际监听的端口,然后通过Cloud Run的服务配置把容器端口改成一致的值。同时,团队强烈推荐开启结构化日志,把关键字段以JSON方式输出,这样日志在Logs Explorer里可以直接过滤和聚合,排查链路问题时会省下大量时间。

部署上线的可靠性也绕不开两个实用的能力:Reliable Rollouts和预览链接。前者保证即使在滚动更新时发生错误,流量也能安全地回退到上一个健康Revision;后者则为每个新Revision都生成一个独立的预览URL,工程师可以先打开预览链接验证页面渲染和接口响应,确认无误后再把正式流量切过来,避免了“上线就炸”的惊险画面。

讲到安全实践,我们特地演示了如何避免把API密钥硬编码进代码或者镜像里。正确做法是把密钥存在Secret Manager里,再通过环境变量或者卷挂载的形式注入到容器,这样代码和配置分离,即使源码泄露,密钥也不会暴露。另外,Google Cloud Developer Knowledge MCP服务器也值得一试,它能直接让开发者在IDE里用自然语言查询文档、示例和最佳实践,不用跳出编辑器去翻官网。

定价方面,Cloud Run提供两种模型:一种是按请求次数和实例运行时间计费,对零星访问的小项目极度友好;另一种是针对持续流量的承诺使用折扣,适合稳定负载的生产环境。扩展部分还透出一个信号:GPU实例现在也支持缩放到零。这意味着跑小规模推理任务的容器,在没有请求时可以完全释放GPU资源,成本控制又进了一步。演讲最后,我们快速展示了如何把一个ADK代理部署到Cloud Run上,让代理以无服务器的方式响应用户的异步指令,把前面所有讲到的自动伸缩、日志、联网特性串联在一起。

整场演讲下来,Wietse和我想传递的核心信息很一致:Cloud Run不是对Kubernetes的简化掩盖,而是把容器化交付这件事里所有需要重复造轮子的部分——构建镜像、弹性调度、网络打通、证书管理、版本切换——都做成了默认就绪的基底,开发者要做的只剩写好程序、定义容器入口、选择区域。这种减负带来的影响,已经悄悄落在那些原本需要两个SRE维护小数个服务的小团队头上,让他们可以只带着代码就出海。