Veröffentlicht am: 10. November 2025
5 Minuten Lesezeit
Serverless AI-Agent-Deployment mit GitLab und Google Cloud Run – Multi-Agent-Architektur, integrierte Scans, OIDC-Authentifizierung.
KI-Agents für Production-Umgebungen bereitzustellen erfordert systematische Absicherung. Dieser Leitfaden beschreibt, wie sich AI-Agents mittels Googles Agent Development Kit (ADK) in Cloud Run deployen lassen – mit GitLabs nativer Integration und CI/CD-Komponenten. Cloud Run bietet serverless Deployment ohne Kubernetes-Cluster-Management.
Agentische KI stellt eine bedeutende Entwicklung im Bereich künstliche Intelligenz dar. Anders als traditionelle generative KI-Tools, die konstante menschliche Anleitung erfordern, nutzen AI-Agents fortgeschrittene Language Models und Natural Language Processing für autonome Aktionen. Diese Systeme können Anfragen verstehen, Entscheidungen treffen und mehrstufige Pläne selbstständig ausführen.
Dieses Tutorial nutzt Googles ADK, ein flexibles und modulares Framework für die Entwicklung und Bereitstellung von AI-Agents. ADK ist für Gemini und das Google-Ökosystem optimiert, bleibt jedoch model-agnostisch, deployment-agnostisch und kompatibel mit anderen Frameworks.
Das Deployment-Beispiel demonstriert eine praktische Multi-Agent-Architektur: Der Canada City Advisor hilft Nutzenden, die ideale kanadische Stadt basierend auf Präferenzen und Rahmenbedingungen zu finden.
Der Ablauf:
Diese Multi-Agent-Architektur zeigt die Möglichkeiten agentischer KI: Spezialisierte Agents arbeiten zusammen, um komplexe Probleme zu lösen. Die Sub-Agents werden nur aktiviert, wenn der Root-Agent Budget- und Lifestyle-Analyse als notwendig bestimmt.
Folgende Anforderungen müssen erfüllt sein:
Schritt 1: IAM-Integration mit Workload Identity Federation
Der erste Schritt etabliert sichere, keyless Authentifizierung zwischen GitLab und Google Cloud mittels Workload Identity Federation. Dies eliminiert Service-Account-Keys und verbessert die Sicherheit.
Im GitLab-Projekt:
GitLab generiert ein Script. Dieses Script in Google Cloud Shell ausführen, um die Workload Identity Federation zu erstellen.
Schritt 2: Google Artifact Registry Integration konfigurieren
Als Nächstes wird die Verbindung zu Google Artifact Registry konfiguriert, wo Container-Images gespeichert werden.
Wichtig: Das Repository muss bereits in Artifact Registry existieren. GitLab erstellt in diesem Kontext kein neues Repository.
GitLab generiert Commands für die notwendigen Permissions. Diese in Google Cloud Shell ausführen.
Zusätzlich folgende Rollen zum Service Principal für Cloud Run-Deployment hinzufügen:
roles/run.admin
roles/iam.serviceAccountUser
roles/cloudbuild.builds.editor
Die Rollen lassen sich mittels folgender gcloud-Commands hinzufügen:
GCP_PROJECT_ID="<your-project-id>" #replace
GCP_PROJECT_NUMBER="<your-project-number>" #replace
GCP_WORKLOAD_IDENTITY_POOL="<your-pool-id>" #replace
gcloud projects add-iam-policy-binding ${GCP_PROJECT_ID} \
--member="principalSet://iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL}/attribute.developer_access/true" \
--role='roles/run.admin'
gcloud projects add-iam-policy-binding ${GCP_PROJECT_ID} \
--member="principalSet://iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL}/attribute.developer_access/true" \
--role='roles/iam.serviceAccountUser'
gcloud projects add-iam-policy-binding ${GCP_PROJECT_ID} \
--member="principalSet://iam.googleapis.com/projects/${GCP_PROJECT_NUMBER}/locations/global/workloadIdentityPools/${GCP_WORKLOAD_IDENTITY_POOL}/attribute.developer_access/true" \
--role='roles/cloudbuild.builds.editor'
Schritt 3: CI/CD-Pipeline erstellen
Die Deployment-Pipeline nutzt GitLabs CI/CD-Komponenten. Diese vereinfachen die Konfiguration erheblich.
Eine
.gitlab-ci.yml-Datei im Projekt-Root erstellen:
stages:
- build
- test
- upload
- deploy
variables:
GITLAB_IMAGE: $CI_REGISTRY_IMAGE/main:$CI_COMMIT_SHORT_SHA
AR_IMAGE: $GOOGLE_ARTIFACT_REGISTRY_REPOSITORY_LOCATION-docker.pkg.dev/$GOOGLE_ARTIFACT_REGISTRY_PROJECT_ID/$GOOGLE_ARTIFACT_REGISTRY_REPOSITORY_NAME/main:$CI_COMMIT_SHORT_SHA
build:
image: docker:24.0.5
stage: build
services:
- docker:24.0.5-dind
before_script:
- docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
script:
- docker build -t $GITLAB_IMAGE .
- docker push $GITLAB_IMAGE
include:
- template: Jobs/Dependency-Scanning.gitlab-ci.yml
- template: Jobs/SAST.gitlab-ci.yml
- template: Jobs/Secret-Detection.gitlab-ci.yml
- component: gitlab.com/google-gitlab-components/artifact-registry/upload-artifact-registry@main
inputs:
stage: upload
source: $GITLAB_IMAGE
target: $AR_IMAGE
- component: gitlab.com/google-gitlab-components/cloud-run/deploy-cloud-run@main
inputs:
stage: deploy
project_id: "<your-project-id>" #replace
service: "canadian-city"
region: "us-central1"
image: $AR_IMAGE
Die Pipeline besteht aus vier Stages:
Der Vorteil von GitLabs CI/CD-Komponenten: Es sind nur wenige Parameter erforderlich – die Komponenten übernehmen die komplexe Authentifizierungs- und Deployment-Logik.
Schritt 4: Deployment und Test
Mit vollständiger Konfiguration erfolgt das Deployment:
.gitlab-ci.yml zum GitLab-Repository committen
Die Stages werden nacheinander ausgeführt:
Der Ansatz bietet mehrere Sicherheitsvorteile:
Der systematische Ansatz mit integrierten Security-Scans erfüllt beispielsweise Anforderungen der NIS2-Richtlinie. Die Pipeline erzeugt vollständige Audit-Trails vom Code-Commit bis zur Production. OIDC-Authentifizierung eliminiert Credential-Management und schafft nachvollziehbare Zugriffsprotokolle – relevant für DSGVO-Compliance und interne Audit-Anforderungen.
CLOUD RUN ODER GKE?
Cloud Run (Serverless):
GKE (Kubernetes-Orchestrierung):
→ Tutorial: KI-Agenten mittels GitLab in GKE bereitstellen
Die Kombination von GitLabs Security-Features mit Google Clouds AI- und Serverless-Plattformen ermöglicht sichere und skalierbare AI-Agent-Deployments. Die Integration zwischen GitLab und Google Cloud vereinfacht den Prozess erheblich.
Das komplette Code-Beispiel zum Testen: GitHub Repository. Noch kein GitLab-Kunde? Die DevSecOps-Plattform lässt sich mit einer kostenlosen Testversion erkunden.
Mehr als 50 % der Fortune-100-Unternehmen vertrauen GitLab
Erlebe, was dein Team mit der intelligenten
DevSecOps-Plattform erreichen kann.