Настройка на CD чрез gitlab

Веднъж мислех за автоматизиране на внедряването на моя проект. gitlab.com любезно предоставя всички инструменти за това и, разбира се, реших да го използвам, като го разбрах и написах малък скрипт за внедряване. В тази статия споделям опита си с общността.

TL; DR

1. Настройте VPS: деактивирайте root, влизане с парола, инсталирайте dockerd, конфигурирайте ufw
2. Генерирайте сертификати за сървър и клиент docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl Активирайте управлението на докер чрез tcp сокет: премахнете опцията -H fd:// от конфигурацията на докер.
3. Задайте пътища към сертификати в docker.json
4. Регистрирайте се в променливите на gitlab в настройките на CI / CD със съдържанието на сертификатите. Напишете .gitlab-ci.yml скрипт за внедряване.

Ще покажа всички примери за дистрибуцията на Debian.

Първоначална настройка на VPS

Тук сте закупили екземпляр например на DO, първото нещо, което трябва да направите, е да защитите вашия сървър от агресивния външен свят. Няма да доказвам или твърдя нищо, просто ще покажа /var/log/messages дневника на моя виртуален сървър:

снимки

Първо инсталирайте защитната стена ufw:

apt-get update && apt-get install ufw

Активиране на правилото по подразбиране: блокиране на всички входящи връзки, разрешаване на всички изходящи връзки:

ufw default deny incoming
ufw default allow outgoing

Важно: не забравяйте да разрешите връзка чрез ssh:

ufw allow OpenSSH

Общият синтаксис е: Разрешаване на връзка на порт: ufw разреши 12345, където 12345 е номерът на порта или името на услугата. Отказ: ufw отказ 12345

Включете защитната стена:

ufw enable

Излизаме от сесията и влизаме отново през ssh.

Добавете потребител, задайте му парола и го добавете към sudo групата.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

След това, според плана, трябва да деактивирате влизането с парола. за да направите това, копирайте вашия ssh ключ на сървъра:

ssh-copy-id [email protected]

IP на сървъра трябва да е ваш. Сега опитайте да влезете под създадения по-рано потребител, вече не е необходимо да въвеждате парола. След това в настройките за конфигурация променете следното:

sudo nano /etc/ssh/sshd_config

забранете влизането с парола:

PasswordAuthentication no

Рестартирайте sshd демона:

sudo systemctl reload sshd

Сега, ако вие или някой друг се опита да влезе като root, това ще се провали.

След това инсталираме dockerd, няма да описвам процеса тук, тъй като всичко вече може да бъде променено, следвайте връзката към официалния уебсайт и преминете през стъпките за инсталиране на docker на вашата виртуална машина: https://docs.docker.com/install/linux/docker-ce/debian/

Генериране на сертификат

За дистанционно управление на докер демона е необходима шифрована TLS връзка. За да направите това, трябва да имате сертификат и ключ, които трябва да генерирате и прехвърлите на вашата отдалечена машина. Следвайте стъпките, дадени в инструкциите на официалния уебсайт на докер: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl Всички генерирани *.pem файлове за сървъра, а именно ca.pem, server.pem, key.pem, трябва да бъдат поставени в директорията /etc/docker на сървъра.

настройка на докер

В скрипта за стартиране на докер демон премахнете опцията -H df://, тази опция казва на кой хост може да се контролира докер демонът.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

След това създайте файл с настройки, ако все още не съществува, и задайте опциите:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

Разрешаване на връзки на порт 2376:

sudo ufw allow 2376

Рестартирайте dockerd с нови настройки:

sudo systemctl daemon-reload && sudo systemctl restart docker

Да проверим:

sudo systemctl status docker

Ако всичко е зелено, считаме, че успешно сме конфигурирали докер на сървъра.

Настройване на непрекъсната доставка на gitlab

За да може работникът на gitalab да изпълнява команди на отдалечен докер хост, трябва да решите как и къде да съхранявате сертификати и ключ за криптирана връзка към докер. Реших този проблем, като просто записах променливите в настройките на gitlbab:

спойлер заглавие

Просто изведете съдържанието на сертификатите и ключа чрез cat: cat ca.pem. Копирайте и поставете в променливи стойности.

Нека напишем скрипт за внедряване чрез gitlab. Ще се използва изображението докер в докер (dind).

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

Съдържанието на скрипта за внедряване с коментари:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

Основният проблем беше да "извадите" съдържанието на сертификатите в нормална форма от променливите на gitlab CI / CD. Не можах да разбера защо връзката с отдалечения хост не работи. Погледнах журнала на sudo journalctl -u докер на хоста, има грешка с ръкостискането. Реших да разгледам какво обикновено се съхранява в променливи, за това можете да видите cat -A $DOCKER_CERT_PATH/key.pem. Преодоляхме грешката, като добавихме премахването на каретния знак tr -d 'r'.

Освен това можете да добавите задачи след пускане към скрипта по свое усмотрение. Можете да проверите работещата версия в моето хранилище https://gitlab.com/isqad/gitlab-ci-cd

Източник: www.habr.com