🥇 গিটল্যাবের মাধ্যমে সিডি কনফিগার করা প্রোহোস্টার

আমি একবার আমার প্রকল্পের স্থাপনা স্বয়ংক্রিয় করার কথা ভেবেছিলাম। gitlab.com দয়া করে এটির জন্য সমস্ত সরঞ্জাম সরবরাহ করে এবং অবশ্যই আমি এটির সুবিধা নেওয়ার সিদ্ধান্ত নিয়েছি, এটি বের করে একটি ছোট স্থাপনার স্ক্রিপ্ট লিখছি। এই নিবন্ধে আমি সম্প্রদায়ের সাথে আমার অভিজ্ঞতা শেয়ার করি।

TL; ডিআর

VPS সেট আপ করুন: রুট অক্ষম করুন, পাসওয়ার্ড দিয়ে লগ ইন করুন, ডকার্ড ইনস্টল করুন, ufw কনফিগার করুন
সার্ভার এবং ক্লায়েন্টের জন্য শংসাপত্র তৈরি করুন docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp সকেটের মাধ্যমে ডকার্ড নিয়ন্ত্রণ সক্ষম করুন: ডকার কনফিগারেশন থেকে -H fd:// বিকল্পটি সরান।
docker.json-এ সার্টিফিকেটের পাথ নিবন্ধন করুন
সার্টিফিকেটের বিষয়বস্তু সহ CI/CD সেটিংসে গিটল্যাব ভেরিয়েবলে নিবন্ধন করুন। স্থাপনার জন্য একটি স্ক্রিপ্ট .gitlab-ci.yml লিখুন।

আমি ডেবিয়ান বিতরণের সমস্ত উদাহরণ দেখাব।

প্রাথমিক VPS সেটআপ

তাই আপনি একটি উদাহরণ কেনা এ উদাহরণ DO, আপনাকে প্রথমে যা করতে হবে তা হল আপনার সার্ভারকে আক্রমনাত্মক বহির্বিশ্ব থেকে রক্ষা করা। আমি কিছু প্রমাণ করব না বা দাবি করব না, আমি শুধু আমার ভার্চুয়াল সার্ভারের লগ /var/log/messages দেখাব:

স্ক্রিনশট

প্রথমে, ufw ফায়ারওয়াল ইনস্টল করুন:

apt-get update && apt-get install ufw

আসুন ডিফল্ট নীতি সক্রিয় করি: সমস্ত আগত সংযোগগুলিকে ব্লক করুন, সমস্ত বহির্গামী সংযোগগুলিকে অনুমতি দিন:

ufw default deny incoming
ufw default allow outgoing

গুরুত্বপূর্ণ: ssh এর মাধ্যমে সংযোগের অনুমতি দিতে ভুলবেন না:

ufw allow OpenSSH

সাধারণ সিনট্যাক্স নিম্নরূপ: পোর্ট দ্বারা একটি সংযোগের অনুমতি দিন: ufw অনুমতি দিন 12345, যেখানে 12345 হল পোর্ট নম্বর বা পরিষেবার নাম। অস্বীকার করুন: ufw অস্বীকার করুন 12345

ফায়ারওয়াল চালু করুন:

ufw enable

আমরা সেশন থেকে প্রস্থান করি এবং ssh এর মাধ্যমে আবার লগ ইন করি।

একজন ব্যবহারকারী যোগ করুন, তাকে একটি পাসওয়ার্ড বরাদ্দ করুন এবং তাকে সুডো গ্রুপে যুক্ত করুন।

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

পরবর্তী, পরিকল্পনা অনুযায়ী, আপনি পাসওয়ার্ড লগইন নিষ্ক্রিয় করা উচিত. এটি করতে, সার্ভারে আপনার ssh কী অনুলিপি করুন:

ssh-copy-id [email protected]

সার্ভার আইপি আপনার হতে হবে। এখন আপনার আগে তৈরি করা ব্যবহারকারী ব্যবহার করে লগ ইন করার চেষ্টা করুন; আপনাকে আর পাসওয়ার্ড লিখতে হবে না। পরবর্তী, কনফিগারেশন সেটিংসে, নিম্নলিখিত পরিবর্তন করুন:

sudo nano /etc/ssh/sshd_config

পাসওয়ার্ড লগইন নিষ্ক্রিয় করুন:

PasswordAuthentication no

sshd ডেমন পুনরায় চালু করুন:

sudo systemctl reload sshd

এখন যদি আপনি বা অন্য কেউ রুট ব্যবহারকারী হিসাবে লগ ইন করার চেষ্টা করেন তবে এটি কাজ করবে না।

এরপরে, ডকার্ড ইনস্টল করুন, আমি এখানে প্রক্রিয়াটি বর্ণনা করব না, যেহেতু সবকিছু ইতিমধ্যেই পরিবর্তন করা যেতে পারে, অফিসিয়াল ওয়েবসাইটের লিঙ্কটি অনুসরণ করুন এবং আপনার ভার্চুয়াল মেশিনে ডকার ইনস্টল করার ধাপগুলি অনুসরণ করুন: https://docs.docker.com/install/linux/docker-ce/debian/

সার্টিফিকেট তৈরি করা হচ্ছে

ডকার ডেমনকে দূরবর্তীভাবে নিয়ন্ত্রণ করতে, একটি এনক্রিপ্ট করা TLS সংযোগ প্রয়োজন। এটি করার জন্য, আপনার একটি শংসাপত্র এবং একটি কী থাকতে হবে, যা অবশ্যই আপনার দূরবর্তী মেশিনে তৈরি এবং স্থানান্তর করতে হবে। অফিসিয়াল ডকার ওয়েবসাইটে নির্দেশাবলীতে দেওয়া পদক্ষেপগুলি অনুসরণ করুন: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl সার্ভারের জন্য সমস্ত তৈরি করা *.pem ফাইল, যথা ca.pem, server.pem, key.pem, সার্ভারের /etc/docker ডিরেক্টরিতে স্থাপন করা আবশ্যক।

ডকার্ড সেট আপ করা হচ্ছে

ডকার ডেমন লঞ্চ স্ক্রিপ্টে, আমরা -H df:// বিকল্পটি সরিয়ে ফেলি, এই বিকল্পটি নির্ধারণ করে যে কোন হোস্টে ডকার ডেমন নিয়ন্ত্রণ করা যেতে পারে।

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

এর পরে, আপনার একটি সেটিংস ফাইল তৈরি করা উচিত, যদি এটি ইতিমধ্যে বিদ্যমান না থাকে এবং বিকল্পগুলি নির্দিষ্ট করুন:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

2376 পোর্টে সংযোগের অনুমতি দেওয়া যাক:

sudo ufw allow 2376

নতুন সেটিংস দিয়ে ডকার্ড পুনরায় চালু করা যাক:

sudo systemctl daemon-reload && sudo systemctl restart docker

আসুন পরীক্ষা করে দেখুন:

sudo systemctl status docker

যদি সবকিছু "সবুজ" হয়, তাহলে আমরা বিবেচনা করি যে আমরা সার্ভারে ডকার সফলভাবে কনফিগার করেছি।

গিটল্যাবে ক্রমাগত ডেলিভারি সেট আপ করা হচ্ছে

গীতালাবা কর্মী যাতে দূরবর্তী ডকার হোস্টে কমান্ড কার্যকর করতে সক্ষম হয়, তার জন্য ডকার্ডের সাথে একটি এনক্রিপ্ট করা সংযোগের জন্য শংসাপত্র এবং কী কীভাবে এবং কোথায় সংরক্ষণ করতে হবে তা নির্ধারণ করা প্রয়োজন। আমি গিটলব্যাব সেটিংসে ভেরিয়েবলগুলিতে নিম্নলিখিতগুলি যোগ করে এই সমস্যার সমাধান করেছি:

স্পয়লার শিরোনাম

বিড়ালের মাধ্যমে শংসাপত্রের বিষয়বস্তু এবং কী আউটপুট করুন: cat ca.pem. পরিবর্তনশীল মান কপি এবং পেস্ট করুন.

আসুন GitLab এর মাধ্যমে স্থাপনার জন্য একটি স্ক্রিপ্ট লিখি। ডকার-ইন-ডকার (ডিন্ড) চিত্রটি ব্যবহার করা হবে।

gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

মন্তব্য সহ স্থাপনার স্ক্রিপ্টের বিষয়বস্তু:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

প্রধান সমস্যাটি ছিল গিটল্যাব সিআই/সিডি ভেরিয়েবল থেকে সার্টিফিকেটের বিষয়বস্তুকে একটি সাধারণ আকারে "টেনে আনা"। দূরবর্তী হোস্টের সাথে সংযোগটি কেন কাজ করছে না তা আমি বুঝতে পারিনি। হোস্টে আমি লগ sudo journalctl -u docker দেখলাম, হ্যান্ডশেক করার সময় একটি ত্রুটি ছিল। আমি সাধারণত ভেরিয়েবলে কী সংরক্ষণ করা হয় তা দেখার সিদ্ধান্ত নিয়েছি; এটি করার জন্য, আপনি এইরকম দেখতে পারেন: cat -A $DOCKER_CERT_PATH/key.pem. আমি ক্যারেজ অক্ষর tr -d 'r' অপসারণ যোগ করে ত্রুটিটি কাটিয়ে উঠলাম।

এর পরে, আপনি আপনার বিবেচনার ভিত্তিতে স্ক্রিপ্টে রিলিজ-পরবর্তী কাজগুলি যোগ করতে পারেন। আপনি আমার সংগ্রহস্থলে কাজের সংস্করণটি দেখতে পারেন https://gitlab.com/isqad/gitlab-ci-cd

উত্স: www.habr.com

গিটল্যাবের মাধ্যমে সিডি সেটআপ

TL; ডিআর

প্রাথমিক VPS সেটআপ

সার্টিফিকেট তৈরি করা হচ্ছে

ডকার্ড সেট আপ করা হচ্ছে

গিটল্যাবে ক্রমাগত ডেলিভারি সেট আপ করা হচ্ছে

একটি মন্তব্য জুড়ুন উত্তর বাতিল