ગિટલેબ દ્વારા સીડી સેટઅપ

મેં એકવાર મારા પ્રોજેક્ટની જમાવટને સ્વચાલિત કરવા વિશે વિચાર્યું. gitlab.com કૃપા કરીને આ માટે તમામ સાધનો પૂરા પાડે છે, અને અલબત્ત મેં તેનો લાભ લેવાનું નક્કી કર્યું છે, તેને શોધી કાઢ્યું છે અને એક નાની ડિપ્લોયમેન્ટ સ્ક્રિપ્ટ લખી છે. આ લેખમાં હું સમુદાય સાથે મારો અનુભવ શેર કરું છું.

TL; DR

1. VPS સેટ કરો: રૂટને અક્ષમ કરો, પાસવર્ડ સાથે લોગ ઇન કરો, ડોકર્ડ ઇન્સ્ટોલ કરો, ufw ગોઠવો
2. સર્વર અને ક્લાયંટ માટે પ્રમાણપત્રો બનાવો docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp સોકેટ દ્વારા ડોકર્ડ નિયંત્રણને સક્ષમ કરો: ડોકર રૂપરેખામાંથી -H fd:// વિકલ્પને દૂર કરો.
3. docker.json માં પ્રમાણપત્રોના પાથની નોંધણી કરો
4. પ્રમાણપત્રોની સામગ્રી સાથે CI/CD સેટિંગ્સમાં ગિટલેબ વેરીએબલ્સમાં નોંધણી કરો. જમાવટ માટે સ્ક્રિપ્ટ .gitlab-ci.yml લખો.

હું ડેબિયન વિતરણ પરના બધા ઉદાહરણો બતાવીશ.

પ્રારંભિક VPS સેટઅપ

તેથી તમે ઉદાહરણ તરીકે એક ઉદાહરણ ખરીદ્યું છે DO, તમારે જે પ્રથમ વસ્તુ કરવાની જરૂર છે તે તમારા સર્વરને આક્રમક બહારની દુનિયાથી સુરક્ષિત કરવી છે. હું કંઈપણ સાબિત કરીશ નહીં અથવા દાવો કરીશ નહીં, હું ફક્ત મારા વર્ચ્યુઅલ સર્વરના લોગ /var/log/messages બતાવીશ:

સ્ક્રીનશોટ

પ્રથમ, ufw ફાયરવોલ ઇન્સ્ટોલ કરો:

apt-get update && apt-get install ufw

ચાલો ડિફૉલ્ટ નીતિને સક્ષમ કરીએ: બધા ઇનકમિંગ કનેક્શન્સને અવરોધિત કરો, બધા આઉટગોઇંગ કનેક્શન્સને મંજૂરી આપો:

ufw default deny incoming
ufw default allow outgoing

મહત્વપૂર્ણ: ssh દ્વારા કનેક્શનને મંજૂરી આપવાનું ભૂલશો નહીં:

ufw allow OpenSSH

સામાન્ય વાક્યરચના નીચે મુજબ છે: પોર્ટ દ્વારા કનેક્શનને મંજૂરી આપો: ufw 12345ને મંજૂરી આપો, જ્યાં 12345 એ પોર્ટ નંબર અથવા સેવાનું નામ છે. નામંજૂર કરો: ufw 12345 નામંજૂર કરો

ફાયરવોલ ચાલુ કરો:

ufw enable

અમે સત્રમાંથી બહાર નીકળીએ છીએ અને ssh દ્વારા ફરીથી લોગ ઇન કરીએ છીએ.

વપરાશકર્તા ઉમેરો, તેને પાસવર્ડ સોંપો અને તેને સુડો જૂથમાં ઉમેરો.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

આગળ, યોજના અનુસાર, તમારે પાસવર્ડ લોગિન અક્ષમ કરવું જોઈએ. આ કરવા માટે, સર્વર પર તમારી ssh કીની નકલ કરો:

ssh-copy-id [email protected]

સર્વર આઈપી તમારું હોવું આવશ્યક છે. હવે તમે પહેલા બનાવેલા વપરાશકર્તાનો ઉપયોગ કરીને લોગ ઇન કરવાનો પ્રયાસ કરો; તમારે હવે પાસવર્ડ દાખલ કરવાની જરૂર નથી. આગળ, રૂપરેખાંકન સેટિંગ્સમાં, નીચેનાને બદલો:

sudo nano /etc/ssh/sshd_config

પાસવર્ડ લોગિન અક્ષમ કરો:

PasswordAuthentication no

sshd ડિમન પુનઃપ્રારંભ કરો:

sudo systemctl reload sshd

હવે જો તમે અથવા અન્ય કોઈ રુટ વપરાશકર્તા તરીકે લૉગ ઇન કરવાનો પ્રયાસ કરશે, તો તે કામ કરશે નહીં.

આગળ, ડોકર્ડ ઇન્સ્ટોલ કરો, હું અહીં પ્રક્રિયાનું વર્ણન કરીશ નહીં, કારણ કે બધું પહેલેથી જ બદલી શકાય છે, સત્તાવાર વેબસાઇટની લિંકને અનુસરો અને તમારા વર્ચ્યુઅલ મશીન પર ડોકર ઇન્સ્ટોલ કરવાના પગલાઓમાંથી પસાર થાઓ: https://docs.docker.com/install/linux/docker-ce/debian/

પ્રમાણપત્રો જનરેટ કરી રહ્યા છીએ

ડોકર ડિમનને દૂરથી નિયંત્રિત કરવા માટે, એનક્રિપ્ટેડ TLS કનેક્શન આવશ્યક છે. આ કરવા માટે, તમારી પાસે પ્રમાણપત્ર અને કી હોવી જરૂરી છે, જે જનરેટ અને તમારા રિમોટ મશીનમાં ટ્રાન્સફર થવી જોઈએ. સત્તાવાર ડોકર વેબસાઇટ પરની સૂચનાઓમાં આપેલા પગલાંને અનુસરો: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl સર્વર માટે તમામ જનરેટ કરેલ *.pem ફાઇલો, જેમ કે ca.pem, server.pem, key.pem, સર્વર પર /etc/docker ડિરેક્ટરીમાં મૂકવી આવશ્યક છે.

ડોકર્ડ સેટ કરી રહ્યું છે

ડોકર ડિમન લોન્ચ સ્ક્રિપ્ટમાં, અમે -H df:// વિકલ્પને દૂર કરીએ છીએ, આ વિકલ્પ નક્કી કરે છે કે ડોકર ડિમન કયા હોસ્ટ પર નિયંત્રિત થઈ શકે છે.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

આગળ, તમારે સેટિંગ્સ ફાઇલ બનાવવી જોઈએ, જો તે પહેલાથી અસ્તિત્વમાં નથી, અને વિકલ્પોનો ઉલ્લેખ કરો:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

ચાલો પોર્ટ 2376 પર જોડાણોને મંજૂરી આપીએ:

sudo ufw allow 2376

ચાલો નવી સેટિંગ્સ સાથે ડોકર્ડને ફરીથી પ્રારંભ કરીએ:

sudo systemctl daemon-reload && sudo systemctl restart docker

ચાલો તપાસીએ:

sudo systemctl status docker

જો બધું "લીલું" છે, તો અમે માનીએ છીએ કે અમે સર્વર પર ડોકરને સફળતાપૂર્વક ગોઠવ્યું છે.

ગિટલેબ પર સતત ડિલિવરી સેટ કરી રહ્યું છે

ગીતાલાબા કાર્યકર રીમોટ ડોકર હોસ્ટ પર આદેશો ચલાવવા માટે સક્ષમ થવા માટે, ડોકર્ડ સાથે એન્ક્રિપ્ટેડ કનેક્શન માટે પ્રમાણપત્રો અને કી કેવી રીતે અને ક્યાં સંગ્રહિત કરવી તે નક્કી કરવું જરૂરી છે. મેં આ સમસ્યાને gitlbab સેટિંગ્સમાં ચલોમાં ફક્ત નીચેના ઉમેરીને હલ કરી છે:

સ્પોઇલર શીર્ષક

ફક્ત પ્રમાણપત્રોની સામગ્રી અને બિલાડી દ્વારા કી આઉટપુટ કરો: cat ca.pem. ચલ મૂલ્યોમાં કૉપિ અને પેસ્ટ કરો.

ચાલો GitLab દ્વારા જમાવટ માટે સ્ક્રિપ્ટ લખીએ. ડોકર-ઇન-ડોકર (ડીન્ડ) ઇમેજનો ઉપયોગ કરવામાં આવશે.

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

ટિપ્પણીઓ સાથે જમાવટ સ્ક્રિપ્ટની સામગ્રી:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

મુખ્ય સમસ્યા ગિટલેબ CI/CD ચલોમાંથી પ્રમાણપત્રોની સામગ્રીને સામાન્ય સ્વરૂપમાં "ખેંચવાની" હતી. રિમોટ હોસ્ટનું કનેક્શન કેમ કામ કરતું નથી તે હું સમજી શક્યો નથી. હોસ્ટ પર મેં લોગ sudo journalctl -u ડોકર પર જોયું, હેન્ડશેક દરમિયાન એક ભૂલ હતી. મેં ચલોમાં સામાન્ય રીતે શું સંગ્રહિત થાય છે તે જોવાનું નક્કી કર્યું; આ કરવા માટે, તમે આના જેવું જોઈ શકો છો: cat -A $DOCKER_CERT_PATH/key.pem. મેં કેરેજ અક્ષર tr -d 'r' ને દૂર કરીને ભૂલને દૂર કરી.

આગળ, તમે તમારી વિવેકબુદ્ધિથી સ્ક્રિપ્ટમાં પોસ્ટ-રિલીઝ કાર્યો ઉમેરી શકો છો. તમે મારા રીપોઝીટરીમાં કાર્યકારી સંસ્કરણ જોઈ શકો છો https://gitlab.com/isqad/gitlab-ci-cd

સોર્સ: www.habr.com