🥇गीटलैब के माध्यम से सीडी को कॉन्फ़िगर करना

मैंने एक बार अपने प्रोजेक्ट की तैनाती को स्वचालित करने के बारे में सोचा था। gitlab.com कृपया इसके लिए सभी उपकरण प्रदान करता है, और निश्चित रूप से मैंने इसका लाभ उठाने का फैसला किया, इसका पता लगाया और एक छोटी तैनाती स्क्रिप्ट लिखी। इस लेख में मैं समुदाय के साथ अपना अनुभव साझा करता हूं।

TL, डॉ

वीपीएस सेट करें: रूट अक्षम करें, पासवर्ड से लॉग इन करें, डॉकर्ड इंस्टॉल करें, यूएफडब्ल्यू कॉन्फ़िगर करें
सर्वर और क्लाइंट के लिए प्रमाणपत्र तैयार करें docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl टीसीपी सॉकेट के माध्यम से डॉकर्ड नियंत्रण सक्षम करें: डॉकर कॉन्फ़िगरेशन से -H fd:// विकल्प हटा दें।
Docker.json में प्रमाणपत्रों के लिए पथ पंजीकृत करें
प्रमाणपत्रों की सामग्री के साथ सीआई/सीडी सेटिंग्स में गिटलैब वेरिएबल्स में रजिस्टर करें। परिनियोजन के लिए एक स्क्रिप्ट .gitlab-ci.yml लिखें।

मैं डेबियन वितरण पर सभी उदाहरण दिखाऊंगा।

प्रारंभिक वीपीएस सेटअप

तो आपने उदाहरण के लिए एक उदाहरण खरीदा DO, पहली चीज़ जो आपको करने की ज़रूरत है वह है अपने सर्वर को आक्रामक बाहरी दुनिया से सुरक्षित रखना। मैं कुछ भी साबित या दावा नहीं करूंगा, मैं सिर्फ अपने वर्चुअल सर्वर का लॉग /var/log/messages दिखाऊंगा:

स्क्रीनशॉट

सबसे पहले, ufw फ़ायरवॉल स्थापित करें:

apt-get update && apt-get install ufw

आइए डिफ़ॉल्ट नीति सक्षम करें: सभी आने वाले कनेक्शनों को ब्लॉक करें, सभी आउटगोइंग कनेक्शनों को अनुमति दें:

ufw default deny incoming
ufw default allow outgoing

महत्वपूर्ण: एसएसएच के माध्यम से कनेक्शन की अनुमति देना न भूलें:

ufw allow OpenSSH

सामान्य सिंटैक्स इस प्रकार है: पोर्ट द्वारा कनेक्शन की अनुमति दें: ufw 12345 की अनुमति दें, जहां 12345 पोर्ट नंबर या सेवा का नाम है। इनकार: यूएफडब्ल्यू इनकार 12345

फ़ायरवॉल चालू करें:

ufw enable

हम सत्र से बाहर निकलते हैं और ssh के माध्यम से फिर से लॉग इन करते हैं।

एक उपयोगकर्ता जोड़ें, उसे एक पासवर्ड निर्दिष्ट करें, और उसे सूडो समूह में जोड़ें।

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

आगे, योजना के अनुसार, आपको पासवर्ड लॉगिन अक्षम करना चाहिए। ऐसा करने के लिए, अपनी ssh कुंजी को सर्वर पर कॉपी करें:

ssh-copy-id [email protected]

सर्वर आईपी आपका होना चाहिए. अब आपके द्वारा पहले बनाए गए उपयोगकर्ता का उपयोग करके लॉग इन करने का प्रयास करें; अब आपको पासवर्ड दर्ज करने की आवश्यकता नहीं है। अगला, कॉन्फ़िगरेशन सेटिंग्स में, निम्नलिखित बदलें:

sudo nano /etc/ssh/sshd_config

पासवर्ड लॉगिन अक्षम करें:

PasswordAuthentication no

Sshd डेमॉन को पुनरारंभ करें:

sudo systemctl reload sshd

अब यदि आप या कोई अन्य व्यक्ति रूट यूजर के रूप में लॉग इन करने का प्रयास करता है, तो यह काम नहीं करेगा।

इसके बाद, डॉकरड स्थापित करें, मैं यहां प्रक्रिया का वर्णन नहीं करूंगा, क्योंकि सब कुछ पहले से ही बदला जा सकता है, आधिकारिक वेबसाइट के लिंक का पालन करें और अपने वर्चुअल मशीन पर डॉकर स्थापित करने के चरणों से गुजरें: https://docs.docker.com/install/linux/docker-ce/debian/

प्रमाण पत्र बनाना

डॉकर डेमॉन को दूरस्थ रूप से नियंत्रित करने के लिए, एक एन्क्रिप्टेड टीएलएस कनेक्शन की आवश्यकता होती है। ऐसा करने के लिए, आपके पास एक प्रमाणपत्र और एक कुंजी होनी चाहिए, जिसे जेनरेट करके आपकी रिमोट मशीन में स्थानांतरित किया जाना चाहिए। आधिकारिक डॉकर वेबसाइट पर दिए गए निर्देशों में दिए गए चरणों का पालन करें: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl सर्वर के लिए सभी जेनरेट की गई *.pem फ़ाइलें, अर्थात् ca.pem, सर्वर.pem, key.pem, को सर्वर पर /etc/docker निर्देशिका में रखा जाना चाहिए।

डॉकर्ड की स्थापना

डॉकर डेमॉन लॉन्च स्क्रिप्ट में, हम -H df:// विकल्प को हटाते हैं, यह विकल्प निर्धारित करता है कि डॉकर डेमॉन को किस होस्ट पर नियंत्रित किया जा सकता है।

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

इसके बाद, आपको एक सेटिंग फ़ाइल बनानी चाहिए, यदि यह पहले से मौजूद नहीं है, और विकल्प निर्दिष्ट करें:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

आइए पोर्ट 2376 पर कनेक्शन की अनुमति दें:

sudo ufw allow 2376

आइए नई सेटिंग्स के साथ dockerd को पुनः आरंभ करें:

sudo systemctl daemon-reload && sudo systemctl restart docker

चलो देखते है:

sudo systemctl status docker

यदि सब कुछ "हरा" है, तो हम मानते हैं कि हमने सर्वर पर डॉकर को सफलतापूर्वक कॉन्फ़िगर कर लिया है।

गिटलैब पर निरंतर डिलीवरी की स्थापना

गीतालबा कार्यकर्ता के लिए दूरस्थ डॉकर होस्ट पर कमांड निष्पादित करने में सक्षम होने के लिए, यह तय करना आवश्यक है कि डॉकरड के साथ एन्क्रिप्टेड कनेक्शन के लिए प्रमाणपत्र और कुंजी को कैसे और कहाँ संग्रहीत किया जाए। मैंने gitlbab सेटिंग्स में वेरिएबल्स में निम्नलिखित जोड़कर इस समस्या को हल किया:

बिगाड़ने वाला शीर्षक

बस प्रमाणपत्रों की सामग्री और कुंजी को कैट के माध्यम से आउटपुट करें: cat ca.pem. वेरिएबल मानों में कॉपी और पेस्ट करें।

आइए GitLab के माध्यम से परिनियोजन के लिए एक स्क्रिप्ट लिखें। डॉकर-इन-डॉकर (डिंड) छवि का उपयोग किया जाएगा।

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

टिप्पणियों के साथ परिनियोजन स्क्रिप्ट की सामग्री:

बिन/तैनाती.श

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

मुख्य समस्या गिटलैब सीआई/सीडी वेरिएबल्स से प्रमाणपत्रों की सामग्री को सामान्य रूप में "खींचने" की थी। मैं समझ नहीं पाया कि रिमोट होस्ट से कनेक्शन काम क्यों नहीं कर रहा था। होस्ट पर मैंने लॉग सुडो जर्नलक्टल -यू डॉकर को देखा, हैंडशेक के दौरान एक त्रुटि हुई थी। मैंने यह देखने का निर्णय लिया कि आम तौर पर वेरिएबल्स में क्या संग्रहीत किया जाता है; ऐसा करने के लिए, आप इस तरह दिख सकते हैं: cat -A $DOCKER_CERT_PATH/key.pem. मैंने कैरिएज कैरेक्टर tr -d 'r' को हटाकर त्रुटि पर काबू पा लिया।

इसके बाद, आप अपने विवेक से स्क्रिप्ट में रिलीज़ के बाद के कार्यों को जोड़ सकते हैं। आप मेरे भंडार में कार्यशील संस्करण देख सकते हैं https://gitlab.com/isqad/gitlab-ci-cd

स्रोत: www.habr.com

गिटलैब के माध्यम से सीडी सेटअप

TL, डॉ

प्रारंभिक वीपीएस सेटअप

प्रमाण पत्र बनाना

डॉकर्ड की स्थापना

गिटलैब पर निरंतर डिलीवरी की स्थापना

एक टिप्पणी जोड़ें उत्तर रद्द