הגדרת תקליטור באמצעות gitlab

פעם חשבתי על אוטומציה של הפריסה של הפרויקט שלי. gitlab.com בחביבות מספקת את כל הכלים לכך, וכמובן שהחלטתי לנצל את זה, להבין את זה ולכתוב סקריפט פריסה קטן. במאמר זה אני חולק את הניסיון שלי עם הקהילה.

TL; DR

1. הגדר VPS: השבת את השורש, התחבר עם סיסמה, התקן dockerd, הגדר את ufw
2. הפק אישורים עבור שרת ולקוח docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl אפשר בקרת dockerd באמצעות שקע tcp: הסר את האפשרות -H fd:// מתצורת ה-docer.
3. רשום נתיבים לאישורים ב-docker.json
4. רישום ב-gitlab משתנים בהגדרות CI/CD עם תוכן האישורים. כתוב סקריפט .gitlab-ci.yml לפריסה.

אני אראה את כל הדוגמאות על הפצת דביאן.

הגדרת VPS ראשונית

אז קנית דוגמה למשל ב DO, הדבר הראשון שאתה צריך לעשות הוא להגן על השרת שלך מהעולם החיצון האגרסיבי. אני לא אוכיח או אטען שום דבר, אני רק אראה את היומן /var/log/messages של השרת הוירטואלי שלי:

צילום מסך

ראשית, התקן את חומת האש של ufw:

apt-get update && apt-get install ufw

בואו נפעיל את מדיניות ברירת המחדל: חסום את כל החיבורים הנכנסים, אפשר את כל החיבורים היוצאים:

ufw default deny incoming
ufw default allow outgoing

חשוב: אל תשכח לאפשר את החיבור באמצעות ssh:

ufw allow OpenSSH

התחביר הכללי הוא כדלקמן: אפשר חיבור לפי יציאה: ufw allow 12345, כאשר 12345 הוא מספר היציאה או שם השירות. הכחשה: ufw deny 12345

הפעל את חומת האש:

ufw enable

אנו יוצאים מההפעלה ונכנסים שוב דרך ssh.

הוסף משתמש, הקצה לו סיסמה והוסף אותו לקבוצת הסודו.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

לאחר מכן, על פי התוכנית, עליך להשבית את הכניסה לסיסמה. כדי לעשות זאת, העתק את מפתח ה-ssh שלך לשרת:

ssh-copy-id [email protected]

ה-IP של השרת חייב להיות שלך. כעת נסה להיכנס באמצעות המשתמש שיצרת קודם לכן, אינך צריך עוד להזין סיסמה. לאחר מכן, בהגדרות התצורה, שנה את הדברים הבאים:

sudo nano /etc/ssh/sshd_config

השבת את הכניסה לסיסמה:

PasswordAuthentication no

הפעל מחדש את הדמון sshd:

sudo systemctl reload sshd

עכשיו אם אתה או מישהו אחר ינסה להיכנס כמשתמש השורש, זה לא יעבוד.

לאחר מכן, התקן את dockerd, אני לא אתאר את התהליך כאן, מכיוון שהכל כבר ניתן לשנות, עקוב אחר הקישור לאתר הרשמי ועבור על השלבים של התקנת docker במחשב הווירטואלי שלך: https://docs.docker.com/install/linux/docker-ce/debian/

הפקת תעודות

כדי לשלוט על דמון הדוקר מרחוק, נדרש חיבור TLS מוצפן. לשם כך, עליך להצטייד באישור ומפתח, אותם יש להפיק ולהעביר למכשיר המרוחק שלך. בצע את השלבים המפורטים בהוראות באתר הדוקר הרשמי: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl כל קבצי *.pem שנוצרו עבור השרת, כלומר ca.pem, server.pem, key.pem, חייבים להיות ממוקמים בספריית /etc/docer בשרת.

הגדרת dockerd

בסקריפט ההשקה של docker daemon, אנו מסירים את האפשרות -H df://, אפשרות זו קובעת באיזה מארח ניתן לשלוט בדמון docker.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

לאחר מכן, עליך ליצור קובץ הגדרות, אם הוא עדיין לא קיים, ולציין את האפשרויות:

/etc/docer/docer.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

בואו נאפשר חיבורים ביציאה 2376:

sudo ufw allow 2376

בואו נפעיל מחדש את dockerd עם ההגדרות החדשות:

sudo systemctl daemon-reload && sudo systemctl restart docker

בוא נבדוק:

sudo systemctl status docker

אם הכל "ירוק", אנו רואים שהגדרנו בהצלחה את docker בשרת.

הגדרת מסירה רציפה ב-gitlab

על מנת שעובד Gitalaba יוכל לבצע פקודות על מארח Docker מרוחק, יש צורך להחליט כיצד והיכן לאחסן אישורים ואת המפתח לחיבור מוצפן עם Dockerd. פתרתי את הבעיה על ידי הוספת המשתנים הבאים בהגדרות gitlbab:

כותרת ספוילר

פשוט פלט את תוכן האישורים והמפתח באמצעות cat: cat ca.pem. העתק והדבק לתוך ערכי המשתנים.

בואו נכתוב סקריפט לפריסה דרך GitLab. נעשה שימוש בתמונת docker-in-docker (dind).

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

תוכן סקריפט הפריסה עם הערות:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

הבעיה העיקרית הייתה "למשוך" את תוכן התעודות בצורה רגילה ממשתני gitlab CI/CD. לא הצלחתי להבין מדוע החיבור למארח המרוחק לא עובד. במארח הסתכלתי על log sudo journalctl -u docker, הייתה שגיאה במהלך לחיצת היד. החלטתי לבדוק מה מאוחסן בדרך כלל במשתנים; כדי לעשות זאת, אתה יכול להיראות כך: cat -A $DOCKER_CERT_PATH/key.pem. התגברתי על השגיאה על ידי הוספת הסרת תו הכרכרה tr -d 'r'.

לאחר מכן, תוכל להוסיף משימות לאחר השחרור לתסריט לפי שיקול דעתך. אתה יכול לצפות בגרסת העבודה במאגר שלי https://gitlab.com/isqad/gitlab-ci-cd

מקור: www.habr.com