🥇დისკის დაყენება gitlab

ერთხელ ვფიქრობდი ჩემი პროექტის განლაგების ავტომატიზაციაზე. gitlab.com გთავაზობთ ყველა ინსტრუმენტს ამისათვის და, რა თქმა უნდა, მე გადავწყვიტე გამომეყენებინა მისი გააზრება და მცირე განლაგების სკრიპტის დაწერა. ამ სტატიაში მე ვუზიარებ ჩემს გამოცდილებას საზოგადოებას.

TL; DR

დააყენეთ VPS: გამორთეთ root, პაროლით შესვლა, დააინსტალირეთ dockerd, დააკონფიგურირეთ ufw
შექმენით სერთიფიკატები სერვერისა და კლიენტისთვის docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ჩართეთ dockerd კონტროლი tcp სოკეტის საშუალებით: ამოიღეთ -H fd:// ვარიანტი დოკერის კონფიგურაციიდან.
დააყენეთ ბილიკები სერტიფიკატებისკენ docker.json-ში
დარეგისტრირდით gitlab ცვლადებში CI / CD პარამეტრებში სერთიფიკატების შინაარსით. დაწერეთ .gitlab-ci.yml სკრიპტი განლაგებისთვის.

მე ვაჩვენებ ყველა მაგალითს Debian განაწილების შესახებ.

საწყისი VPS დაყენება

აქ თქვენ იყიდეთ მაგალითად, მაგალითად DO, პირველი რაც უნდა გააკეთოთ არის თქვენი სერვერის დაცვა აგრესიული გარე სამყაროსგან. მე არაფერს დავამტკიცებ და არ ვამტკიცებ, უბრალოდ ვაჩვენებ ჩემი ვირტუალური სერვერის /var/log/messages ჟურნალს:

Screenshot

პირველი, დააინსტალირეთ ufw firewall:

apt-get update && apt-get install ufw

ჩართეთ ნაგულისხმევი პოლიტიკა: დაბლოკეთ ყველა შემომავალი კავშირი, დაუშვით ყველა გამავალი კავშირი:

ufw default deny incoming
ufw default allow outgoing

მნიშვნელოვანია: არ დაგავიწყდეთ კავშირის დაშვება ssh-ის საშუალებით:

ufw allow OpenSSH

ზოგადი სინტაქსია: პორტზე კავშირის დაშვება: ufw allow 12345, სადაც 12345 არის პორტის ნომერი ან სერვისის სახელი. უარყოფა: ufw deny 12345

ჩართეთ firewall:

ufw enable

ჩვენ გამოვდივართ სესიიდან და შევდივართ ხელახლა ssh-ის საშუალებით.

დაამატეთ მომხმარებელი, მიანიჭეთ მას პაროლი და დაამატეთ იგი სუდო ჯგუფში.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

შემდეგი, გეგმის მიხედვით, უნდა გამორთოთ პაროლის შესვლა. ამისათვის დააკოპირეთ თქვენი ssh გასაღები სერვერზე:

ssh-copy-id [email protected]

სერვერის IP უნდა იყოს თქვენი. ახლა შეეცადეთ შეხვიდეთ ადრე შექმნილი მომხმარებლის ქვეშ, პაროლის შეყვანა აღარ გჭირდებათ. შემდეგი, კონფიგურაციის პარამეტრებში, შეცვალეთ შემდეგი:

sudo nano /etc/ssh/sshd_config

პაროლის შესვლის გამორთვა:

PasswordAuthentication no

გადატვირთეთ sshd დემონი:

sudo systemctl reload sshd

ახლა, თუ თქვენ ან ვინმე სხვა ცდილობთ შესვლას, როგორც root, ის ვერ მოხერხდება.

შემდეგი, ჩვენ ვაინსტალირებთ dockerd-ს, მე არ აღვწერ პროცესს აქ, რადგან ყველაფერი უკვე შეიძლება შეიცვალოს, მიჰყევით ბმულს ოფიციალურ ვებსაიტზე და გაიარეთ დოკერის დაყენების ნაბიჯები თქვენს ვირტუალურ მანქანაზე: https://docs.docker.com/install/linux/docker-ce/debian/

სერთიფიკატის გენერაცია

დოკერ დემონის დისტანციურად გასაკონტროლებლად საჭიროა დაშიფრული TLS კავშირი. ამისათვის თქვენ უნდა გქონდეთ სერთიფიკატი და გასაღები, რომელიც უნდა გენერირება და გადაიტანოთ თქვენს დისტანციურ მოწყობილობაზე. მიჰყევით ინსტრუქციებში მოცემულ ნაბიჯებს დოკერის ოფიციალურ ვებსაიტზე: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ყველა გენერირებული *.pem ფაილი სერვერისთვის, კერძოდ ca.pem, server.pem, key.pem, უნდა განთავსდეს სერვერის დირექტორიაში /etc/docker.

დოკერის დაყენება

Docker daemon-ის გაშვების სკრიპტში ამოიღეთ -H df:// ოფცია, ეს პარამეტრი გვიჩვენებს, რომელ ჰოსტზე შეიძლება დოკერ დემონის კონტროლი.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

შემდეგი, შექმენით პარამეტრების ფაილი, თუ ის უკვე არ არსებობს და დააყენეთ პარამეტრები:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

2376 პორტზე კავშირების დაშვება:

sudo ufw allow 2376

გადატვირთეთ dockerd ახალი პარამეტრებით:

sudo systemctl daemon-reload && sudo systemctl restart docker

მოდით შევამოწმოთ:

sudo systemctl status docker

თუ ყველაფერი მწვანეა, მაშინ მიგვაჩნია, რომ ჩვენ წარმატებით დავაკონფიგურირეთ დოკერი სერვერზე.

უწყვეტი მიწოდების დაყენება gitlab-ზე

იმისათვის, რომ gitalab-ის მუშაკმა შეძლოს ბრძანებების შესრულება დისტანციურ დოკერ ჰოსტზე, თქვენ უნდა გადაწყვიტოთ როგორ და სად შეინახოთ სერთიფიკატები და გასაღები დაშიფრული კავშირისთვის dockerd-თან. მე გადავწყვიტე ეს პრობლემა უბრალოდ ჩაწერე ცვლადებზე gitlbab პარამეტრებში:

სპოილერის სათაური

უბრალოდ გამოიტანეთ სერთიფიკატების და გასაღების შინაარსი კატის საშუალებით: cat ca.pem. დააკოპირეთ და ჩასვით ცვლად მნიშვნელობებში.

მოდით დავწეროთ სკრიპტი განლაგებისთვის gitlab-ის საშუალებით. გამოყენებული იქნება docker-in-docker (dind) სურათი.

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

განლაგების სკრიპტის შინაარსი კომენტარებით:

bin/deploy.შ

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

მთავარი პრობლემა იყო სერთიფიკატების შიგთავსის ნორმალური ფორმით „გამოტანა“ gitlab CI / CD ცვლადებიდან. ვერ გავარკვიე, რატომ არ მუშაობდა კავშირი დისტანციურ ჰოსტთან. დავხედე sudo journalctl -u docker log-ს ჰოსტზე, შეცდომაა ხელის ჩამორთმევისას. მე გადავწყვიტე მენახა რა არის ზოგადად შენახული ცვლადებში, ამისათვის შეგიძლიათ ნახოთ კატა -A $DOCKER_CERT_PATH/key.pem. დაძლიეს შეცდომა tr -d 'r' სიმბოლოს ამოღების დამატებით.

გარდა ამისა, თქვენ შეგიძლიათ დაამატოთ გამოშვების შემდგომი ამოცანები სკრიპტში თქვენი შეხედულებისამებრ. თქვენ შეგიძლიათ შეამოწმოთ სამუშაო ვერსია ჩემს საცავში https://gitlab.com/isqad/gitlab-ci-cd

წყარო: www.habr.com

CD დაყენება gitlab-ის საშუალებით

TL; DR

საწყისი VPS დაყენება

სერთიფიკატის გენერაცია

დოკერის დაყენება

უწყვეტი მიწოდების დაყენება gitlab-ზე

ახალი კომენტარის დამატება

CD დაყენება gitlab-ის საშუალებით

TL; DR

საწყისი VPS დაყენება

სერთიფიკატის გენერაცია

დოკერის დაყენება

უწყვეტი მიწოდების დაყენება gitlab-ზე

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება