ការដំឡើងស៊ីឌីតាមរយៈ gitlab

ខ្ញុំធ្លាប់គិតអំពីការដាក់ពង្រាយគម្រោងរបស់ខ្ញុំដោយស្វ័យប្រវត្តិ។ gitlab.com សូមផ្តល់ឧបករណ៍ទាំងអស់សម្រាប់បញ្ហានេះ ហើយជាការពិតណាស់ ខ្ញុំបានសម្រេចចិត្តប្រើវាដោយកំណត់វាចេញ ហើយសរសេរស្គ្រីបដាក់ពង្រាយតូចមួយ។ នៅក្នុងអត្ថបទនេះ ខ្ញុំចែករំលែកបទពិសោធន៍របស់ខ្ញុំជាមួយសហគមន៍។

TL; កុង

1. ដំឡើង VPS៖ បិទដំណើរការ root, ចូលពាក្យសម្ងាត់, ដំឡើង dockerd, កំណត់រចនាសម្ព័ន្ធ ufw
2. បង្កើតវិញ្ញាបនបត្រសម្រាប់ម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវ docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl បើកការគ្រប់គ្រង dockerd តាមរយៈរន្ធ tcp៖ យកជម្រើស -H fd:// ចេញពី docker config ។
3. កំណត់ផ្លូវទៅកាន់វិញ្ញាបនបត្រនៅក្នុង docker.json
4. ចុះឈ្មោះក្នុងអថេរ gitlab ក្នុងការកំណត់ CI/CD ជាមួយនឹងខ្លឹមសារនៃវិញ្ញាបនបត្រ។ សរសេរស្គ្រីប .gitlab-ci.yml សម្រាប់ដាក់ឱ្យប្រើប្រាស់។

ខ្ញុំនឹងបង្ហាញឧទាហរណ៍ទាំងអស់នៅលើការចែកចាយ Debian ។

ការដំឡើង VPS ដំបូង

នៅទីនេះអ្នកបានទិញឧទាហរណ៍មួយនៅលើ DOរឿងដំបូងដែលត្រូវធ្វើគឺការពារម៉ាស៊ីនមេរបស់អ្នកពីពិភពខាងក្រៅដែលឈ្លានពាន។ ខ្ញុំនឹងមិនបញ្ជាក់ ឬអះអាងអ្វីនោះទេ ខ្ញុំនឹងបង្ហាញកំណត់ហេតុ /var/log/messages នៃម៉ាស៊ីនមេនិម្មិតរបស់ខ្ញុំ៖

រូបថតអេក្រង់

ដំបូងដំឡើង ufw firewall៖

apt-get update && apt-get install ufw

បើកដំណើរការគោលការណ៍លំនាំដើម៖ ទប់ស្កាត់ការភ្ជាប់ចូលទាំងអស់ អនុញ្ញាតឱ្យការតភ្ជាប់ចេញទាំងអស់៖

ufw default deny incoming
ufw default allow outgoing

សំខាន់៖ កុំភ្លេចអនុញ្ញាតការតភ្ជាប់តាមរយៈ ssh៖

ufw allow OpenSSH

វាក្យសម្ព័ន្ធទូទៅគឺ៖ អនុញ្ញាតការតភ្ជាប់នៅលើច្រក៖ ufw អនុញ្ញាត 12345 ដែល 12345 គឺជាលេខច្រក ឬឈ្មោះសេវាកម្ម។ បដិសេធ៖ ufw បដិសេធ 12345

បើកជញ្ជាំងភ្លើង៖

ufw enable

យើងចាកចេញពីវគ្គ ហើយចូលម្តងទៀតតាមរយៈ ssh ។

បន្ថែមអ្នកប្រើប្រាស់ កំណត់ពាក្យសម្ងាត់ឱ្យគាត់ ហើយបន្ថែមគាត់ទៅក្រុម sudo ។

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

បន្ទាប់មក យោងតាមគម្រោង អ្នកគួរតែបិទការចូលពាក្យសម្ងាត់។ ដើម្បីធ្វើដូចនេះចម្លងកូនសោ ssh របស់អ្នកទៅម៉ាស៊ីនមេ៖

ssh-copy-id [email protected]

ip របស់ server ត្រូវតែជារបស់អ្នក។ ឥឡូវ​ព្យាយាម​ចូល​ក្រោម​អ្នក​ប្រើ​ដែល​បាន​បង្កើត​មុន អ្នក​មិន​ចាំបាច់​បញ្ចូល​ពាក្យ​សម្ងាត់​ទៀត​ទេ។ បន្ទាប់មក នៅក្នុងការកំណត់រចនាសម្ព័ន្ធ សូមផ្លាស់ប្តូរដូចខាងក្រោម៖

sudo nano /etc/ssh/sshd_config

បិទការចូលពាក្យសម្ងាត់៖

PasswordAuthentication no

ចាប់ផ្តើមដេមិន sshd ឡើងវិញ៖

sudo systemctl reload sshd

ឥឡូវនេះ ប្រសិនបើអ្នក ឬនរណាម្នាក់ព្យាយាមចូលជា root វានឹងបរាជ័យ។

បន្ទាប់មក យើងដំឡើង dockerd ខ្ញុំនឹងមិនរៀបរាប់អំពីដំណើរការនៅទីនេះទេ ព្រោះអ្វីៗអាចត្រូវបានផ្លាស់ប្តូររួចហើយ សូមធ្វើតាមតំណទៅកាន់គេហទំព័រផ្លូវការ ហើយឆ្លងកាត់ជំហាននៃការដំឡើង docker នៅលើម៉ាស៊ីននិម្មិតរបស់អ្នក៖ https://docs.docker.com/install/linux/docker-ce/debian/

ការបង្កើតវិញ្ញាបនបត្រ

ដើម្បីគ្រប់គ្រងដេមិន docker ពីចម្ងាយ ការតភ្ជាប់ TLS ដែលបានអ៊ិនគ្រីបគឺត្រូវបានទាមទារ។ ដើម្បីធ្វើដូច្នេះ អ្នកត្រូវមានវិញ្ញាបនបត្រ និងសោដែលអ្នកត្រូវការដើម្បីបង្កើត និងផ្ទេរទៅម៉ាស៊ីនពីចម្ងាយរបស់អ្នក។ អនុវត្តតាមជំហានដែលបានផ្ដល់ឱ្យក្នុងការណែនាំនៅលើគេហទំព័រផ្លូវការរបស់ docker៖ https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ឯកសារ *.pem ដែលបានបង្កើតទាំងអស់សម្រាប់ម៉ាស៊ីនមេ ដូចជា ca.pem, server.pem, key.pem គួរតែត្រូវបានដាក់នៅក្នុងថត /etc/docker នៅលើម៉ាស៊ីនមេ។

ការដំឡើង docker

នៅក្នុងស្គ្រីប docker daemon startup ដកជម្រើស -H df:// ជម្រើសនេះប្រាប់ថាតើ host ណាដែល docker daemon អាចគ្រប់គ្រងបាន។

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

បន្ទាប់មកបង្កើតឯកសារកំណត់ប្រសិនបើវាមិនទាន់មាន ហើយកំណត់ជម្រើស៖

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

អនុញ្ញាតការតភ្ជាប់នៅលើច្រក 2376៖

sudo ufw allow 2376

ចាប់ផ្តើម dockerd ឡើងវិញជាមួយនឹងការកំណត់ថ្មី៖

sudo systemctl daemon-reload && sudo systemctl restart docker

តោះពិនិត្យ៖

sudo systemctl status docker

ប្រសិនបើអ្វីៗទាំងអស់មានពណ៌បៃតង នោះយើងពិចារណាថាយើងបានកំណត់រចនាសម្ព័ន្ធ docker ដោយជោគជ័យនៅលើម៉ាស៊ីនមេ។

រៀបចំការចែកចាយបន្តនៅលើ gitlab

ដើម្បីឱ្យបុគ្គលិក gitalab អាចប្រតិបត្តិពាក្យបញ្ជានៅលើម៉ាស៊ីន docker ពីចម្ងាយ អ្នកត្រូវសម្រេចចិត្តពីរបៀប និងកន្លែងដែលត្រូវរក្សាទុកវិញ្ញាបនបត្រ និងកូនសោសម្រាប់ការតភ្ជាប់ដែលបានអ៊ិនគ្រីបទៅ dockerd ។ ខ្ញុំបានដោះស្រាយបញ្ហានេះដោយគ្រាន់តែសរសេរទៅកាន់អថេរនៅក្នុងការកំណត់ gitlbab៖

ចំណងជើង spoiler

គ្រាន់តែបញ្ចេញខ្លឹមសារនៃវិញ្ញាបនបត្រ និងគន្លឹះតាមរយៈឆ្មា៖ cat ca.pem. ចម្លង និងបិទភ្ជាប់ទៅក្នុងតម្លៃអថេរ។

ចូរយើងសរសេរស្គ្រីបសម្រាប់ដាក់ពង្រាយតាមរយៈ gitlab ។ រូបភាព docker-in-docker (dind) នឹងត្រូវបានប្រើ។

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

ខ្លឹមសារនៃស្គ្រីបដាក់ពង្រាយជាមួយមតិយោបល់៖

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

បញ្ហាចម្បងគឺ "ទាញចេញ" មាតិកានៃវិញ្ញាបនបត្រក្នុងទម្រង់ធម្មតាពីអថេរ gitlab CI / CD ។ ខ្ញុំមិនអាចយល់បានថាហេតុអ្វីបានជាការភ្ជាប់ទៅម៉ាស៊ីនពីចម្ងាយមិនដំណើរការ។ ខ្ញុំបានក្រឡេកមើល sudo journalctl -u docker log នៅលើម៉ាស៊ីន មានកំហុសជាមួយនឹងការចាប់ដៃ។ ខ្ញុំបានសម្រេចចិត្តរកមើលអ្វីដែលជាទូទៅត្រូវបានរក្សាទុកក្នុងអថេរ សម្រាប់ការនេះ អ្នកអាចឃើញឆ្មា -A $DOCKER_CERT_PATH/key.pem។ យកឈ្នះលើកំហុសដោយបន្ថែមការដកតួអក្សរ tr -d 'r' ចេញ។

លើសពីនេះ អ្នកអាចបន្ថែមកិច្ចការក្រោយការចេញផ្សាយទៅស្គ្រីបតាមការសំរេចចិត្តរបស់អ្នក។ អ្នកអាចពិនិត្យមើលកំណែដែលកំពុងដំណើរការនៅក្នុងឃ្លាំងរបស់ខ្ញុំ https://gitlab.com/isqad/gitlab-ci-cd

ប្រភព: www.habr.com