ನನ್ನ ಯೋಜನೆಯ ನಿಯೋಜನೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುವ ಬಗ್ಗೆ ನಾನು ಒಮ್ಮೆ ಯೋಚಿಸಿದೆ. gitlab.com ಇದಕ್ಕಾಗಿ ಎಲ್ಲಾ ಸಾಧನಗಳನ್ನು ದಯೆಯಿಂದ ಒದಗಿಸುತ್ತದೆ, ಮತ್ತು ಸಹಜವಾಗಿ ನಾನು ಅದರ ಲಾಭವನ್ನು ಪಡೆಯಲು ನಿರ್ಧರಿಸಿದೆ, ಅದನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಿ ಮತ್ತು ಸಣ್ಣ ನಿಯೋಜನೆ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬರೆಯುತ್ತೇನೆ. ಈ ಲೇಖನದಲ್ಲಿ ನಾನು ನನ್ನ ಅನುಭವವನ್ನು ಸಮುದಾಯದೊಂದಿಗೆ ಹಂಚಿಕೊಳ್ಳುತ್ತೇನೆ.
ಟಿಎಲ್; ಡಿಆರ್
VPS ಅನ್ನು ಹೊಂದಿಸಿ: ರೂಟ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ, ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿ, ಡಾಕರ್ಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ, ufw ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
ನಾನು ಡೆಬಿಯನ್ ವಿತರಣೆಯಲ್ಲಿ ಎಲ್ಲಾ ಉದಾಹರಣೆಗಳನ್ನು ತೋರಿಸುತ್ತೇನೆ.
ಆರಂಭಿಕ VPS ಸೆಟಪ್
ಆದ್ದರಿಂದ ನೀವು ಉದಾಹರಣೆಯನ್ನು ಖರೀದಿಸಿದ್ದೀರಿ DO, ನೀವು ಮಾಡಬೇಕಾದ ಮೊದಲ ವಿಷಯವೆಂದರೆ ಆಕ್ರಮಣಕಾರಿ ಹೊರಗಿನ ಪ್ರಪಂಚದಿಂದ ನಿಮ್ಮ ಸರ್ವರ್ ಅನ್ನು ರಕ್ಷಿಸುವುದು. ನಾನು ಏನನ್ನೂ ಸಾಬೀತುಪಡಿಸುವುದಿಲ್ಲ ಅಥವಾ ಪ್ರತಿಪಾದಿಸುವುದಿಲ್ಲ, ನನ್ನ ವರ್ಚುವಲ್ ಸರ್ವರ್ನ ಲಾಗ್ /var/log/messages ಅನ್ನು ನಾನು ತೋರಿಸುತ್ತೇನೆ:
ಸ್ಕ್ರೀನ್ಶಾಟ್
ಮೊದಲು, ufw ಫೈರ್ವಾಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ:
apt-get update && apt-get install ufw
ಡೀಫಾಲ್ಟ್ ನೀತಿಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸೋಣ: ಎಲ್ಲಾ ಒಳಬರುವ ಸಂಪರ್ಕಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ, ಎಲ್ಲಾ ಹೊರಹೋಗುವ ಸಂಪರ್ಕಗಳನ್ನು ಅನುಮತಿಸಿ:
ಸಾಮಾನ್ಯ ಸಿಂಟ್ಯಾಕ್ಸ್ ಈ ಕೆಳಗಿನಂತಿರುತ್ತದೆ: ಪೋರ್ಟ್ ಮೂಲಕ ಸಂಪರ್ಕವನ್ನು ಅನುಮತಿಸಿ: ufw 12345 ಅನ್ನು ಅನುಮತಿಸಿ, ಅಲ್ಲಿ 12345 ಪೋರ್ಟ್ ಸಂಖ್ಯೆ ಅಥವಾ ಸೇವೆಯ ಹೆಸರು. ನಿರಾಕರಿಸು: ufw ನಿರಾಕರಿಸು 12345
ಫೈರ್ವಾಲ್ ಅನ್ನು ಆನ್ ಮಾಡಿ:
ufw enable
ನಾವು ಅಧಿವೇಶನದಿಂದ ನಿರ್ಗಮಿಸುತ್ತೇವೆ ಮತ್ತು ssh ಮೂಲಕ ಮತ್ತೆ ಲಾಗ್ ಇನ್ ಮಾಡುತ್ತೇವೆ.
ಬಳಕೆದಾರರನ್ನು ಸೇರಿಸಿ, ಅವರಿಗೆ ಪಾಸ್ವರ್ಡ್ ನಿಯೋಜಿಸಿ ಮತ್ತು ಅವರನ್ನು ಸುಡೋ ಗುಂಪಿಗೆ ಸೇರಿಸಿ.
ಸರ್ವರ್ ಐಪಿ ನಿಮ್ಮದೇ ಆಗಿರಬೇಕು. ಈಗ ನೀವು ಮೊದಲು ರಚಿಸಿದ ಬಳಕೆದಾರರನ್ನು ಬಳಸಿಕೊಂಡು ಲಾಗ್ ಇನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿ; ನೀವು ಇನ್ನು ಮುಂದೆ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಅಗತ್ಯವಿಲ್ಲ. ಮುಂದೆ, ಕಾನ್ಫಿಗರೇಶನ್ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ, ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಬದಲಾಯಿಸಿ:
sudo nano /etc/ssh/sshd_config
ಪಾಸ್ವರ್ಡ್ ಲಾಗಿನ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ:
PasswordAuthentication no
sshd ಡೀಮನ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿ:
sudo systemctl reload sshd
ಈಗ ನೀವು ಅಥವಾ ಬೇರೊಬ್ಬರು ರೂಟ್ ಬಳಕೆದಾರರಾಗಿ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರೆ, ಅದು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ.
ಮುಂದೆ, ಡಾಕರ್ಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ, ನಾನು ಪ್ರಕ್ರಿಯೆಯನ್ನು ಇಲ್ಲಿ ವಿವರಿಸುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಎಲ್ಲವನ್ನೂ ಈಗಾಗಲೇ ಬದಲಾಯಿಸಬಹುದು, ಅಧಿಕೃತ ವೆಬ್ಸೈಟ್ಗೆ ಲಿಂಕ್ ಅನ್ನು ಅನುಸರಿಸಿ ಮತ್ತು ನಿಮ್ಮ ವರ್ಚುವಲ್ ಗಣಕದಲ್ಲಿ ಡಾಕರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಹಂತಗಳ ಮೂಲಕ ಹೋಗಿ: https://docs.docker.com/install/linux/docker-ce/debian/
ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ರಚಿಸುವುದು
ಡಾಕರ್ ಡೀಮನ್ ಅನ್ನು ದೂರದಿಂದಲೇ ನಿಯಂತ್ರಿಸಲು, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ TLS ಸಂಪರ್ಕದ ಅಗತ್ಯವಿದೆ. ಇದನ್ನು ಮಾಡಲು, ನೀವು ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಕೀಲಿಯನ್ನು ಹೊಂದಿರಬೇಕು, ಅದನ್ನು ಉತ್ಪಾದಿಸಬೇಕು ಮತ್ತು ನಿಮ್ಮ ರಿಮೋಟ್ ಯಂತ್ರಕ್ಕೆ ವರ್ಗಾಯಿಸಬೇಕು. ಅಧಿಕೃತ ಡಾಕರ್ ವೆಬ್ಸೈಟ್ನಲ್ಲಿನ ಸೂಚನೆಗಳಲ್ಲಿ ನೀಡಲಾದ ಹಂತಗಳನ್ನು ಅನುಸರಿಸಿ: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ಸರ್ವರ್ಗಾಗಿ ರಚಿಸಲಾದ ಎಲ್ಲಾ *.pem ಫೈಲ್ಗಳು, ಅವುಗಳೆಂದರೆ ca.pem, server.pem, key.pem, ಸರ್ವರ್ನಲ್ಲಿರುವ /etc/docker ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಇರಿಸಬೇಕು.
ಡಾಕರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ಡಾಕರ್ ಡೀಮನ್ ಲಾಂಚ್ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ, ನಾವು -H df:// ಆಯ್ಕೆಯನ್ನು ತೆಗೆದುಹಾಕುತ್ತೇವೆ, ಈ ಆಯ್ಕೆಯು ಡಾಕರ್ ಡೀಮನ್ ಅನ್ನು ಯಾವ ಹೋಸ್ಟ್ನಲ್ಲಿ ನಿಯಂತ್ರಿಸಬಹುದು ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ.
# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd
ಮುಂದೆ, ನೀವು ಸೆಟ್ಟಿಂಗ್ಗಳ ಫೈಲ್ ಅನ್ನು ರಚಿಸಬೇಕು, ಅದು ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದಿದ್ದರೆ ಮತ್ತು ಆಯ್ಕೆಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ:
ಎಲ್ಲವೂ "ಹಸಿರು" ಆಗಿದ್ದರೆ, ನಾವು ಸರ್ವರ್ನಲ್ಲಿ ಡಾಕರ್ ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದೇವೆ ಎಂದು ನಾವು ಪರಿಗಣಿಸುತ್ತೇವೆ.
ಗಿಟ್ಲ್ಯಾಬ್ನಲ್ಲಿ ನಿರಂತರ ವಿತರಣೆಯನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ರಿಮೋಟ್ ಡಾಕರ್ ಹೋಸ್ಟ್ನಲ್ಲಿ ಕಮಾಂಡ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಗಿಟಾಲಾಬಾ ಕೆಲಸಗಾರನಿಗೆ ಸಾಧ್ಯವಾಗುತ್ತದೆ, ಡಾಕರ್ಡ್ನೊಂದಿಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂಪರ್ಕಕ್ಕಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಕೀಲಿಯನ್ನು ಹೇಗೆ ಮತ್ತು ಎಲ್ಲಿ ಸಂಗ್ರಹಿಸಬೇಕು ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುವುದು ಅವಶ್ಯಕ. gitlbab ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿನ ವೇರಿಯೇಬಲ್ಗಳಿಗೆ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ನಾನು ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿದೆ:
ಸ್ಪಾಯ್ಲರ್ ಶೀರ್ಷಿಕೆ
ಕ್ಯಾಟ್ ಮೂಲಕ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಕೀಗಳ ವಿಷಯಗಳನ್ನು ಔಟ್ಪುಟ್ ಮಾಡಿ: cat ca.pem. ವೇರಿಯಬಲ್ ಮೌಲ್ಯಗಳಿಗೆ ನಕಲಿಸಿ ಮತ್ತು ಅಂಟಿಸಿ.
GitLab ಮೂಲಕ ನಿಯೋಜನೆಗಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ ಬರೆಯೋಣ. ಡಾಕರ್-ಇನ್-ಡಾಕರ್ (ಡಿಂಡ್) ಚಿತ್ರವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v
#
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker
# проверим, что в контейнере все имеется
docker info
docker-compose version
# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem
# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376
# проверим, что коннектится все успешно
docker-compose
-f $DOCKER_COMPOSE_FILE
ps
# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD
docker-compose
-f $DOCKER_COMPOSE_FILE
pull app
# поднимаем приложение
docker-compose
-f $DOCKER_COMPOSE_FILE
up -d app
ಗಿಟ್ಲ್ಯಾಬ್ CI/CD ವೇರಿಯೇಬಲ್ಗಳಿಂದ ಸಾಮಾನ್ಯ ರೂಪದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳ ವಿಷಯಗಳನ್ನು "ಪುಲ್" ಮಾಡುವುದು ಮುಖ್ಯ ಸಮಸ್ಯೆಯಾಗಿದೆ. ರಿಮೋಟ್ ಹೋಸ್ಟ್ಗೆ ಸಂಪರ್ಕವು ಏಕೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿಲ್ಲ ಎಂದು ನನಗೆ ಕಂಡುಹಿಡಿಯಲಾಗಲಿಲ್ಲ. ಹೋಸ್ಟ್ನಲ್ಲಿ ನಾನು ಲಾಗ್ sudo journalctl -u ಡಾಕರ್ ಅನ್ನು ನೋಡಿದೆ, ಹ್ಯಾಂಡ್ಶೇಕ್ ಸಮಯದಲ್ಲಿ ದೋಷ ಕಂಡುಬಂದಿದೆ. ವೇರಿಯೇಬಲ್ಗಳಲ್ಲಿ ಸಾಮಾನ್ಯವಾಗಿ ಏನನ್ನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೋಡಲು ನಾನು ನಿರ್ಧರಿಸಿದೆ; ಇದನ್ನು ಮಾಡಲು, ನೀವು ಈ ರೀತಿ ಕಾಣಿಸಬಹುದು: cat -A $DOCKER_CERT_PATH/key.pem. ನಾನು ಕ್ಯಾರೇಜ್ ಅಕ್ಷರದ ತೆಗೆದುಹಾಕುವಿಕೆಯನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ದೋಷವನ್ನು ನಿವಾರಿಸಿದೆ tr -d 'r'.
ಮುಂದೆ, ನಿಮ್ಮ ವಿವೇಚನೆಯಿಂದ ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಬಿಡುಗಡೆಯ ನಂತರದ ಕಾರ್ಯಗಳನ್ನು ನೀವು ಸೇರಿಸಬಹುದು. ನನ್ನ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ನೀವು ಕೆಲಸ ಮಾಡುವ ಆವೃತ್ತಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು https://gitlab.com/isqad/gitlab-ci-cd