🥇ກຳນົດຄ່າ CD ຜ່ານ gitlab

ເມື່ອຂ້ອຍຄິດກ່ຽວກັບການເຮັດໃຫ້ໂຄງການຂອງຂ້ອຍມີອັດຕະໂນມັດ. gitlab.com ໃຫ້ເຄື່ອງມືທັງຫມົດສໍາລັບການນີ້ດ້ວຍຄວາມເມດຕາ, ແລະແນ່ນອນຂ້ອຍໄດ້ຕັດສິນໃຈທີ່ຈະໃຊ້ປະໂຫຍດຈາກມັນ, ຄິດໄລ່ມັນອອກແລະຂຽນ script ຂະຫນາດນ້ອຍ. ໃນບົດຄວາມນີ້ຂ້າພະເຈົ້າແບ່ງປັນປະສົບການຂອງຂ້າພະເຈົ້າກັບຊຸມຊົນ.

TL; DR

ຕັ້ງຄ່າ VPS: ປິດການໃຊ້ງານຮາກ, ເຂົ້າສູ່ລະບົບດ້ວຍລະຫັດຜ່ານ, ຕິດຕັ້ງ dockerd, ຕັ້ງຄ່າ ufw
ສ້າງໃບຢັ້ງຢືນສໍາລັບເຄື່ອງແມ່ຂ່າຍແລະລູກຄ້າ docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ເປີດໃຊ້ການຄວບຄຸມ dockerd ຜ່ານຊ່ອງສຽບ tcp: ເອົາຕົວເລືອກ -H fd:// ອອກຈາກການຕັ້ງຄ່າ docker.
ລົງທະບຽນເສັ້ນທາງໄປຫາໃບຢັ້ງຢືນໃນ docker.json
ລົງທະບຽນຢູ່ໃນຕົວແປ gitlab ໃນການຕັ້ງຄ່າ CI/CD ທີ່ມີເນື້ອໃນຂອງໃບຢັ້ງຢືນ. ຂຽນສະຄຣິບ .gitlab-ci.yml ເພື່ອນຳໃຊ້.

ຂ້ອຍຈະສະແດງຕົວຢ່າງທັງຫມົດກ່ຽວກັບການແຈກຢາຍ Debian.

ການຕິດຕັ້ງ VPS ເບື້ອງຕົ້ນ

ດັ່ງນັ້ນ, ທ່ານໄດ້ຊື້ຕົວຢ່າງສໍາລັບຕົວຢ່າງທີ່ DO, ສິ່ງທໍາອິດທີ່ທ່ານຈໍາເປັນຕ້ອງເຮັດແມ່ນປົກປ້ອງເຄື່ອງແມ່ຂ່າຍຂອງທ່ານຈາກໂລກພາຍນອກທີ່ຮຸກຮານ. ຂ້ອຍຈະບໍ່ພິສູດຫຼືຢືນຢັນຫຍັງ, ຂ້ອຍພຽງແຕ່ຈະສະແດງບັນທຶກ /var/log/messages ຂອງເຄື່ອງແມ່ຂ່າຍ virtual ຂອງຂ້ອຍ:

ພາບ ໜ້າ ຈໍ

ກ່ອນອື່ນ ໝົດ, ຕິດຕັ້ງ ufw firewall:

apt-get update && apt-get install ufw

ມາເປີດການນຳໃຊ້ນະໂຍບາຍເລີ່ມຕົ້ນ: ບລັອກການເຊື່ອມຕໍ່ຂາເຂົ້າທັງໝົດ, ອະນຸຍາດການເຊື່ອມຕໍ່ຂາອອກທັງໝົດ:

ufw default deny incoming
ufw default allow outgoing

ສິ່ງສໍາຄັນ: ຢ່າລືມອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ຜ່ານ ssh:

ufw allow OpenSSH

syntax ທົ່ວໄປມີດັ່ງນີ້: ອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ໂດຍພອດ: ufw ອະນຸຍາດໃຫ້ 12345, ບ່ອນທີ່ 12345 ແມ່ນຕົວເລກພອດຫຼືຊື່ຂອງບໍລິການ. ປະຕິເສດ: ufw ປະຕິເສດ 12345

ເປີດໄຟວໍ:

ufw enable

ພວກເຮົາອອກຈາກກອງປະຊຸມແລະເຂົ້າສູ່ລະບົບອີກເທື່ອຫນຶ່ງຜ່ານ ssh.

ເພີ່ມຜູ້ໃຊ້, ມອບລະຫັດຜ່ານໃຫ້ລາວ, ແລະເພີ່ມລາວເຂົ້າໄປໃນກຸ່ມ sudo.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

ຕໍ່ໄປ, ອີງຕາມແຜນການ, ທ່ານຄວນປິດການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານ. ເພື່ອເຮັດສິ່ງນີ້, ຄັດລອກລະຫັດ ssh ຂອງທ່ານໃສ່ເຄື່ອງແມ່ຂ່າຍ:

ssh-copy-id [email protected]

ip ເຊີບເວີຕ້ອງເປັນຂອງເຈົ້າ. ຕອນນີ້ພະຍາຍາມເຂົ້າສູ່ລະບົບໂດຍໃຊ້ຜູ້ໃຊ້ທີ່ທ່ານສ້າງກ່ອນຫນ້ານີ້; ທ່ານບໍ່ຈໍາເປັນຕ້ອງໃສ່ລະຫັດຜ່ານອີກຕໍ່ໄປ. ຕໍ່ໄປ, ໃນການຕັ້ງຄ່າການຕັ້ງຄ່າ, ປ່ຽນສິ່ງຕໍ່ໄປນີ້:

sudo nano /etc/ssh/sshd_config

ປິດການເຂົ້າສູ່ລະບົບລະຫັດຜ່ານ:

PasswordAuthentication no

ຣີສະຕາດ sshd daemon:

sudo systemctl reload sshd

ໃນປັດຈຸບັນຖ້າຫາກວ່າທ່ານຫຼືຄົນອື່ນພະຍາຍາມເຂົ້າສູ່ລະບົບເປັນຜູ້ໃຊ້ຮາກ, ມັນຈະບໍ່ເຮັດວຽກ.

ຕໍ່ໄປ, ຕິດຕັ້ງ dockerd, ຂ້ອຍຈະບໍ່ອະທິບາຍຂະບວນການຢູ່ທີ່ນີ້, ເພາະວ່າທຸກສິ່ງທຸກຢ່າງສາມາດປ່ຽນແປງໄດ້, ປະຕິບັດຕາມການເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ທາງການແລະຜ່ານຂັ້ນຕອນຂອງການຕິດຕັ້ງ docker ໃນເຄື່ອງ virtual ຂອງທ່ານ: https://docs.docker.com/install/linux/docker-ce/debian/

ການສ້າງໃບຢັ້ງຢືນ

ເພື່ອຄວບຄຸມ docker daemon ຈາກໄລຍະໄກ, ຈໍາເປັນຕ້ອງມີການເຊື່ອມຕໍ່ TLS ທີ່ເຂົ້າລະຫັດໄວ້. ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງມີໃບຢັ້ງຢືນແລະກະແຈ, ເຊິ່ງຕ້ອງຖືກສ້າງແລະໂອນໄປຫາເຄື່ອງຫ່າງໄກສອກຫຼີກ. ປະຕິບັດຕາມຂັ້ນຕອນທີ່ໄດ້ລະບຸໄວ້ໃນຄໍາແນະນໍາຢູ່ໃນເວັບໄຊທ໌ docker ຢ່າງເປັນທາງການ: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ໄຟລ໌ *.pem ທີ່ສ້າງຂຶ້ນທັງໝົດສໍາລັບເຊີບເວີ, ຄື ca.pem, server.pem, key.pem, ຈະຕ້ອງຖືກວາງໄວ້ໃນລະບົບ /etc/docker ໃນເຊີບເວີ.

ຕັ້ງຄ່າ dockerd

ໃນສະຄຣິບເປີດ docker daemon, ພວກເຮົາເອົາຕົວເລືອກ -H df://, ຕົວເລືອກນີ້ກໍານົດວ່າ host docker daemon ສາມາດຄວບຄຸມໄດ້.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

ຕໍ່ໄປ, ທ່ານຄວນສ້າງໄຟລ໌ການຕັ້ງຄ່າ, ຖ້າມັນບໍ່ມີຢູ່ແລ້ວ, ແລະລະບຸທາງເລືອກ:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

ອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ໃນພອດ 2376:

sudo ufw allow 2376

ມາຣີສະຕາດ dockerd ດ້ວຍການຕັ້ງຄ່າໃໝ່:

sudo systemctl daemon-reload && sudo systemctl restart docker

ໃຫ້ກວດເບິ່ງ:

sudo systemctl status docker

ຖ້າທຸກສິ່ງທຸກຢ່າງແມ່ນ "ສີຂຽວ", ພວກເຮົາພິຈາລະນາວ່າພວກເຮົາໄດ້ຕັ້ງຄ່າ docker ສົບຜົນສໍາເລັດໃນເຄື່ອງແມ່ຂ່າຍ.

ຕັ້ງຄ່າການຈັດສົ່ງຢ່າງຕໍ່ເນື່ອງໃນ gitlab

ເພື່ອໃຫ້ພະນັກງານ Gitalaba ສາມາດປະຕິບັດຄໍາສັ່ງຢູ່ໃນໂຮດ Docker ຫ່າງໄກສອກຫຼີກ, ມັນຈໍາເປັນຕ້ອງຕັດສິນໃຈວິທີການແລະບ່ອນທີ່ຈະເກັບໃບຢັ້ງຢືນແລະກຸນແຈສໍາລັບການເຊື່ອມຕໍ່ທີ່ຖືກເຂົ້າລະຫັດກັບ Dockerd. ຂ້ອຍແກ້ໄຂບັນຫານີ້ໂດຍພຽງແຕ່ເພີ່ມສິ່ງຕໍ່ໄປນີ້ໃສ່ຕົວແປໃນການຕັ້ງຄ່າ gitlbab:

ຊື່ Spoiler

ພຽງແຕ່ອອກເນື້ອໃນຂອງໃບຢັ້ງຢືນແລະລະຫັດຜ່ານ cat: cat ca.pem. ຄັດລອກແລະວາງລົງໃນຄ່າຕົວແປ.

ມາຂຽນສະຄຣິບເພື່ອນຳໃຊ້ຜ່ານ GitLab. ຮູບພາບ docker-in-docker (dind) ຈະຖືກນໍາໃຊ້.

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

ເນື້ອໃນຂອງສະຄຣິບນຳໃຊ້ກັບຄຳເຫັນ:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

ບັນຫາຕົ້ນຕໍແມ່ນການ "ດຶງ" ເນື້ອໃນຂອງໃບຢັ້ງຢືນໃນຮູບແບບປົກກະຕິຈາກຕົວແປ gitlab CI / CD. ຂ້ອຍບໍ່ສາມາດຄິດໄດ້ວ່າເປັນຫຍັງການເຊື່ອມຕໍ່ກັບແມ່ຂ່າຍທາງໄກຈຶ່ງບໍ່ເຮັດວຽກ. ກ່ຽວກັບເຈົ້າພາບຂ້າພະເຈົ້າໄດ້ເບິ່ງ log sudo journalctl -u docker, ມີຂໍ້ຜິດພາດໃນລະຫວ່າງການຈັບມື. ຂ້ອຍຕັດສິນໃຈເບິ່ງສິ່ງທີ່ຖືກເກັບໄວ້ໂດຍທົ່ວໄປໃນຕົວແປ; ເພື່ອເຮັດສິ່ງນີ້, ທ່ານສາມາດເບິ່ງແບບນີ້: cat -A $DOCKER_CERT_PATH/key.pem. ຂ້າພະເຈົ້າໄດ້ເອົາຊະນະຄວາມຜິດພາດໂດຍການເພີ່ມການໂຍກຍ້າຍຂອງຕົວອັກສອນ carriage tr -d 'r'.

ຕໍ່ໄປ, ທ່ານສາມາດເພີ່ມວຽກງານຫຼັງການປ່ອຍຕົວໃຫ້ກັບສະຄຣິບຕາມການຕັດສິນໃຈຂອງທ່ານ. ທ່ານສາມາດເບິ່ງສະບັບທີ່ເຮັດວຽກຢູ່ໃນບ່ອນເກັບມ້ຽນຂອງຂ້ອຍ https://gitlab.com/isqad/gitlab-ci-cd

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ການຕັ້ງຄ່າ CD ຜ່ານ gitlab

TL; DR

ການຕິດຕັ້ງ VPS ເບື້ອງຕົ້ນ

ການສ້າງໃບຢັ້ງຢືນ

ຕັ້ງຄ່າ dockerd

ຕັ້ງຄ່າການຈັດສົ່ງຢ່າງຕໍ່ເນື່ອງໃນ gitlab

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ