ഗിറ്റ്‌ലാബ് വഴി സിഡി സജ്ജീകരിക്കുന്നു

എന്റെ പ്രോജക്റ്റിന്റെ വിന്യാസം ഓട്ടോമേറ്റ് ചെയ്യുന്നതിനെക്കുറിച്ച് ഞാൻ ഒരിക്കൽ ചിന്തിച്ചു. gitlab.com ഇതിനുള്ള എല്ലാ ഉപകരണങ്ങളും ദയയോടെ നൽകുന്നു, തീർച്ചയായും ഞാൻ അത് പ്രയോജനപ്പെടുത്താൻ തീരുമാനിച്ചു, അത് കണ്ടെത്തി ഒരു ചെറിയ വിന്യാസ സ്ക്രിപ്റ്റ് എഴുതുക. ഈ ലേഖനത്തിൽ ഞാൻ സമൂഹവുമായി എന്റെ അനുഭവം പങ്കിടുന്നു.

അച്ചു ഡി.ആർ.

1. VPS സജ്ജീകരിക്കുക: റൂട്ട് പ്രവർത്തനരഹിതമാക്കുക, പാസ്‌വേഡ് ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുക, ഡോക്കർഡ് ഇൻസ്റ്റാൾ ചെയ്യുക, ufw കോൺഫിഗർ ചെയ്യുക
2. സെർവറിനും ക്ലയന്റിനുമായി സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കുക docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp സോക്കറ്റ് വഴി ഡോക്കർഡ് നിയന്ത്രണം പ്രവർത്തനക്ഷമമാക്കുക: ഡോക്കർ കോൺഫിഗറിൽ നിന്ന് -H fd:// ഓപ്ഷൻ നീക്കം ചെയ്യുക.
3. docker.json-ൽ സർട്ടിഫിക്കറ്റുകളിലേക്കുള്ള പാതകൾ രജിസ്റ്റർ ചെയ്യുക
4. സർട്ടിഫിക്കറ്റുകളുടെ ഉള്ളടക്കങ്ങൾക്കൊപ്പം CI/CD ക്രമീകരണങ്ങളിൽ gitlab വേരിയബിളുകളിൽ രജിസ്റ്റർ ചെയ്യുക. വിന്യാസത്തിനായി ഒരു സ്ക്രിപ്റ്റ് .gitlab-ci.yml എഴുതുക.

ഡെബിയൻ വിതരണത്തിലെ എല്ലാ ഉദാഹരണങ്ങളും ഞാൻ കാണിക്കും.

പ്രാരംഭ VPS സജ്ജീകരണം

അതിനാൽ നിങ്ങൾ ഒരു ഉദാഹരണം വാങ്ങി DO, നിങ്ങൾ ആദ്യം ചെയ്യേണ്ടത് നിങ്ങളുടെ സെർവറിനെ ആക്രമണാത്മക പുറം ലോകത്തിൽ നിന്ന് സംരക്ഷിക്കുക എന്നതാണ്. ഞാൻ ഒന്നും തെളിയിക്കുകയോ ഉറപ്പിക്കുകയോ ചെയ്യില്ല, എന്റെ വെർച്വൽ സെർവറിന്റെ ലോഗ് /var/log/messages ഞാൻ കാണിക്കും:

സ്ക്രീൻഷോട്ട്

ആദ്യം, ufw ഫയർവാൾ ഇൻസ്റ്റാൾ ചെയ്യുക:

apt-get update && apt-get install ufw

നമുക്ക് സ്ഥിരസ്ഥിതി നയം പ്രവർത്തനക്ഷമമാക്കാം: എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളും തടയുക, എല്ലാ ഔട്ട്‌ഗോയിംഗ് കണക്ഷനുകളും അനുവദിക്കുക:

ufw default deny incoming
ufw default allow outgoing

പ്രധാനം: ssh വഴിയുള്ള കണക്ഷൻ അനുവദിക്കാൻ മറക്കരുത്:

ufw allow OpenSSH

പൊതുവായ വാക്യഘടന ഇപ്രകാരമാണ്: പോർട്ട് വഴി ഒരു കണക്ഷൻ അനുവദിക്കുക: ufw 12345 അനുവദിക്കുക, ഇവിടെ 12345 എന്നത് പോർട്ട് നമ്പറോ സേവനത്തിന്റെ പേരോ ആണ്. നിരസിക്കുക: ufw നിഷേധിക്കുക 12345

ഫയർവാൾ ഓണാക്കുക:

ufw enable

ഞങ്ങൾ സെഷനിൽ നിന്ന് പുറത്തുകടന്ന് ssh വഴി വീണ്ടും ലോഗിൻ ചെയ്യുന്നു.

ഒരു ഉപയോക്താവിനെ ചേർക്കുക, അയാൾക്ക് ഒരു പാസ്‌വേഡ് നൽകുക, അവനെ സുഡോ ഗ്രൂപ്പിലേക്ക് ചേർക്കുക.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

അടുത്തതായി, പ്ലാൻ അനുസരിച്ച്, നിങ്ങൾ പാസ്വേഡ് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കണം. ഇത് ചെയ്യുന്നതിന്, നിങ്ങളുടെ ssh കീ സെർവറിലേക്ക് പകർത്തുക:

ssh-copy-id [email protected]

സെർവർ ഐപി നിങ്ങളുടേതായിരിക്കണം. ഇപ്പോൾ നിങ്ങൾ നേരത്തെ സൃഷ്ടിച്ച ഉപയോക്താവിനെ ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യാൻ ശ്രമിക്കുക; നിങ്ങൾ ഇനി ഒരു പാസ്‌വേഡ് നൽകേണ്ടതില്ല. അടുത്തതായി, കോൺഫിഗറേഷൻ ക്രമീകരണങ്ങളിൽ, ഇനിപ്പറയുന്നവ മാറ്റുക:

sudo nano /etc/ssh/sshd_config

പാസ്‌വേഡ് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുക:

PasswordAuthentication no

sshd ഡെമൺ പുനരാരംഭിക്കുക:

sudo systemctl reload sshd

ഇപ്പോൾ നിങ്ങളോ മറ്റാരെങ്കിലുമോ റൂട്ട് ഉപയോക്താവായി ലോഗിൻ ചെയ്യാൻ ശ്രമിച്ചാൽ, അത് പ്രവർത്തിക്കില്ല.

അടുത്തതായി, ഡോക്കർഡ് ഇൻസ്റ്റാൾ ചെയ്യുക, ഞാൻ ഇവിടെ പ്രക്രിയ വിവരിക്കുന്നില്ല, കാരണം എല്ലാം ഇതിനകം മാറ്റാൻ കഴിയും, ഔദ്യോഗിക വെബ്സൈറ്റിലേക്കുള്ള ലിങ്ക് പിന്തുടരുക, നിങ്ങളുടെ വെർച്വൽ മെഷീനിൽ ഡോക്കർ ഇൻസ്റ്റാൾ ചെയ്യുന്ന ഘട്ടങ്ങളിലൂടെ പോകുക: https://docs.docker.com/install/linux/docker-ce/debian/

സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കുന്നു

ഡോക്കർ ഡെമൺ വിദൂരമായി നിയന്ത്രിക്കുന്നതിന്, ഒരു എൻക്രിപ്റ്റ് ചെയ്ത TLS കണക്ഷൻ ആവശ്യമാണ്. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റും ഒരു കീയും ഉണ്ടായിരിക്കണം, അത് ജനറേറ്റ് ചെയ്യുകയും നിങ്ങളുടെ റിമോട്ട് മെഷീനിലേക്ക് മാറ്റുകയും വേണം. ഔദ്യോഗിക ഡോക്കർ വെബ്സൈറ്റിലെ നിർദ്ദേശങ്ങളിൽ നൽകിയിരിക്കുന്ന ഘട്ടങ്ങൾ പാലിക്കുക: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl സെർവറിനായി സൃഷ്‌ടിച്ച എല്ലാ *.pem ഫയലുകളും, അതായത് ca.pem, server.pem, key.pem, സെർവറിലെ /etc/docker ഡയറക്‌ടറിയിൽ സ്ഥാപിക്കണം.

ഡോക്കർഡ് സജ്ജീകരിക്കുന്നു

ഡോക്കർ ഡെമൺ ലോഞ്ച് സ്ക്രിപ്റ്റിൽ, ഞങ്ങൾ -H df:// ഓപ്‌ഷൻ നീക്കം ചെയ്യുന്നു, ഏത് ഹോസ്റ്റിലാണ് ഡോക്കർ ഡെമൺ നിയന്ത്രിക്കാൻ കഴിയുകയെന്ന് ഈ ഓപ്ഷൻ നിർണ്ണയിക്കുന്നു.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

അടുത്തതായി, നിങ്ങൾ ഒരു ക്രമീകരണ ഫയൽ സൃഷ്ടിക്കണം, അത് നിലവിലില്ലെങ്കിൽ, ഓപ്ഷനുകൾ വ്യക്തമാക്കുക:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

പോർട്ട് 2376-ൽ കണക്ഷനുകൾ അനുവദിക്കാം:

sudo ufw allow 2376

പുതിയ ക്രമീകരണങ്ങൾ ഉപയോഗിച്ച് ഡോക്കർഡ് പുനരാരംഭിക്കാം:

sudo systemctl daemon-reload && sudo systemctl restart docker

നമുക്ക് പരിശോധിക്കാം:

sudo systemctl status docker

എല്ലാം "പച്ച" ആണെങ്കിൽ, ഞങ്ങൾ സെർവറിൽ ഡോക്കർ വിജയകരമായി ക്രമീകരിച്ചതായി ഞങ്ങൾ കരുതുന്നു.

ഗിറ്റ്‌ലാബിൽ തുടർച്ചയായ ഡെലിവറി സജ്ജീകരിക്കുന്നു

ഒരു റിമോട്ട് ഡോക്കർ ഹോസ്റ്റിൽ കമാൻഡുകൾ എക്സിക്യൂട്ട് ചെയ്യാൻ Gitalaba തൊഴിലാളിക്ക് കഴിയണമെങ്കിൽ, ഡോക്കർഡുമായുള്ള എൻക്രിപ്റ്റ് ചെയ്ത കണക്ഷനുള്ള സർട്ടിഫിക്കറ്റുകളും കീയും എങ്ങനെ, എവിടെ സൂക്ഷിക്കണമെന്ന് തീരുമാനിക്കേണ്ടത് ആവശ്യമാണ്. gitlbab ക്രമീകരണങ്ങളിലെ വേരിയബിളുകളിലേക്ക് ഇനിപ്പറയുന്നവ ചേർത്തുകൊണ്ട് ഞാൻ ഈ പ്രശ്നം പരിഹരിച്ചു:

സ്‌പോയിലർ ശീർഷകം

സർട്ടിഫിക്കറ്റുകളുടെയും കീയുടെയും ഉള്ളടക്കം പൂച്ച വഴി ഔട്ട്പുട്ട് ചെയ്യുക: cat ca.pem. വേരിയബിൾ മൂല്യങ്ങളിലേക്ക് പകർത്തി ഒട്ടിക്കുക.

GitLab വഴി വിന്യാസത്തിനായി ഒരു സ്ക്രിപ്റ്റ് എഴുതാം. ഡോക്കർ-ഇൻ-ഡോക്കർ (ഡിൻഡ്) ചിത്രം ഉപയോഗിക്കും.

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

അഭിപ്രായങ്ങളുള്ള വിന്യാസ സ്‌ക്രിപ്റ്റിന്റെ ഉള്ളടക്കം:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

ഗിറ്റ്‌ലാബ് CI/CD വേരിയബിളുകളിൽ നിന്ന് സർട്ടിഫിക്കറ്റുകളുടെ ഉള്ളടക്കങ്ങൾ സാധാരണ രൂപത്തിൽ "വലിക്കുക" എന്നതായിരുന്നു പ്രധാന പ്രശ്നം. റിമോട്ട് ഹോസ്റ്റിലേക്കുള്ള കണക്ഷൻ പ്രവർത്തിക്കാത്തത് എന്തുകൊണ്ടാണെന്ന് എനിക്ക് കണ്ടെത്താനായില്ല. ഹോസ്റ്റിൽ ഞാൻ log sudo journalctl -u docker നോക്കി, ഹാൻ‌ഡ്‌ഷെക്കിൽ ഒരു പിശക് സംഭവിച്ചു. വേരിയബിളുകളിൽ പൊതുവെ എന്താണ് സംഭരിച്ചിരിക്കുന്നതെന്ന് നോക്കാൻ ഞാൻ തീരുമാനിച്ചു; ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് ഇതുപോലെ കാണാവുന്നതാണ്: cat -A $DOCKER_CERT_PATH/key.pem. വണ്ടിയുടെ പ്രതീകമായ tr -d 'r' നീക്കം ചെയ്‌ത് ഞാൻ പിശക് മറികടന്നു.

അടുത്തതായി, നിങ്ങളുടെ വിവേചനാധികാരത്തിൽ സ്ക്രിപ്റ്റിലേക്ക് പോസ്റ്റ്-റിലീസ് ടാസ്ക്കുകൾ ചേർക്കാവുന്നതാണ്. നിങ്ങൾക്ക് എന്റെ ശേഖരത്തിൽ പ്രവർത്തിക്കുന്ന പതിപ്പ് കാണാൻ കഴിയും https://gitlab.com/isqad/gitlab-ci-cd

അവലംബം: www.habr.com