गिटलॅबद्वारे सीडी सेट करत आहे

मी एकदा माझ्या प्रकल्पाची तैनाती स्वयंचलित करण्याचा विचार केला. gitlab.com दयाळूपणे यासाठी सर्व साधने प्रदान करते, आणि अर्थातच मी त्याचा फायदा घेण्याचे ठरवले, ते शोधून काढले आणि एक छोटी डिप्लॉयमेंट स्क्रिप्ट लिहिली. या लेखात मी माझा अनुभव समुदायाशी शेअर केला आहे.

TL; डॉ

1. VPS सेट करा: रूट अक्षम करा, पासवर्डसह लॉग इन करा, डॉकर्ड स्थापित करा, ufw कॉन्फिगर करा
2. सर्व्हर आणि क्लायंटसाठी प्रमाणपत्रे व्युत्पन्न करा docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp सॉकेटद्वारे डॉकर्ड नियंत्रण सक्षम करा: डॉकर कॉन्फिगरेशनमधून -H fd:// पर्याय काढा.
3. docker.json मध्ये प्रमाणपत्रांसाठी पथ नोंदणी करा
4. प्रमाणपत्रांच्या सामग्रीसह CI/CD सेटिंग्जमध्ये गिटलॅब व्हेरिएबल्समध्ये नोंदणी करा. उपयोजनासाठी स्क्रिप्ट .gitlab-ci.yml लिहा.

मी डेबियन वितरणावरील सर्व उदाहरणे दाखवतो.

प्रारंभिक VPS सेटअप

तर तुम्ही येथे उदाहरणार्थ एक उदाहरण विकत घेतले DO, तुम्हाला पहिली गोष्ट करायची आहे ती म्हणजे तुमच्या सर्व्हरला आक्रमक बाहेरील जगापासून संरक्षित करणे. मी काहीही सिद्ध करणार नाही किंवा ठामपणे सांगणार नाही, मी फक्त माझ्या व्हर्च्युअल सर्व्हरचे लॉग /var/log/messages दाखवीन:

स्क्रीनशॉट

प्रथम, ufw फायरवॉल स्थापित करा:

apt-get update && apt-get install ufw

चला डीफॉल्ट धोरण सक्षम करू: सर्व येणारे कनेक्शन अवरोधित करा, सर्व आउटगोइंग कनेक्शनला परवानगी द्या:

ufw default deny incoming
ufw default allow outgoing

महत्त्वाचे: ssh द्वारे कनेक्शनला परवानगी देण्यास विसरू नका:

ufw allow OpenSSH

सामान्य वाक्यरचना खालीलप्रमाणे आहे: पोर्टद्वारे कनेक्शनला अनुमती द्या: ufw अनुमती द्या 12345, जेथे 12345 हा पोर्ट क्रमांक किंवा सेवेचे नाव आहे. नकार द्या: ufw 12345 नाकारणे

फायरवॉल चालू करा:

ufw enable

आम्ही सत्रातून बाहेर पडतो आणि ssh द्वारे पुन्हा लॉग इन करतो.

वापरकर्ता जोडा, त्याला पासवर्ड द्या आणि त्याला sudo गटात जोडा.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

पुढे, योजनेनुसार, आपण पासवर्ड लॉगिन अक्षम केले पाहिजे. हे करण्यासाठी, सर्व्हरवर तुमची ssh की कॉपी करा:

ssh-copy-id [email protected]

सर्व्हर आयपी तुमचा असणे आवश्यक आहे. आता तुम्ही पूर्वी तयार केलेला वापरकर्ता वापरून लॉग इन करण्याचा प्रयत्न करा; तुम्हाला आता पासवर्ड टाकण्याची गरज नाही. पुढे, कॉन्फिगरेशन सेटिंग्जमध्ये, खालील बदला:

sudo nano /etc/ssh/sshd_config

पासवर्ड लॉगिन अक्षम करा:

PasswordAuthentication no

sshd डिमन रीस्टार्ट करा:

sudo systemctl reload sshd

आता जर तुम्ही किंवा इतर कोणी रूट वापरकर्ता म्हणून लॉग इन करण्याचा प्रयत्न केला तर ते कार्य करणार नाही.

पुढे, डॉकर्ड स्थापित करा, मी येथे प्रक्रियेचे वर्णन करणार नाही, कारण सर्वकाही आधीच बदलले जाऊ शकते, अधिकृत वेबसाइटच्या दुव्याचे अनुसरण करा आणि आपल्या व्हर्च्युअल मशीनवर डॉकर स्थापित करण्याच्या चरणांवर जा: https://docs.docker.com/install/linux/docker-ce/debian/

प्रमाणपत्रे तयार करणे

डॉकर डिमन दूरस्थपणे नियंत्रित करण्यासाठी, एनक्रिप्टेड TLS कनेक्शन आवश्यक आहे. हे करण्यासाठी, आपल्याकडे एक प्रमाणपत्र आणि एक की असणे आवश्यक आहे, जे आपल्या रिमोट मशीनवर व्युत्पन्न आणि हस्तांतरित केले जाणे आवश्यक आहे. अधिकृत डॉकर वेबसाइटवरील सूचनांमध्ये दिलेल्या चरणांचे अनुसरण करा: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl सर्व्हरसाठी सर्व व्युत्पन्न केलेल्या *.pem फाइल्स, जसे की ca.pem, server.pem, key.pem, सर्व्हरवरील /etc/docker निर्देशिकेत ठेवल्या पाहिजेत.

डॉकर्ड सेट करत आहे

डॉकर डिमन लाँच स्क्रिप्टमध्ये, आम्ही -H df:// पर्याय काढून टाकतो, हा पर्याय डॉकर डिमन कोणत्या होस्टवर नियंत्रित केला जाऊ शकतो हे निर्धारित करतो.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

पुढे, आपण सेटिंग्ज फाइल तयार केली पाहिजे, जर ती आधीपासून अस्तित्वात नसेल आणि पर्याय निर्दिष्ट करा:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

चला पोर्ट 2376 वर कनेक्शनला परवानगी देऊया:

sudo ufw allow 2376

नवीन सेटिंग्जसह डॉकर्ड रीस्टार्ट करूया:

sudo systemctl daemon-reload && sudo systemctl restart docker

चला तपासूया:

sudo systemctl status docker

जर सर्व काही "हिरवे" असेल, तर आम्ही विचार करतो की आम्ही सर्व्हरवर डॉकर यशस्वीरित्या कॉन्फिगर केले आहे.

gitlab वर सतत डिलिव्हरी सेट करणे

रिमोट डॉकर होस्टवर गितालाबा कार्यकर्ता आदेश कार्यान्वित करण्यास सक्षम होण्यासाठी, डॉकर्डसह एन्क्रिप्टेड कनेक्शनसाठी प्रमाणपत्रे आणि की कशी आणि कुठे संग्रहित करायची हे ठरवणे आवश्यक आहे. मी gitlbab सेटिंग्जमधील व्हेरिएबल्समध्ये फक्त खालील गोष्टी जोडून ही समस्या सोडवली:

स्पॉयलर शीर्षक

फक्त प्रमाणपत्रांची सामग्री आणि मांजरीद्वारे की आउटपुट करा: cat ca.pem. व्हेरिएबल व्हॅल्यूजमध्ये कॉपी आणि पेस्ट करा.

GitLab द्वारे उपयोजनासाठी स्क्रिप्ट लिहू. डॉकर-इन-डॉकर (डिंड) प्रतिमा वापरली जाईल.

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

उपयोजन स्क्रिप्टची सामग्री टिप्पण्यांसह:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

सर्टिफिकेटची सामग्री गिटलॅब सीआय/सीडी व्हेरिएबल्समधून सामान्य स्वरूपात "पुल" करणे ही मुख्य समस्या होती. रिमोट होस्टचे कनेक्शन का काम करत नाही हे मला समजू शकले नाही. होस्टवर मी लॉग sudo journalctl -u डॉकर पाहिला, हँडशेक दरम्यान एक त्रुटी आली. व्हेरिएबल्समध्ये साधारणपणे काय साठवले जाते ते पाहण्याचे मी ठरवले; हे करण्यासाठी, तुम्ही असे दिसू शकता: cat -A $DOCKER_CERT_PATH/key.pem. मी कॅरेज वर्ण tr -d 'r' काढून टाकून त्रुटीवर मात केली.

पुढे, तुम्ही तुमच्या विवेकबुद्धीनुसार स्क्रिप्टमध्ये पोस्ट-रिलीझ कार्ये जोडू शकता. तुम्ही माझ्या भांडारात कार्यरत आवृत्ती पाहू शकता https://gitlab.com/isqad/gitlab-ci-cd

स्त्रोत: www.habr.com