gitlab မှတဆင့် CD ကိုထည့်သွင်းခြင်း။

ကျွန်ုပ်သည် ကျွန်ုပ်၏ ပရောဂျက်ကို အလိုအလျောက် ဖြန့်ကျက်ရန် စဉ်းစားခဲ့ဖူးသည်။ gitlab.com သည် ဤအရာအတွက် ကိရိယာအားလုံးကို ကြင်နာစွာ ပံ့ပိုးပေးခဲ့ပြီး၊ သေချာသည်မှာ ၎င်းကို အသုံးချရန် ဆုံးဖြတ်လိုက်ပြီး သေးငယ်သော ဖြန့်ကျက်မှု script ကို ရေးသားရန် ဆုံးဖြတ်ခဲ့သည်။ ဤဆောင်းပါးတွင် ကျွန်ုပ်၏အတွေ့အကြုံကို အသိုင်းအဝိုင်းနှင့် မျှဝေပါသည်။

TL; DR

1. VPS စနစ်ထည့်သွင်းခြင်း- root ကိုပိတ်ပါ၊ စကားဝှက်ဖြင့်ဝင်ရောက်ပါ၊ dockerd ကိုထည့်သွင်းပါ၊ ufw ကိုစီစဉ်ပါ။
2. ဆာဗာနှင့် client အတွက် လက်မှတ်များ ဖန်တီးပါ။ docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp socket မှတစ်ဆင့် dockerd ထိန်းချုပ်မှုကို ဖွင့်ပါ- -H fd:// option ကို docker config မှ ဖယ်ရှားပါ။
3. docker.json တွင် လက်မှတ်များသို့ လမ်းကြောင်းများ မှတ်ပုံတင်ပါ။
4. လက်မှတ်များ၏ အကြောင်းအရာများဖြင့် CI/CD ဆက်တင်များတွင် gitlab variable များတွင် မှတ်ပုံတင်ပါ။ ဖြန့်ကျက်မှုအတွက် .gitlab-ci.yml ဇာတ်ညွှန်းရေးပါ။

Debian ဖြန့်ဖြူးမှုတွင် နမူနာအားလုံးကို ကျွန်ုပ်ပြပါမည်။

ကနဦး VPS စနစ်ထည့်သွင်းမှု

ဒီတော့ ဥပမာ သာဓကတစ်ခုကို သင်ဝယ်လိုက်တယ်။ DOပထမဆုံးလုပ်ရမှာက သင့်ဆာဗာကို ပြင်းထန်တဲ့ ပြင်ပကမ္ဘာကနေ ကာကွယ်ဖို့ပါပဲ။ ကျွန်ုပ်သည် မည်သည့်အရာကိုမျှ သက်သေပြမည်မဟုတ်ပါ၊ ကျွန်ုပ်သည် ကျွန်ုပ်၏ virtual server ၏ မှတ်တမ်း /var/log/messages ကို ပြပါမည်။

စခရင်ပုံ

ပထမဦးစွာ ufw firewall ကို install လုပ်ပါ။

apt-get update && apt-get install ufw

မူရင်းမူဝါဒကို ဖွင့်ကြပါစို့- အဝင်ချိတ်ဆက်မှုအားလုံးကို ပိတ်ဆို့ပါ၊ အထွက်ချိတ်ဆက်မှုအားလုံးကို ခွင့်ပြုပါ-

ufw default deny incoming
ufw default allow outgoing

အရေးကြီးသည်- ssh မှတစ်ဆင့် ချိတ်ဆက်မှုကို ခွင့်ပြုရန် မမေ့ပါနှင့်။

ufw allow OpenSSH

ယေဘူယျအထားအသိုမှာ အောက်ပါအတိုင်းဖြစ်သည်- ဆိပ်ကမ်းအလိုက် ချိတ်ဆက်မှုကို ခွင့်ပြုပါ- ufw ခွင့်ပြု 12345၊ 12345 သည် ဆိပ်ကမ်းနံပါတ် သို့မဟုတ် ဝန်ဆောင်မှု၏အမည်ဖြစ်သည်။ Deny: ufw deny 12345

Firewall ကိုဖွင့်ပါ-

ufw enable

ကျွန်ုပ်တို့သည် စက်ရှင်မှထွက်ပြီး ssh မှတစ်ဆင့် ထပ်မံဝင်ရောက်ပါသည်။

အသုံးပြုသူတစ်ဦးကိုထည့်ပါ၊ သူ့အား စကားဝှက်တစ်ခုသတ်မှတ်ပေးပြီး sudo အဖွဲ့သို့ထည့်ပါ။

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

ထို့နောက် အစီအစဉ်အရ၊ သင်သည် စကားဝှက်ဝင်ရောက်ခြင်းကို ပိတ်သင့်သည်။ ဒီလိုလုပ်ဖို့၊ သင့် ssh သော့ကို ဆာဗာသို့ ကူးယူပါ-

ssh-copy-id [email protected]

ဆာဗာ ip သည် သင့်အတွက်ဖြစ်ရမည်။ ယခု သင် အစောပိုင်းက ဖန်တီးထားသည့် အသုံးပြုသူကို အသုံးပြု၍ လော့ဂ်အင်ဝင်ရန် ကြိုးစားပါ၊ သင်သည် စကားဝှက်ထည့်ရန် မလိုအပ်တော့ပါ။ ထို့နောက်၊ ဖွဲ့စည်းမှုဆက်တင်များတွင် အောက်ပါတို့ကို ပြောင်းလဲပါ။

sudo nano /etc/ssh/sshd_config

စကားဝှက်ဝင်ရောက်ခြင်းကိုပိတ်ပါ

PasswordAuthentication no

sshd daemon ကို ပြန်လည်စတင်ပါ။

sudo systemctl reload sshd

ယခု သင် သို့မဟုတ် အခြားတစ်ဦးဦးသည် အမြစ်အသုံးပြုသူအဖြစ် လော့ဂ်အင်ဝင်ရန် ကြိုးစားပါက၊ ၎င်းသည် အလုပ်မဖြစ်ပါ။

ထို့နောက်၊ dockerd ကိုထည့်သွင်းပါ၊ အရာအားလုံးကိုပြောင်းလဲနိုင်နေပြီဖြစ်သောကြောင့်၊ ဤနေရာတွင် dockerd ကိုထည့်သွင်းပါ၊ အဘယ်ကြောင့်ဆိုသော်အရာအားလုံးသည်တရားဝင်ဝဘ်ဆိုဒ်သို့လင့်ခ်ကိုလိုက်နာပြီးသင်၏ virtual machine တွင် docker ကိုထည့်သွင်းခြင်း၏အဆင့်များအတိုင်းသွားပါ- https://docs.docker.com/install/linux/docker-ce/debian/

လက်မှတ်များထုတ်ပေးခြင်း။

docker daemon ကို အဝေးမှ ထိန်းချုပ်ရန်၊ ကုဒ်ဝှက်ထားသော TLS ချိတ်ဆက်မှု လိုအပ်ပါသည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ သင်၏အဝေးထိန်းစက်သို့ ထုတ်လုပ်ပြီး လွှဲပြောင်းပေးရမည့် လက်မှတ်နှင့် သော့တစ်ခုရှိရန် လိုအပ်သည်။ တရားဝင် docker ဝဘ်ဆိုက်ရှိ ညွှန်ကြားချက်များတွင် ဖော်ပြထားသည့် အဆင့်များကို လိုက်နာပါ- https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ဆာဗာအတွက် ထုတ်လုပ်လိုက်သော *.pem ဖိုင်များ ဖြစ်သည့် ca.pem၊ server.pem၊ key.pem အားလုံးကို ဆာဗာပေါ်ရှိ /etc/docker လမ်းညွှန်တွင် ထားရှိရပါမည်။

dockerd ကို စနစ်ထည့်သွင်းခြင်း။

docker daemon launch script တွင်၊ ကျွန်ုပ်တို့သည် -H df:// ရွေးချယ်မှုကို ဖယ်ရှားပြီး၊ ဤရွေးချယ်မှုသည် မည်သည့် host ကို docker daemon ထိန်းချုပ်နိုင်သည်ကို ဆုံးဖြတ်သည်။

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

နောက်တစ်ခု၊ ၎င်းသည် မရှိသေးပါက ဆက်တင်ဖိုင်တစ်ခုကို ဖန်တီးပြီး ရွေးချယ်မှုများကို သတ်မှတ်သင့်သည်-

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

port 2376 တွင် ချိတ်ဆက်မှုများကို ခွင့်ပြုကြပါစို့။

sudo ufw allow 2376

ဆက်တင်အသစ်များဖြင့် dockerd ကို ပြန်လည်စတင်ကြပါစို့။

sudo systemctl daemon-reload && sudo systemctl restart docker

စစ်ဆေးကြည့်ရအောင်-

sudo systemctl status docker

အရာအားလုံး "အစိမ်းရောင်" ဖြစ်ပါက၊ ကျွန်ုပ်တို့သည် ဆာဗာပေါ်တွင် docker ကို အောင်မြင်စွာ configure လုပ်လိုက်ပြီဟု ကျွန်ုပ်တို့ယူဆပါသည်။

gitlab တွင် စဉ်ဆက်မပြတ် ပေးပို့ခြင်းကို စနစ်ထည့်သွင်းခြင်း။

Gitalaba လုပ်သားသည် အဝေးထိန်း Docker host တွင် ညွှန်ကြားချက်များကို လုပ်ဆောင်နိုင်စေရန်အတွက် Dockerd နှင့် ကုဒ်ဝှက်ထားသော ချိတ်ဆက်မှုအတွက် လက်မှတ်များနှင့် သော့ကို မည်သို့သိမ်းဆည်းရမည်ကို ဆုံးဖြတ်ရန် လိုအပ်ပါသည်။ gitlbab ဆက်တင်များရှိ ကိန်းရှင်များသို့ အောက်ပါတို့ကို ပေါင်းထည့်ခြင်းဖြင့် ဤပြဿနာကို ဖြေရှင်းနိုင်ခဲ့ပါသည်။

Spoiler ခေါင်းစဉ်

လက်မှတ်များနှင့် သော့များ၏ အကြောင်းအရာများကို cat မှတစ်ဆင့် ထုတ်လိုက်ရုံသာ။ cat ca.pem. ပြောင်းလဲနိုင်သောတန်ဖိုးများထဲသို့ ကူးယူပြီး ကူးထည့်ပါ။

GitLab မှတဆင့် deployment အတွက် script တစ်ခုရေးလိုက်ရအောင်။ docker-in-docker (dind) ပုံအား အသုံးပြုပါမည်။

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

မှတ်ချက်များနှင့်အတူ ဖြန့်ကျက်ထားသော script ၏ အကြောင်းအရာများ-

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

အဓိကပြဿနာမှာ gitlab CI/CD variable များမှ ပုံမှန်ပုံစံဖြင့် လက်မှတ်များ၏ အကြောင်းအရာများကို "ဆွဲ" ရန်ဖြစ်သည်။ အဝေးထိန်းဌာနသို့ ချိတ်ဆက်မှု ဘာ့ကြောင့် အလုပ်မလုပ်သည်ကို ကျွန်တော် အဖြေရှာမရပါ။ လက်ခံသူတွင် ကျွန်ုပ်သည် log sudo journalctl -u docker ကိုကြည့်လိုက်သည်၊ လက်ဆွဲစဉ်တွင် အမှားအယွင်းတစ်ခုရှိနေသည်။ ကိန်းရှင်များတွင် ယေဘုယျအားဖြင့် သိမ်းဆည်းထားသည်ကို ကြည့်ရှုရန် ဆုံးဖြတ်ခဲ့သည်၊ ၎င်းကို ပြုလုပ်ရန်၊ သင်သည် ဤကဲ့သို့ ကြည့်နိုင်သည်- cat -A $DOCKER_CERT_PATH/key.pem။ ရထားအက္ခရာ tr -d 'r' ကို ဖယ်ရှားခြင်းဖြင့် အမှားကို ကျော်လွှားနိုင်ခဲ့သည်။

ထို့နောက်၊ သင်သည် သင့်ဆုံးဖြတ်ချက်အတိုင်း ဇာတ်ညွှန်းသို့ ထုတ်ဝေပြီးနောက် လုပ်ဆောင်စရာများကို ထည့်နိုင်သည်။ ကျွန်ုပ်၏သိုလှောင်မှုတွင် အလုပ်လုပ်သောဗားရှင်းကို သင်ကြည့်ရှုနိုင်ပါသည်။ https://gitlab.com/isqad/gitlab-ci-cd

source: www.habr.com