🥇 गिटल्याब मार्फत सीडी सेटअप गर्दै

मैले एक पटक मेरो परियोजनाको डिप्लोइमेन्ट स्वचालित गर्ने बारे सोचें। gitlab.com दयालु रूपमा यसको लागि सबै उपकरणहरू प्रदान गर्दछ, र पक्कै पनि मैले यसलाई पत्ता लगाएर र एउटा सानो डिप्लोयमेन्ट स्क्रिप्ट लेखेर प्रयोग गर्ने निर्णय गरें। यस लेखमा, म समुदायसँग मेरो अनुभव साझा गर्दछु।

TL; ड

VPS सेट अप गर्नुहोस्: रूट असक्षम गर्नुहोस्, पासवर्ड लगइन गर्नुहोस्, डकर्ड स्थापना गर्नुहोस्, ufw कन्फिगर गर्नुहोस्
सर्भर र ग्राहकका लागि प्रमाणपत्रहरू उत्पन्न गर्नुहोस् docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp सकेट मार्फत डकर्ड नियन्त्रण सक्षम गर्नुहोस्: डकर कन्फिगरेसनबाट -H fd:// विकल्प हटाउनुहोस्।
docker.json मा प्रमाणपत्रहरूको लागि मार्गहरू सेट गर्नुहोस्
सर्टिफिकेटका सामग्रीहरूसँग CI / CD सेटिङहरूमा gitlab चरहरूमा दर्ता गर्नुहोस्। डिप्लोइमेन्टको लागि .gitlab-ci.yml लिपि लेख्नुहोस्।

म डेबियन वितरणमा सबै उदाहरणहरू देखाउनेछु।

प्रारम्भिक VPS सेटअप

यहाँ तपाईंले उदाहरणको लागि एउटा उदाहरण किन्नु भयो DO, गर्नु पर्ने पहिलो कुरा तपाईको सर्भरलाई आक्रामक बाहिरी संसारबाट जोगाउनु हो। म केहि प्रमाणित वा दाबी गर्दिन, म केवल मेरो भर्चुअल सर्भरको /var/log/messages लग देखाउनेछु:

स्क्रीनशट

पहिले, ufw फायरवाल स्थापना गर्नुहोस्:

apt-get update && apt-get install ufw

पूर्वनिर्धारित नीति सक्षम गर्नुहोस्: सबै आगमन जडानहरू रोक्नुहोस्, सबै बाहिर जाने जडानहरूलाई अनुमति दिनुहोस्:

ufw default deny incoming
ufw default allow outgoing

महत्त्वपूर्ण: ssh मार्फत जडानलाई अनुमति दिन नबिर्सनुहोस्:

ufw allow OpenSSH

सामान्य वाक्य रचना हो: पोर्टमा जडानलाई अनुमति दिनुहोस्: ufw 12345 लाई अनुमति दिनुहोस्, जहाँ 12345 पोर्ट नम्बर वा सेवा नाम हो। अस्वीकार: ufw अस्वीकार 12345

फायरवाल खोल्नुहोस्:

ufw enable

हामी सत्रबाट बाहिर निस्कन्छौं र ssh मार्फत फेरि लग इन गर्छौं।

प्रयोगकर्ता थप्नुहोस्, उसलाई पासवर्ड प्रदान गर्नुहोस्, र sudo समूहमा थप्नुहोस्।

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

अर्को, योजना अनुसार, तपाईंले पासवर्ड लगइन असक्षम गर्नुपर्छ। यो गर्नको लागि, सर्भरमा आफ्नो ssh कुञ्जी प्रतिलिपि गर्नुहोस्:

ssh-copy-id [email protected]

सर्भरको आईपी तपाईंको हुनुपर्छ। अब पहिले सिर्जना गरिएको प्रयोगकर्ता अन्तर्गत लग इन गर्ने प्रयास गर्नुहोस्, तपाईंले अब पासवर्ड प्रविष्ट गर्न आवश्यक छैन। अर्को, कन्फिगरेसन सेटिङहरूमा, निम्न परिवर्तन गर्नुहोस्:

sudo nano /etc/ssh/sshd_config

पासवर्ड लगइन असक्षम गर्नुहोस्:

PasswordAuthentication no

sshd डेमन पुन: सुरु गर्नुहोस्:

sudo systemctl reload sshd

अब यदि तपाईं वा अरू कसैले रूटको रूपमा लग इन गर्ने प्रयास गर्नुभयो भने, यो असफल हुनेछ।

अर्को, हामी डकर्ड स्थापना गर्छौं, म यहाँ प्रक्रिया वर्णन गर्दिन, किनकि सबै कुरा पहिले नै परिवर्तन गर्न सकिन्छ, आधिकारिक वेबसाइटको लिङ्क पछ्याउनुहोस् र तपाईंको भर्चुअल मेसिनमा डकर स्थापना गर्ने चरणहरू मार्फत जानुहोस्: https://docs.docker.com/install/linux/docker-ce/debian/

प्रमाणपत्र उत्पादन

डकर डेमोनलाई टाढाबाट नियन्त्रण गर्न, एन्क्रिप्टेड TLS जडान आवश्यक छ। यो गर्नको लागि, तपाइँसँग एउटा प्रमाणपत्र र कुञ्जी हुन आवश्यक छ जुन तपाइँले उत्पन्न गर्न र तपाइँको रिमोट मेसिनमा स्थानान्तरण गर्न आवश्यक छ। आधिकारिक डकर वेबसाइटमा निर्देशनहरूमा दिइएका चरणहरू पालना गर्नुहोस्: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl सर्भरका लागि सबै उत्पन्न *.pem फाइलहरू, अर्थात् ca.pem, server.pem, key.pem, सर्भरमा /etc/docker डाइरेक्टरीमा राख्नु पर्छ।

डकर सेटअप

डकर डेमन स्टार्टअप स्क्रिप्टमा, -H df:// विकल्प हटाउनुहोस्, यो विकल्पले डकर डेमन कुन होस्टमा नियन्त्रण गर्न सकिन्छ भनेर बताउँछ।

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

अर्को, सेटिङ फाइल सिर्जना गर्नुहोस् यदि यो पहिले नै अवस्थित छैन र विकल्पहरू सेट गर्नुहोस्:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

पोर्ट 2376 मा जडानहरूलाई अनुमति दिनुहोस्:

sudo ufw allow 2376

नयाँ सेटिङहरूसँग डकर्ड पुन: सुरु गर्नुहोस्:

sudo systemctl daemon-reload && sudo systemctl restart docker

जाँच गरौं:

sudo systemctl status docker

यदि सबै हरियो छ भने, हामी मान्दछौं कि हामीले सर्भरमा डकर सफलतापूर्वक कन्फिगर गरेका छौं।

Gitlab मा निरन्तर डेलिभरी सेट अप गर्दै

गिटालाब कार्यकर्ताले रिमोट डकर होस्टमा आदेशहरू कार्यान्वयन गर्न सक्षम हुनको लागि, तपाईंले कसरी र कहाँ सर्टिफिकेटहरू भण्डार गर्ने र डकर्डमा इन्क्रिप्टेड जडानको लागि कुञ्जी निर्धारण गर्न आवश्यक छ। मैले यो समस्यालाई gitlbab सेटिङहरूमा चरहरूमा लेखेर समाधान गरें:

बिगार्न शीर्षक

बिरालो मार्फत प्रमाणपत्र र कुञ्जीको सामग्री मात्र आउटपुट गर्नुहोस्: cat ca.pem। चर मानहरूमा प्रतिलिपि गरेर टाँस्नुहोस्।

Gitlab मार्फत डिप्लोइमेन्टको लागि स्क्रिप्ट लेखौं। डकर-इन-डकर (dind) छवि प्रयोग गरिनेछ।

gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

टिप्पणीहरु संग तैनाती स्क्रिप्ट को सामग्री:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

मुख्य समस्या gitlab CI / CD चरबाट प्रमाणपत्रहरूको सामग्रीलाई सामान्य रूपमा "बाहेर तान्नु" थियो। मैले रिमोट होस्टमा जडानले काम नगरेको कारण थाहा पाउन सकिन। मैले होस्टमा sudo journalctl -u डकर लग हेरे, त्यहाँ ह्यान्डशेकको साथ त्रुटि छ। मैले सामान्यतया भ्यारीएबलहरूमा के भण्डारण गरिन्छ भनेर हेर्ने निर्णय गरें, यसको लागि तपाईंले cat -A $DOCKER_CERT_PATH/key.pem देख्न सक्नुहुन्छ। क्यारेट क्यारेक्टर tr -d 'r' हटाएर त्रुटिलाई पार गर्नुहोस्।

यसबाहेक, तपाईंले आफ्नो विवेकमा स्क्रिप्टमा पोस्ट-रिलीज कार्यहरू थप्न सक्नुहुन्छ। तपाईं मेरो भण्डारमा काम संस्करण जाँच गर्न सक्नुहुन्छ https://gitlab.com/isqad/gitlab-ci-cd

स्रोत: www.habr.com

Gitlab मार्फत सीडी सेटअप

TL; ड

प्रारम्भिक VPS सेटअप

प्रमाणपत्र उत्पादन

डकर सेटअप

Gitlab मा निरन्तर डेलिभरी सेट अप गर्दै

एक टिप्पणी थप्न Отменить ответ