ਗਿਟਲੈਬ ਰਾਹੀਂ ਸੀਡੀ ਸੈਟ ਅਪ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

ਮੈਂ ਇੱਕ ਵਾਰ ਆਪਣੇ ਪ੍ਰੋਜੈਕਟ ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਸਵੈਚਲਿਤ ਕਰਨ ਬਾਰੇ ਸੋਚਿਆ। gitlab.com ਕਿਰਪਾ ਕਰਕੇ ਇਸਦੇ ਲਈ ਸਾਰੇ ਟੂਲ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਬੇਸ਼ੱਕ ਮੈਂ ਇਸਦਾ ਫਾਇਦਾ ਉਠਾਉਣ ਦਾ ਫੈਸਲਾ ਕੀਤਾ, ਇਸਦਾ ਪਤਾ ਲਗਾ ਕੇ ਅਤੇ ਇੱਕ ਛੋਟੀ ਡਿਪਲਾਇਮੈਂਟ ਸਕ੍ਰਿਪਟ ਲਿਖਣਾ. ਇਸ ਲੇਖ ਵਿੱਚ ਮੈਂ ਆਪਣਾ ਤਜਰਬਾ ਕਮਿਊਨਿਟੀ ਨਾਲ ਸਾਂਝਾ ਕਰਦਾ ਹਾਂ।

TL; ਡਾ

1. VPS ਸੈਟ ਅਪ ਕਰੋ: ਰੂਟ ਨੂੰ ਅਯੋਗ ਕਰੋ, ਪਾਸਵਰਡ ਨਾਲ ਲੌਗ ਇਨ ਕਰੋ, ਡੌਕਰਡ ਸਥਾਪਿਤ ਕਰੋ, ufw ਕੌਂਫਿਗਰ ਕਰੋ
2. ਸਰਵਰ ਅਤੇ ਕਲਾਇੰਟ ਲਈ ਸਰਟੀਫਿਕੇਟ ਤਿਆਰ ਕਰੋ docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl tcp ਸਾਕਟ ਦੁਆਰਾ ਡੌਕਰਡ ਨਿਯੰਤਰਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ: ਡੌਕਰ ਸੰਰਚਨਾ ਤੋਂ -H fd:// ਵਿਕਲਪ ਨੂੰ ਹਟਾਓ।
3. docker.json ਵਿੱਚ ਸਰਟੀਫਿਕੇਟਾਂ ਲਈ ਮਾਰਗ ਰਜਿਸਟਰ ਕਰੋ
4. ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਸਮੱਗਰੀ ਦੇ ਨਾਲ CI/CD ਸੈਟਿੰਗਾਂ ਵਿੱਚ gitlab ਵੇਰੀਏਬਲ ਵਿੱਚ ਰਜਿਸਟਰ ਕਰੋ। ਤੈਨਾਤੀ ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ .gitlab-ci.yml ਲਿਖੋ।

ਮੈਂ ਡੇਬੀਅਨ ਵੰਡ 'ਤੇ ਸਾਰੀਆਂ ਉਦਾਹਰਣਾਂ ਦਿਖਾਵਾਂਗਾ.

ਸ਼ੁਰੂਆਤੀ VPS ਸੈੱਟਅੱਪ

ਇਸ ਲਈ ਤੁਸੀਂ ਉਦਾਹਰਨ ਲਈ ਇੱਕ ਉਦਾਹਰਣ ਖਰੀਦੀ ਹੈ DO, ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਜੋ ਤੁਹਾਨੂੰ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਉਹ ਹੈ ਆਪਣੇ ਸਰਵਰ ਨੂੰ ਹਮਲਾਵਰ ਬਾਹਰੀ ਸੰਸਾਰ ਤੋਂ ਬਚਾਉਣਾ। ਮੈਂ ਕੁਝ ਵੀ ਸਾਬਤ ਜਾਂ ਦਾਅਵਾ ਨਹੀਂ ਕਰਾਂਗਾ, ਮੈਂ ਆਪਣੇ ਵਰਚੁਅਲ ਸਰਵਰ ਦਾ ਲੌਗ /var/log/messages ਦਿਖਾਵਾਂਗਾ:

ਸਕ੍ਰੀਨਸ਼ੌਟ

ਪਹਿਲਾਂ, ufw ਫਾਇਰਵਾਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ:

apt-get update && apt-get install ufw

ਆਉ ਡਿਫੌਲਟ ਨੀਤੀ ਨੂੰ ਸਮਰੱਥ ਕਰੀਏ: ਸਾਰੇ ਆਉਣ ਵਾਲੇ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਬਲੌਕ ਕਰੋ, ਸਾਰੇ ਬਾਹਰ ਜਾਣ ਵਾਲੇ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਆਗਿਆ ਦਿਓ:

ufw default deny incoming
ufw default allow outgoing

ਮਹੱਤਵਪੂਰਨ: ssh ਦੁਆਰਾ ਕਨੈਕਸ਼ਨ ਦੀ ਆਗਿਆ ਦੇਣਾ ਨਾ ਭੁੱਲੋ:

ufw allow OpenSSH

ਆਮ ਸੰਟੈਕਸ ਇਸ ਤਰ੍ਹਾਂ ਹੈ: ਪੋਰਟ ਦੁਆਰਾ ਇੱਕ ਕਨੈਕਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿਓ: ufw 12345 ਨੂੰ ਆਗਿਆ ਦਿਓ, ਜਿੱਥੇ 12345 ਪੋਰਟ ਨੰਬਰ ਜਾਂ ਸੇਵਾ ਦਾ ਨਾਮ ਹੈ। ਇਨਕਾਰ ਕਰੋ: ufw ਇਨਕਾਰ 12345

ਫਾਇਰਵਾਲ ਨੂੰ ਚਾਲੂ ਕਰੋ:

ufw enable

ਅਸੀਂ ਸੈਸ਼ਨ ਤੋਂ ਬਾਹਰ ਆਉਂਦੇ ਹਾਂ ਅਤੇ ssh ਰਾਹੀਂ ਦੁਬਾਰਾ ਲੌਗਇਨ ਕਰਦੇ ਹਾਂ।

ਇੱਕ ਉਪਭੋਗਤਾ ਸ਼ਾਮਲ ਕਰੋ, ਉਸਨੂੰ ਇੱਕ ਪਾਸਵਰਡ ਦਿਓ, ਅਤੇ ਉਸਨੂੰ sudo ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ।

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

ਅੱਗੇ, ਯੋਜਨਾ ਦੇ ਅਨੁਸਾਰ, ਤੁਹਾਨੂੰ ਪਾਸਵਰਡ ਲੌਗਇਨ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਸਰਵਰ ਤੇ ਆਪਣੀ ssh ਕੁੰਜੀ ਦੀ ਨਕਲ ਕਰੋ:

ssh-copy-id [email protected]

ਸਰਵਰ ip ਤੁਹਾਡਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ। ਹੁਣ ਤੁਹਾਡੇ ਦੁਆਰਾ ਪਹਿਲਾਂ ਬਣਾਏ ਗਏ ਉਪਭੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲੌਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੋ; ਤੁਹਾਨੂੰ ਹੁਣ ਇੱਕ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਅੱਗੇ, ਸੰਰਚਨਾ ਸੈਟਿੰਗਾਂ ਵਿੱਚ, ਹੇਠਾਂ ਦਿੱਤੇ ਨੂੰ ਬਦਲੋ:

sudo nano /etc/ssh/sshd_config

ਪਾਸਵਰਡ ਲੌਗਇਨ ਨੂੰ ਅਯੋਗ ਕਰੋ:

PasswordAuthentication no

sshd ਡੈਮਨ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰੋ:

sudo systemctl reload sshd

ਹੁਣ ਜੇਕਰ ਤੁਸੀਂ ਜਾਂ ਕੋਈ ਹੋਰ ਰੂਟ ਉਪਭੋਗਤਾ ਵਜੋਂ ਲਾਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਕੰਮ ਨਹੀਂ ਕਰੇਗਾ।

ਅੱਗੇ, ਡੌਕਰਡ ਸਥਾਪਿਤ ਕਰੋ, ਮੈਂ ਇੱਥੇ ਪ੍ਰਕਿਰਿਆ ਦਾ ਵਰਣਨ ਨਹੀਂ ਕਰਾਂਗਾ, ਕਿਉਂਕਿ ਸਭ ਕੁਝ ਪਹਿਲਾਂ ਹੀ ਬਦਲਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਅਧਿਕਾਰਤ ਵੈਬਸਾਈਟ ਦੇ ਲਿੰਕ ਦੀ ਪਾਲਣਾ ਕਰੋ ਅਤੇ ਆਪਣੀ ਵਰਚੁਅਲ ਮਸ਼ੀਨ 'ਤੇ ਡੌਕਰ ਸਥਾਪਤ ਕਰਨ ਦੇ ਕਦਮਾਂ ਨੂੰ ਪੂਰਾ ਕਰੋ: https://docs.docker.com/install/linux/docker-ce/debian/

ਸਰਟੀਫਿਕੇਟ ਬਣਾਉਣਾ

ਡੌਕਰ ਡੈਮਨ ਨੂੰ ਰਿਮੋਟਲੀ ਕੰਟਰੋਲ ਕਰਨ ਲਈ, ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ TLS ਕੁਨੈਕਸ਼ਨ ਦੀ ਲੋੜ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਤੁਹਾਡੇ ਕੋਲ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਇੱਕ ਕੁੰਜੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ, ਜੋ ਕਿ ਤੁਹਾਡੀ ਰਿਮੋਟ ਮਸ਼ੀਨ ਵਿੱਚ ਤਿਆਰ ਅਤੇ ਟ੍ਰਾਂਸਫਰ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ। ਅਧਿਕਾਰਤ ਡੌਕਰ ਵੈਬਸਾਈਟ 'ਤੇ ਨਿਰਦੇਸ਼ਾਂ ਵਿੱਚ ਦਿੱਤੇ ਗਏ ਕਦਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl ਸਰਵਰ ਲਈ ਸਾਰੀਆਂ ਤਿਆਰ ਕੀਤੀਆਂ *.pem ਫਾਈਲਾਂ, ਜਿਵੇਂ ਕਿ ca.pem, server.pem, key.pem, ਨੂੰ ਸਰਵਰ ਉੱਤੇ /etc/docker ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਰੱਖਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਡੌਕਰਡ ਸਥਾਪਤ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

ਡੌਕਰ ਡੈਮਨ ਲਾਂਚ ਸਕ੍ਰਿਪਟ ਵਿੱਚ, ਅਸੀਂ -H df:// ਵਿਕਲਪ ਨੂੰ ਹਟਾ ਦਿੰਦੇ ਹਾਂ, ਇਹ ਵਿਕਲਪ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਕਿਸ ਹੋਸਟ 'ਤੇ ਡੌਕਰ ਡੈਮਨ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਇੱਕ ਸੈਟਿੰਗ ਫਾਈਲ ਬਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ, ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਨਹੀਂ ਹੈ, ਅਤੇ ਵਿਕਲਪ ਨਿਰਧਾਰਤ ਕਰੋ:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

ਆਓ ਪੋਰਟ 2376 'ਤੇ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਇਜਾਜ਼ਤ ਦੇਈਏ:

sudo ufw allow 2376

ਆਓ ਨਵੀਂ ਸੈਟਿੰਗਾਂ ਨਾਲ ਡੌਕਰਡ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰੀਏ:

sudo systemctl daemon-reload && sudo systemctl restart docker

ਆਓ ਜਾਂਚ ਕਰੀਏ:

sudo systemctl status docker

ਜੇ ਸਭ ਕੁਝ "ਹਰਾ" ਹੈ, ਤਾਂ ਅਸੀਂ ਸਮਝਦੇ ਹਾਂ ਕਿ ਅਸੀਂ ਸਰਵਰ 'ਤੇ ਡੌਕਰ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਕੌਂਫਿਗਰ ਕਰ ਲਿਆ ਹੈ।

ਗਿਟਲੈਬ 'ਤੇ ਲਗਾਤਾਰ ਡਿਲੀਵਰੀ ਸੈਟ ਅਪ ਕਰਨਾ

ਗੀਤਾਬਾ ਵਰਕਰ ਨੂੰ ਰਿਮੋਟ ਡੌਕਰ ਹੋਸਟ 'ਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਹੋਣ ਲਈ, ਇਹ ਫੈਸਲਾ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ ਕਿ ਸਰਟੀਫਿਕੇਟ ਕਿਵੇਂ ਅਤੇ ਕਿੱਥੇ ਸਟੋਰ ਕਰਨੇ ਹਨ ਅਤੇ ਡੌਕਰਡ ਨਾਲ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਕਨੈਕਸ਼ਨ ਲਈ ਕੁੰਜੀ ਹੈ। ਮੈਂ gitlbab ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਵੇਰੀਏਬਲ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੇ ਨੂੰ ਜੋੜ ਕੇ ਇਸ ਸਮੱਸਿਆ ਦਾ ਹੱਲ ਕੀਤਾ ਹੈ:

ਵਿਗਾੜਨ ਵਾਲਾ ਸਿਰਲੇਖ

ਸਿਰਫ਼ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਸਮੱਗਰੀ ਅਤੇ ਬਿੱਲੀ ਰਾਹੀਂ ਕੁੰਜੀ ਨੂੰ ਆਉਟਪੁੱਟ ਕਰੋ: cat ca.pem. ਵੇਰੀਏਬਲ ਮੁੱਲਾਂ ਵਿੱਚ ਕਾਪੀ ਅਤੇ ਪੇਸਟ ਕਰੋ।

ਚਲੋ GitLab ਦੁਆਰਾ ਤੈਨਾਤੀ ਲਈ ਇੱਕ ਸਕ੍ਰਿਪਟ ਲਿਖੀਏ। ਡੌਕਰ-ਇਨ-ਡੌਕਰ (ਡਿੰਡ) ਚਿੱਤਰ ਵਰਤਿਆ ਜਾਵੇਗਾ।

.gitlab-ci.yml

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

ਟਿੱਪਣੀਆਂ ਦੇ ਨਾਲ ਤੈਨਾਤੀ ਸਕ੍ਰਿਪਟ ਦੀ ਸਮੱਗਰੀ:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

ਮੁੱਖ ਸਮੱਸਿਆ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਗਿਟਲੈਬ ਸੀਆਈ/ਸੀਡੀ ਵੇਰੀਏਬਲਾਂ ਤੋਂ ਇੱਕ ਆਮ ਰੂਪ ਵਿੱਚ "ਖਿੱਚਣਾ" ਸੀ। ਮੈਂ ਇਹ ਨਹੀਂ ਸਮਝ ਸਕਿਆ ਕਿ ਰਿਮੋਟ ਹੋਸਟ ਨਾਲ ਕਨੈਕਸ਼ਨ ਕਿਉਂ ਕੰਮ ਨਹੀਂ ਕਰ ਰਿਹਾ ਸੀ। ਹੋਸਟ 'ਤੇ ਮੈਂ ਲੌਗ sudo journalctl -u docker ਨੂੰ ਦੇਖਿਆ, ਹੈਂਡਸ਼ੇਕ ਦੌਰਾਨ ਇੱਕ ਗਲਤੀ ਆਈ ਸੀ। ਮੈਂ ਇਹ ਦੇਖਣ ਦਾ ਫੈਸਲਾ ਕੀਤਾ ਹੈ ਕਿ ਆਮ ਤੌਰ 'ਤੇ ਵੇਰੀਏਬਲਾਂ ਵਿੱਚ ਕੀ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ; ਅਜਿਹਾ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਇਸ ਤਰ੍ਹਾਂ ਦੇਖ ਸਕਦੇ ਹੋ: cat -A $DOCKER_CERT_PATH/key.pem. ਮੈਂ ਕੈਰੇਜ ਅੱਖਰ tr -d 'r' ਨੂੰ ਹਟਾਉਣ ਨੂੰ ਜੋੜ ਕੇ ਗਲਤੀ ਨੂੰ ਦੂਰ ਕੀਤਾ।

ਅੱਗੇ, ਤੁਸੀਂ ਆਪਣੀ ਮਰਜ਼ੀ ਨਾਲ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਰੀਲੀਜ਼ ਤੋਂ ਬਾਅਦ ਦੇ ਕਾਰਜ ਸ਼ਾਮਲ ਕਰ ਸਕਦੇ ਹੋ। ਤੁਸੀਂ ਮੇਰੇ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਕਾਰਜਸ਼ੀਲ ਸੰਸਕਰਣ ਦੇਖ ਸਕਦੇ ਹੋ https://gitlab.com/isqad/gitlab-ci-cd

ਸਰੋਤ: www.habr.com