🥇 קאַנפיגיער קאָמפּאַקטדיסק דורך גיטלאַב

איך אַמאָל געדאַנק וועגן אָטאַמייטינג די דיפּלוימאַנט פון מיין פּרויעקט. gitlab.com ליב גיט אַלע די מכשירים פֿאַר דעם, און דאָך איך באַשלאָסן צו נוצן עס, רעכענען עס אויס און שרייַבן אַ קליין דיפּלוימאַנט שריפט. אין דעם אַרטיקל איך טיילן מיין דערפאַרונג מיט די קהל.

טל; דר

באַשטעטיק VPS: דיסייבאַל וואָרצל, קלאָץ אין מיט פּאַראָל, ינסטאַלירן דאָקקערד, קאַנפיגיער ufw
דזשענערייט סערטיפיקאַץ פֿאַר סערווער און קליענט docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl געבן דאָקערד קאָנטראָל דורך tcp כאָלעל: אַראָפּנעמען די -H fd: // אָפּציע פון די דאָקער קאָנפיג.
פאַרשרייַבן פּאַטס צו סערטיפיקאַץ אין docker.json
פאַרשרייַבן אין גיטלאַב וועריאַבאַלז אין די סי / סי סעטטינגס מיט די אינהאַלט פון די סערטיפיקאַץ. שרייב אַ שריפט .gitlab-ci.yml פֿאַר דיפּלוימאַנט.

איך וועל ווייַזן אַלע ביישפילן אויף די דעביאַן פאַרשפּרייטונג.

ערשט VPS סעטאַפּ

אַזוי איר געקויפט אַ בייַשפּיל ביי DO, דער ערשטער זאַך איר דאַרפֿן צו טאָן איז באַשיצן אייער סערווער פון די אַגרעסיוו אַרויס וועלט. איך וועל נישט באַווייַזן אָדער באַשטעטיקן עפּעס, איך וועט נאָר ווייַזן די לאָג /var/log/ אַרטיקלען פון מיין ווירטואַל סערווער:

סקרעענשאָט

ערשטער, ינסטאַלירן די ufw פיירוואַל:

apt-get update && apt-get install ufw

לאָמיר געבן די פעליקייַט פּאָליטיק: פאַרשפּאַרן אַלע ינקאַמינג קאַנעקשאַנז, לאָזן אַלע אַוטגאָוינג קאַנעקשאַנז:

ufw default deny incoming
ufw default allow outgoing

וויכטיק: טאָן ניט פאַרגעסן צו לאָזן די קשר דורך ssh:

ufw allow OpenSSH

דער גענעראַל סינטאַקס איז ווי גייט: לאָזן אַ קשר דורך פּאָרט: ufw לאָזן 12345, ווו 12345 איז די פּאָרט נומער אָדער די נאָמען פון די דינסט. לייקענען: ufw deny 12345

קער אויף די פיירוואַל:

ufw enable

מיר אַרויסגאַנג די סעסיע און קלאָץ אין ווידער דורך ssh.

לייג אַ באַניצער, באַשטימען אים אַ פּאַראָל און לייג אים צו די סודאָ גרופּע.

apt-get install sudo
adduser scoty
usermod -aG sudo scoty

ווייַטער, לויט דעם פּלאַן, איר זאָל דיסייבאַל פּאַראָל לאָגין. צו טאָן דאָס, קאָפּיע דיין ssh שליסל צו די סערווער:

ssh-copy-id [email protected]

די סערווער IP מוזן זיין דייַן. איצט פּרוּווט צו קלאָץ אין ניצן דעם באַניצער איר באשאפן פריער; איר ניט מער דאַרפֿן צו אַרייַן אַ פּאַראָל. ווייַטער, אין די קאַנפיגיעריישאַן סעטטינגס, טוישן די פאלגענדע:

sudo nano /etc/ssh/sshd_config

דיסייבאַל פּאַראָל לאָגין:

PasswordAuthentication no

ריסטאַרט די sshd daemon:

sudo systemctl reload sshd

איצט אויב איר אָדער עמעצער אַנדערש פרוווט צו קלאָץ אין ווי דער וואָרצל באַניצער, עס וועט נישט אַרבעטן.

דערנאָך, ינסטאַלירן דאָקערד, איך וועל נישט באַשרייַבן דעם פּראָצעס דאָ, ווייַל אַלץ קענען זיין טשיינדזשד, נאָכגיין די לינק צו דער באַאַמטער וועבזייטל און גיין דורך די סטעפּס פון ינסטאָלינג דאָקקער אויף דיין ווירטואַל מאַשין: https://docs.docker.com/install/linux/docker-ce/debian/

דזשענערייטינג סערטיפיקאַץ

צו קאָנטראָלירן די דאָקקער דיימאַן רימאָוטלי, אַן ינקריפּטיד TLS פֿאַרבינדונג איז פארלאנגט. צו טאָן דאָס, איר דאַרפֿן צו האָבן אַ באַווייַזן און אַ שליסל, וואָס מוזן זיין דזשענערייטאַד און טראַנספערד צו דיין ווייַט מאַשין. גיי די סטעפּס געגעבן אין די ינסטראַקשאַנז אויף דער באַאַמטער דאָקקער וועבזייטל: https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl כל דזשענערייטאַד *.פּעם טעקעס פֿאַר די סערווער, ניימלי ca.pem, server.pem, key.pem, מוזן זיין געשטעלט אין די /etc/docker וועגווייַזער אויף די סערווער.

באַשטעטיקן Dockerd

אין די קאַטער שריפט פון דאָקער דאַעמאָן, מיר באַזייַטיקן די -H df: // אָפּציע, די אָפּציע דיטערמאַנז אויף וואָס באַלעבאָס די דאָקקער דיימאַן קענען זיין קאַנטראָולד.

# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerd

ווייַטער, איר זאָל מאַכן אַ סעטטינגס טעקע, אויב עס איז נישט שוין, און ספּעציפיצירן די אָפּציעס:

/etc/docker/docker.json

{
  "hosts": [
    "unix:///var/run/docker.sock",
    "tcp://0.0.0.0:2376"
  ],
  "labels": [
    "is-our-remote-engine=true"
  ],
  "tls": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server.pem",
  "tlskey": "/etc/docker/key.pem",
  "tlsverify": true
}

לאָמיר לאָזן קאַנעקשאַנז אויף פּאָרט 2376:

sudo ufw allow 2376

לאָמיר ריסטאַרט דאָקערד מיט די נייַע סעטטינגס:

sudo systemctl daemon-reload && sudo systemctl restart docker

לאמיר טשעקן:

sudo systemctl status docker

אויב אַלץ איז "גרין", מיר באַטראַכטן אַז מיר האָבן הצלחה קאַנפיגיערד דאָקקער אויף די סערווער.

באַשטעטיקן קעסיידערדיק דעליווערי אויף גיטלאַב

כּדי די Gitalaba אַרבעטער זאָל קענען ויספירן קאַמאַנדז אויף אַ ווייַט דאָקקער באַלעבאָס, עס איז נייטיק צו באַשליסן ווי און ווו צו קראָם סערטיפיקאַץ און די שליסל פֿאַר אַ ינקריפּטיד קשר מיט Dockerd. איך סאַלווד דעם פּראָבלעם דורך פשוט אַדינג די פאלגענדע צו די וועריאַבאַלז אין די גיטלבאַב סעטטינגס:

ספּאָילער טיטל

נאָר רעזולטאַט די אינהאַלט פון די סערטיפיקאַץ און שליסל דורך קאַץ: cat ca.pem. נאָכמאַכן און פּאַפּ אין די בייַטעוודיק וואַלועס.

לאָמיר שרייַבן אַ שריפט פֿאַר דיפּלוימאַנט דורך GitLab. די דאָקקער-אין-דאָקקער (דינד) בילד וועט זיין געוויינט.

.גיטלאב-סי.ימל

image:
  name: docker/compose:1.23.2
  # перепишем entrypoint , чтобы работало в dind
  entrypoint: ["/bin/sh", "-c"]

variables:
  DOCKER_HOST: tcp://docker:2375/
  DOCKER_DRIVER: overlay2

services:
  - docker:dind

stages:
  - deploy

deploy:
  stage: deploy
  script:
    - bin/deploy.sh # скрипт деплоя тут

אינהאַלט פון די דיפּלוימאַנט שריפט מיט באַמערקונגען:

bin/deploy.sh

#!/usr/bin/env sh
# Падаем сразу, если возникли какие-то ошибки
set -e
# Выводим, то , что делаем
set -v

# 
DOCKER_COMPOSE_FILE=docker-compose.yml
# Куда деплоим
DEPLOY_HOST=185.241.52.28
# Путь для сертификатов клиента, то есть в нашем случае - gitlab-воркера
DOCKER_CERT_PATH=/root/.docker

# проверим, что в контейнере все имеется
docker info
docker-compose version

# создаем путь (сейчас работаем в клиенте - воркере gitlab'а)
mkdir $DOCKER_CERT_PATH
# изымаем содержимое переменных, при этом удаляем лишние символы добавленные при сохранении переменных.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# на всякий случай даем только читать
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem

# далее начинаем уже работать с удаленным docker-демоном. Собственно, сам деплой
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376

# проверим, что коннектится все успешно
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  ps

# логинимся в docker-регистри, тут можете указать свой "местный" регистри
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD

docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  pull app
# поднимаем приложение
docker-compose 
  -f $DOCKER_COMPOSE_FILE 
  up -d app

דער הויפּט פּראָבלעם איז געווען צו "ציען" די אינהאַלט פון די סערטיפיקאַץ אין אַ נאָרמאַל פאָרעם פֿון די gitlab CI / CD וועריאַבאַלז. איך קען נישט געפֿינען אויס וואָס די קשר צו די ווייַט באַלעבאָס איז נישט ארבעטן. אויף דעם באַלעבאָס איך געקוקט אויף די לאָג sudo journalctl -u docker, עס איז געווען אַ טעות בעשאַס די כאַנדשייק. איך באַשלאָסן צו קוקן אין וואָס איז בכלל סטאָרד אין וועריאַבאַלז; צו טאָן דאָס, איר קענען קוקן ווי דאָס: cat -A $DOCKER_CERT_PATH/key.pem. איך אָוווערקיים דעם טעות דורך אַדינג די באַזייַטיקונג פון די וועגעלע כאַראַקטער tr -d 'r'.

דערנאָך, איר קענען לייגן טאַסקס נאָך מעלדונג צו די שריפט לויט דיין דיסקרעשאַן. איר קענען זען די אַרבעט ווערסיע אין מיין ריפּאַזאַטאָרי https://gitlab.com/isqad/gitlab-ci-cd

מקור: www.habr.com

באַשטעטיקן קאָמפּאַקטדיסק דורך גיטלאַב

טל; דר

ערשט VPS סעטאַפּ

דזשענערייטינג סערטיפיקאַץ

באַשטעטיקן Dockerd

באַשטעטיקן קעסיידערדיק דעליווערי אויף גיטלאַב

לייגן אַ באַמערקונג באָטל מאַכן ענטפער