連線至 GitLab Enterprise Edition 主機

本頁面說明如何連線至 GitLab Enterprise Edition 主機,以便使用 Cloud Build。

事前準備

  • Enable the Cloud Build and Secret Manager APIs.

    Enable the APIs

主機需求

  • 如果您尚未安裝 GitLab Enterprise Edition Server 執行個體,請參閱 GitLab Enterprise Edition 的安裝指南,瞭解相關操作說明。

    按照安裝 GitLab Enterprise Edition 伺服器例項的操作說明操作時,請注意下列事項:

    • 必須設定主機,以便處理 HTTPS 通訊協定。系統不支援使用 HTTP 通訊協定設定的主機。

    • 必須使用與從 Google Cloud存取主機時相同的網址設定主機。如需進一步瞭解如何設定外部網址,請參閱 GitLab 說明文件。

必要的 IAM 權限

如要連結 GitLab Enterprise Edition 主機,請將 Cloud Build 連線管理員 (roles/cloudbuild.connectionAdmin) 角色授予使用者帳戶。

如要為使用者帳戶新增必要角色,請參閱「設定 Cloud Build 資源的存取權」。如要進一步瞭解與 Cloud Build 相關的 IAM 角色,請參閱「IAM 角色和權限」一文。

如果 GitLab Enterprise Edition 執行個體是託管在私人網路中,請參閱「在私人網路中從 GitLab Enterprise Edition 建構存放區」,瞭解主機連線前所需的其他 IAM 角色。

連線至 GitLab Enterprise Edition 主機

為 GitLab Enterprise Edition 執行個體建立主機連線之前,您必須在 GitLab Enterprise Edition 中建立個人存取權杖,方法如下:

  1. 登入 GitLab Enterprise Edition 執行個體。

  2. 在 GitLab Enterprise Edition 頁面中,按一下右上角的顯示圖片。

  3. 按一下 [編輯個人資料]

  4. 在左側欄中選取「存取權杖」

    畫面會顯示「Personal Access Tokens」頁面。

  5. 建立具備 api 範圍的存取權杖,用於連結及取消連結存放區。

  6. 請使用 read_api 範圍建立存取權權杖,確保 Cloud Build 存放區可存取存放區中的原始碼。

主控台

如要將 GitLab Enterprise Edition 主機連結至 Cloud Build,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中開啟「Repositories」頁面。

    開啟「存放區」頁面

    畫面會顯示「Repositories」頁面。

  2. 選取頁面頂端的「第 2 代」分頁標籤。

  3. 在頂端列的專案選取器中,選取 Google Cloud 專案。

  4. 按一下「建立主機連線」,將新的主機連結至 Cloud Build。

  5. 在左側面板中,選取「GitLab」GitLab做為來源供應工具。

  6. 在「Configure Connection」(設定連線) 部分,輸入下列資訊:

    1. 區域:選取連線的區域。

    2. 名稱:輸入連線名稱。

  7. 在「主機詳細資料」部分中,選取或輸入以下資訊:

    1. GitLab 供應商:選取「自行管理的 GitLab Enterprise Edition」做為供應商。

    2. 主機網址:輸入連線的主機網址。例如:https://my-gle-server.net

    3. CA 憑證:按一下「瀏覽」上傳自行簽署的憑證。

    4. 在「連線類型」下方,選取下列任一選項:

      1. 公開網際網路:如果您可以透過公開網際網路存取執行個體,請選取這個選項。

      2. 私人網路存取權:如果執行個體是託管在私人網路中,請選取這個選項。

      3. 在「服務目錄服務」下方,選取服務的位置:

        • 在「your-project」專案中
        • 在其他專案中
        • 手動輸入

        1. 如果您選取「位於其他專案」或「手動輸入」,請輸入下列資訊:

          • 專案:輸入或從下拉式選單中選取 Google Cloud 專案 ID。

          • 區域:這個欄位會預先選取連線的區域。您為服務指定的地區必須與連線關聯的地區相符。

        2. 命名空間:選取服務的命名空間。

        3. 服務:選取命名空間中的服務名稱。

  8. 在「Personal access token」部分中,輸入以下資訊:

    1. API 存取權杖:輸入具有 api 範圍存取權的權杖。這個權杖用於連結及取消連結存放區。

    2. 讀取 API 存取權杖:輸入具有 read_api 範圍存取權的權杖。Cloud Build 觸發條件會使用這個權杖存取存放區中的原始碼。

  9. 按一下「連線」

    點選「Connect」按鈕後,個人存取權杖就會安全地儲存在 Secret Manager 中。在主機連線之後,Cloud Build 也會代您建立 webhook 密鑰。您可以在「Secret Manager」頁面查看及管理密鑰。您可以在 Secret Manager 頁面查看及管理密鑰。

您已成功建立 GitLab Enterprise Edition 連線。

gcloud

將 GitLab Enterprise Edition 主機連結至 Cloud Build 之前,請先完成下列步驟來儲存憑證:

  1. 將權杖儲存於 Secret Manager

  2. 執行下列指令,在 Secret Manager 中建立 Webhook 密鑰

     cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create my-gle-webhook-secret --data-file=-

  3. 如果您將祕密儲存在與您用來建立主機連線的 Google Cloud 專案不同,請輸入下列指令,將 Cloud Build 服務代理的存取權授予專案:

    PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT} \
  --role="roles/secretmanager.admin"

    其中:

    • PROJECT_ID 是您的 Google Cloud 專案 ID。

您現在可以繼續將 GitLab Enterprise Edition 主機連結至 Cloud Build。

操作步驟如下:

  1. 輸入下列指令,建立 GitLab Enterprise Edition 連線:

    gcloud builds connections create gitlab CONNECTION_NAME \
  --host-uri=HOST_URI \
  --project=PROJECT_ID \
  --region=REGION \
  --authorizer-token-secret-version=projects/PROJECT_ID/secrets/API_TOKEN/versions/SECRET_VERSION \
  --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \
  --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION

    其中:

    • CONNECTION_NAME 是 Cloud Build 中連線的名稱。
    • HOST_URI 是 GitLab Enterprise Edition 例項的 URI。例如:https://my-gle-server.net
    • PROJECT_ID 是您的 Google Cloud 專案 ID。
    • REGION 是連線的地區
    • API_TOKEN 是具有 api 範圍的符記名稱。
    • READ_TOKEN 是具有 read_api 範圍的符記名稱。
    • SECRET_VERSION 是密鑰的版本。
    • WEBHOOK_SECRET 是 Webhook 密鑰。

您已成功建立 GitLab Enterprise Edition 連線。

Terraform

您可以使用 Terraform 將 GitLab Enterprise Edition 主機連結至 Cloud Build。

在以下範例中,程式碼片段會執行以下操作:

  • 設定 Terraform Google 供應器
  • 建立密鑰,用於儲存 GitLab Enterprise Edition 個人存取權杖
  • 將必要權限授予 Cloud Build 服務代理,以便存取密鑰

  • 建立 GitLab Enterprise 版本連線

    // Configure the Terraform Google provider
terraform {
  required_providers {
    google = {}
  }
}

// Create secrets and grant permissions to the Cloud Build service agent
resource "google_secret_manager_secret" "api-pat-secret" {
    project = "PROJECT_ID"
    secret_id = "GITLAB_PAT_API"

    replication {
        auto {}
     }
 }

 resource "google_secret_manager_secret_version" "api-pat-secret-version" {
     secret = google_secret_manager_secret.api-pat-secret.id
     secret_data = "GITLAB_API_TOKEN"
 }

 resource "google_secret_manager_secret" "read-pat-secret" {
     project = "PROJECT_ID"
     secret_id = "GITLAB_PAT_READ"

     replication {
         auto {}
     }
}

resource "google_secret_manager_secret_version" "read-pat-secret-version" {
    secret = google_secret_manager_secret.pat-secret.id
    secret_data = "GITLAB_API_TOKEN"
}

resource "google_secret_manager_secret" "webhook-secret-secret" {
    project = "PROJECT_ID"
    secret_id = "WEBHOOK_SECRET"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "webhook-secret-secret-version" {
    secret = google_secret_manager_secret.webhook-secret-secret.id
    secret_data = "WEBHOOK_SECRET_VALUE"
}

data "google_iam_policy" "serviceagent-secretAccessor" {
    binding {
        role = "roles/secretmanager.secretAccessor"
        members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
    }
}

resource "google_secret_manager_secret_iam_policy" "policy-pak" {
  project = google_secret_manager_secret.private-key-secret.project
  secret_id = google_secret_manager_secret.private-key-secret.secret_id
  policy_data = data.google_iam_policy.serviceagent-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-rpak" {
  project = google_secret_manager_secret.webhook-secret-secret.project
  secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id
  policy_data = data.google_iam_policy.serviceagent-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-whs" {
  project = google_secret_manager_secret.webhook-secret-secret.project
  secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id
  policy_data = data.google_iam_policy.serviceagent-secretAccessor.policy_data
}

// Create the connection and add the repository resource
resource "google_cloudbuildv2_connection" "my-connection" {
    project = "PROJECT_ID"
    location = "REGION"
    name = "CONNECTION_NAME"

    gitlab_config {
        authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.pat-secret-version.id
        }
        read_authorizer_credential {
             user_token_secret_version = google_secret_manager_secret_version.pat-secret-version.id
        }
        webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id
    }

    depends_on = [
        google_secret_manager_secret_iam_policy.policy-pak,
        google_secret_manager_secret_iam_policy.policy-rpak,
        google_secret_manager_secret_iam_policy.policy-whs
    ]
}

其中:

  • PROJECT_ID 是您的 Google Cloud 專案 ID。
  • GITLAB_PAT_API 是具有 api 存取權的個人存取權杖。
  • GITLAB_API_TOKEN 是您的個人存取權杖。
  • GITLAB_PAT_READ 是具有 read_api 存取權的個人存取權杖。
  • WEBHOOK_SECRET 是包含 webhook 密鑰值的密鑰名稱。
  • WEBHOOK_SECRET_VALUE 是 Webhook Secret 的值。
  • REGION 是連線的地區
  • CONNECTION_NAME 是 Cloud Build 中 GitLab Enterprise Edition 主機連線的名稱。
  • URI 是連線的 URI。例如:https://my-gitlab-enterprise-server.net。您已成功建立 GitLab Enterprise Edition 連線。

後續步驟