Проверка подлинности в API GitHub

Learn how to authenticate to the GitHub API to use Actions Runner Controller with GitHub.

В этой статье

Юридическое уведомление

Обзор

Вы можете пройти проверку подлинности Actions Runner Controller (ARC) в API GitHub с помощью GitHub App или с помощью personal access token (classic).

Примечание.

Проверку подлинности невозможно выполнить с помощью GitHub App для запуска на корпоративном уровне. Дополнительные сведения см. в разделе Управление доступом к самостоятельно размещенным средствам выполнения с помощью групп.

Проверка подлинности ARC с помощью GitHub App

  1. Создайте GitHub App, принадлежащих организации. Дополнительные сведения см. в разделе Регистрация приложения GitHub. Настройте GitHub App следующим образом.

    1. Введите https://github.com/actions/actions-runner-controllerurl-адрес домашней страницы.

    2. В разделе "Разрешения" щелкните разрешения репозитория. Затем используйте раскрывающееся меню, чтобы выбрать следующие разрешения доступа.

      • Администрирование: чтение и запись

        Примечание.

        Administration: Read and write требуется только при настройке Actions Runner Controller для регистрации в области репозитория. Не требуется регистрироваться в области организации.

      • Метаданные: только для чтения

    3. В разделе "Разрешения" щелкните разрешения организации. Затем используйте раскрывающееся меню, чтобы выбрать следующие разрешения доступа.

      • Локальные средства выполнения: чтение и запись

  2. После создания GitHub Appна странице GitHub Appобратите внимание на значение "Идентификатор приложения". Это значение будет использоваться позже.

  3. В разделе "Закрытые ключи" щелкните "Создать закрытый ключ" и сохраните .pem файл. Этот ключ будет использоваться позже.

  4. В меню в левом верхнем углу страницы нажмите кнопку "Установить приложение" и рядом с организацией нажмите кнопку "Установить ", чтобы установить приложение в вашей организации.

  5. После подтверждения разрешений на установку в организации обратите внимание на идентификатор установки приложения. Оно понадобится вам позже. Идентификатор установки приложения можно найти на странице установки приложения, который имеет следующий формат URL-адреса:

    https://github.com/organizations/ORGANIZATION/settings/installations/INSTALLATION_ID

Проверка подлинности ARC с помощью personal access token (classic)

Arc может использовать personal access tokens (classic) для регистрации локальных модулей выполнения.

Примечание.

Проверка подлинности ARC с помощью personal access token (classic) — единственный поддерживаемый метод проверки подлинности для регистрации бегуней на корпоративном уровне.

  1. Создайте personal access token (classic) с необходимыми областями. Требуемые области различаются в зависимости от того, регистрируете ли вы средства выполнения в репозитории, организации или предприятия{остальные %} или организации уровня. Дополнительные сведения о создании personal access token (classic)см. в разделе Управление личными маркерами доступа.

    Ниже приведен список обязательных областей personal access token для runners ARC.

    • Средства выполнения репозитория: repo
    • Запуски организации: admin:org
    • Корпоративные бегуни: manage_runners:enterprise

  2. Чтобы создать секрет Kubernetes со значением данных personal access token (classic), используйте следующую команду.

    Примечание.

    Создайте секрет в том же пространстве имен, где установлена диаграмма gha-runner-scale-set . В этом примере пространство имен соответствует arc-runners документации по краткому руководству. Дополнительные сведения см. в разделе Краткое руководство по контроллеру запуска действий.

    Bash
    kubectl create secret generic pre-defined-secret \
   --namespace=arc-runners \
   --from-literal=github_token='YOUR-PAT'

  3. В копии файла передайте имя секрета values.yaml в качестве ссылки.

    githubConfigSecret: pre-defined-secret

    Дополнительные параметры конфигурации Helm см values.yaml . в репозитории ARC.

Проверка подлинности ARC с помощью секретов хранилища

Примечание.

Интеграция хранилища в настоящее время доступна в общедоступной предварительной версии с поддержкой Azure Key Vault.

Начиная с gha-runner-scale-set версии 0.12.0, ARC поддерживает получение учетных данных GitHub из внешнего хранилища. Интеграция хранилища настраивается на масштабируемый набор runner. Это означает, что некоторые масштабируемые наборы можно запускать с помощью секретов Kubernetes, а другие используют секреты на основе хранилища в зависимости от требований к безопасности и эксплуатации.

Включение интеграции Хранилища

Чтобы включить интеграцию хранилища для масштабируемого набора runner, выполните следующую команду:

  1. githubConfigSecret Задайте для поля в values.yaml файле имя секретного ключа, хранящегося в хранилище. Это значение должно быть строкой.
  2. Раскомментируйте и настройте keyVault раздел в values.yaml файле с соответствующим поставщиком и сведениями о доступе.
  3. Предоставьте требуемый сертификат (.pfx) контроллеру и прослушивателю. Это можно сделать: *Перестроение образа контроллера с включенным сертификатом или *Подключение сертификата в качестве тома в контроллере и прослушивателе с помощью listenerTemplate полей и controllerManager полей.

Формат секрета

Секрет, хранящийся в Azure Key Vault, должен быть в формате JSON. Структура зависит от типа используемой проверки подлинности:

Пример: токен GitHub

{
  "github_token": "TOKEN"
}

Пример: приложение GitHub

{
  "github_app_id": "APP_ID_OR_CLIENT_ID",
  "github_app_installation_id": "INSTALLATION_ID",
  "github_app_private_key": "PRIVATE_KEY"
}

Настройка интеграции с Хранилищем values.yaml

Сертификат хранится в виде PFX-файла и подключен к контейнеру по адресу /akv/cert.pfx. Ниже приведен пример настройки раздела keyVault для использования этого сертификата для проверки подлинности:

keyVault:
  type: "azure_key_vault"
  proxy:
    https:
      url: "PROXY_URL"
      credentialSecretRef: "PROXY_CREDENTIALS_SECRET_NAME"
    http: {}
    noProxy: []
  azureKeyVault:
    clientId: 
    tenantId: 
    url: 
    certificatePath: "/akv/cert.pfx"

Предоставление сертификата контроллеру и прослушивателю

Для проверки подлинности в хранилище требуется .pfx сертификат. Этот сертификат должен быть доступен как контроллеру, так и компонентам прослушивателя во время установки контроллера. Для этого можно подключить сертификат в качестве тома с помощью controllerManager listenerTemplate полей в values.yaml файле:

volumes:
  - name: cert-volume
    secret:
      secretName: my-cert-secret
volumeMounts:
  - mountPath: /akv
    name: cert-volume
    readOnly: true

listenerTemplate:
  volumeMounts:
    - name: cert-volume
      mountPath: /akv/certs
      readOnly: true
  volumes:
    - name: cert-volume
      secret:
        secretName: my-cert-secret

Приведенный ниже код является примером файла масштабируемого набора values.yml .

listenerTemplate:
  spec:
    containers:
      - name: listener
        volumeMounts:
          - name: cert-volume
            mountPath: /akv
            readOnly: true
    volumes:
      - name: cert-volume
        secret:
          secretName: my-cert-secret

Юридическая информация

Части были адаптированы в соответствии с https://github.com/actions/actions-runner-controller/ лицензией Apache-2.0:

Copyright 2019 Moto Ishizawa

Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at

    http://www.apache.org/licenses/LICENSE-2.0

Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.