Halaman ini menjelaskan cara menghubungkan host Bitbucket Cloud ke Cloud Build.
Sebelum memulai
-
Enable the Cloud Build, Secret Manager, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
- Pastikan kode sumber berada di repositori Bitbucket Cloud.
- Pastikan repositori sumber Bitbucket Cloud memiliki
Dockerfileatau file konfigurasi Cloud Build. - Instal Google Cloud CLI untuk menggunakan perintah
gcloud.
Izin IAM yang diperlukan
Untuk memastikan memiliki izin yang diperlukan untuk terhubung, minta administrator Anda untuk memberi peran IAM Cloud Build Connection Admin (cloudbuild.connectionAdmin) di akun pengguna Anda.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Administrator Anda mungkin juga dapat memberikan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat token akses Bitbucket Cloud
Buat dua token akses berikut di Bitbucket Cloud:
- Token akses admin - untuk menghubungkan dan memutuskan hubungan repositori.
- Baca token akses - untuk mengizinkan Cloud Build mengakses kode sumber Anda.
Untuk membuat token ini, ikuti langkah-langkah berikut:
Login ke Bitbucket Cloud.
Ikuti petunjuk Bitbucket Cloud untuk membuat token akses yang ditautkan ke repositori, project, atau ruang kerja Anda.
Berikan izin berikut:
Token akses admin:
- Repositori: Baca dan Admin
- Permintaan Pull: Baca
- Webhook: Baca dan Tulis
Token akses baca:
- Repositori: Baca
Salin token Anda untuk digunakan dalam prosedur berikut.
Menghubungkan ke host Bitbucket Cloud
Konsol
Hubungkan Cloud Build ke host Bitbucket Cloud Anda dengan menyelesaikan langkah-langkah berikut:
Buka halaman Repositori di Google Cloud konsol.
Anda akan melihat halaman Repositori.
Di pemilih project, pilih project Google Cloud Anda.
Di bagian atas halaman, pilih tab Generasi ke-2.
Klik Create host connection untuk menghubungkan host baru ke Cloud Build.
Pilih Bitbucket sebagai penyedia sumber Anda.
Di bagian Configure Connection, masukkan informasi berikut:
Region: Pilih region untuk koneksi Anda.
Name: Masukkan nama untuk koneksi Anda.
Di bagian Detail host, pilih Bitbucket Cloud sebagai jenis host Anda.
Workspace: Masukkan ID ruang kerja untuk repositori Cloud Bitbucket Anda.
Token akses: Masukkan token akses admin Anda yang dibuat sebelumnya.
Token akses baca: Masukkan token akses baca yang dibuat sebelumnya.
Klik Hubungkan.
Koneksi baru akan muncul di halaman Repositori.
gcloud
Selesaikan langkah-langkah berikut untuk menyimpan kredensial Anda:
Simpan token akses Anda di Secret Manager di project Google Cloud Anda dengan menjalankan perintah berikut:
echo -n ADMIN_TOKEN | gcloud secrets create ADMIN_SECRET_NAME --data-file=- echo -n READ_TOKEN | gcloud secrets create READ_SECRET_NAME --data-file=-Dengan:
- ADMIN_TOKEN adalah token akses admin Anda.
- ADMIN_SECRET_NAME adalah nama yang ingin Anda berikan ke secret token akses admin Anda di Secret Manager.
- READ_TOKEN adalah token akses baca Anda.
- READ_SECRET_NAME adalah nama yang ingin Anda berikan ke secret token akses baca di Secret Manager.
Buat secret webhook di Secret Manager dengan menjalankan perintah berikut, dengan WEBHOOK_SECRET_NAME adalah nama yang ingin Anda berikan ke secret webhook Anda:
echo -n ${ex.(random-uuid)} | gcloud secrets create WEBHOOK_SECRET_NAME --data-file=-Jika semua secret Anda tidak berada dalam project yang sama, berikan akses ke agen layanan Cloud Build Anda dengan menjalankan perintah berikut:
PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") CLOUD_BUILD_SERVICE_ACCOUNT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com" gcloud secrets add-iam-policy-binding ADMIN_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding READ_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding WEBHOOK_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor"Dengan:
- PROJECT_ID adalah Google Cloud project ID Anda.
- ADMIN_SECRET_NAME adalah nama rahasia token admin Anda.
- READ_SECRET_NAME adalah nama rahasia token baca Anda.
- WEBHOOK_SECRET_NAME adalah nama rahasia webhook Anda.
Hubungkan Cloud Build ke host Bitbucket Cloud Anda menggunakan perintah berikut:
gcloud builds connections create bitbucket-cloud CONNECTION_NAME \ --workspace=WORKSPACE_ID \ --project=PROJECT_ID \ --region=REGION \ --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_SECRET_NAME/versions/latest \ --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_SECRET_NAME/versions/latest \ --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET_NAME/versions/1Dengan:
- CONNECTION_NAME adalah nama yang ingin Anda berikan ke koneksi ke host Bitbucket Cloud Anda.
- WORKSPACE_ID adalah ID Workspace untuk repositori Bitbucket Cloud Anda.
- PROJECT_ID adalah Google Cloud project ID Anda.
- REGION adalah region untuk koneksi host Anda.
- ADMIN_SECRET_NAME adalah nama rahasia token admin Anda.
- READ_SECRET_NAME adalah nama rahasia token akses baca Anda.
- WEBHOOK_SECRET_NAME adalah nama rahasia webhook Anda.
Terraform
Anda dapat menghubungkan host Bitbucket Cloud ke Cloud Build menggunakan Terraform.
Dalam contoh berikut, cuplikan kode melakukan hal berikut:
- Mengonfigurasi penyedia Google Terraform.
- Membuat secret Secret Manager untuk menyimpan token Bitbucket.
- Memberikan izin yang diperlukan kepada agen layanan Cloud Build untuk mengakses secret.
Membuat koneksi Bitbucket Cloud.
// Configure the Terraform Google provider terraform { required_providers { google = {} } } provider "google" { project = "PROJECT_ID" region = "REGION" } // Create secrets and grant permissions to the Cloud Build service agent resource "google_secret_manager_secret" "admin-token-secret" { project = "PROJECT_ID" secret_id = "ADMIN_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "admin-token-secret-version" { secret = google_secret_manager_secret.admin-token-secret.id secret_data = "ADMIN_TOKEN_VALUE" } resource "google_secret_manager_secret" "read-token-secret" { project = "PROJECT_ID" secret_id = "READ_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "read-token-secret-version" { secret = google_secret_manager_secret.read-token-secret.id secret_data = "READ_TOKEN_VALUE" } resource "google_secret_manager_secret" "webhook-secret-secret" { project = "PROJECT_ID" secret_id = "WEBHOOK_SECRET_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "webhook-secret-secret-version" { secret = google_secret_manager_secret.webhook-secret-secret.id secret_data = "WEBHOOK_SECRET_VALUE" } data "google_iam_policy" "p4sa-secretAccessor" { binding { role = "roles/secretmanager.secretAccessor" members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"] } } resource "google_secret_manager_secret_iam_policy" "policy-pak" { project = google_secret_manager_secret.admin-token-secret.project secret_id = google_secret_manager_secret.admin-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-rpak" { project = google_secret_manager_secret.read-token-secret.project secret_id = google_secret_manager_secret.read-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-whs" { project = google_secret_manager_secret.webhook-secret-secret.project secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } // Create the connection and add the repository resource resource "google_cloudbuildv2_connection" "my-connection" { project = "PROJECT_ID" location = "REGION" name = "CONNECTION_NAME" bitbucket_cloud_config { workspace = "WORKSPACE_ID" authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id } read_authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id } webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id } depends_on = [ google_secret_manager_secret_iam_policy.policy-pak, google_secret_manager_secret_iam_policy.policy-rpak, google_secret_manager_secret_iam_policy.policy-whs ] }
Dengan:
- PROJECT_ID adalah Google Cloud project ID Anda.
- PROJECT_NUMBER adalah nomor project Google Cloud Anda.
- ADMIN_TOKEN_NAME adalah nama token Anda dengan akses cakupan
webhook,repository,repository:admin, danpullrequest. - ADMIN_TOKEN_VALUE adalah nilai ADMIN_TOKEN_NAME.
- READ_TOKEN_NAME adalah nama token Anda dengan cakupan
repository:read. - READ_TOKEN_VALUE adalah nilai READ_TOKEN_NAME.
- WEBHOOK_SECRET_NAME adalah nama rahasia webhook Anda.
- WEBHOOK_SECRET_VALUE adalah nilai WEBHOOK_SECRET_NAME.
- REGION adalah region untuk koneksi Anda.
- CONNECTION_NAME adalah nama koneksi Anda.
- WORKSPACE_ID adalah ID Workspace untuk repositori Bitbucket Cloud Anda.
Mengganti token akses Bitbucket Cloud yang lama atau sudah habis masa berlakunya
Jika token akses Bitbucket Cloud Anda berakhir, koneksi host Cloud Build Anda akan terputus dari repositori Bitbucket Cloud-nya. Akibatnya, Anda akan melihat error dalam situasi berikut:
Saat Anda mencoba menautkan koneksi Cloud Build repositori Bitbucket Cloud, pesan
Failed to fetch repositories to link. Check that Cloud Build is still authorized to access data from the selected connectionakan muncul.Di halaman Pemicu, saat Anda mengklik Jalankan, halaman Jalankan pemicu akan terbuka dan menampilkan pesan
Failed to list branches. You can still enter one manually
Untuk mengganti token lama atau yang sudah habis masa berlakunya untuk koneksi Anda, lakukan hal berikut:
Temukan rahasia yang terkait dengan koneksi host Anda:
Jalankan perintah berikut:
gcloud builds connections describe CONNECTION_PATH --region=REGIONDengan:
- CONNECTION_PATH adalah jalur koneksi host Bitbucket Cloud Anda di Cloud Build, dalam format
projects/PROJECT_ID/locations/REGION/connections/CONNECTION_NAME. - REGION adalah region untuk koneksi Anda.
- CONNECTION_PATH adalah jalur koneksi host Bitbucket Cloud Anda di Cloud Build, dalam format
Di output perintah, cari nilai kolom token pengguna Anda.
readAuthorizerCredential.userTokenSecretVersionmenampilkan nama Secret Manager untuk tokenRead, danauthorizerCredential.userTokenSecretVersionmenampilkan nama Secret Manager untuk tokenAdmin. Nama ini disimpan sebagai secret di Secret Manager.
Ganti setiap token akses di Bitbucket Cloud:
Buka repositori Bitbucket Cloud yang terhubung ke koneksi host Cloud Build Anda.
Ikuti petunjuk dalam dokumentasi Bitbucket untuk mengganti token akses. Saat Anda merotasi token, Bitbucket Cloud akan membuat token baru dengan kredensial baru dan membatalkan validasi token versi sebelumnya. Token yang dirotasi memiliki izin dan cakupan yang sama dengan token asli.
Salin ID token yang dirotasi.
Buat versi rahasia baru untuk setiap token:
Buka halaman Secret Manager di konsol Google Cloud :
Untuk setiap token yang Anda ganti, temukan nama rahasia yang Anda identifikasi di Langkah 1, lalu klik Actions, kemudian klik Add new version.
Di jendela Add new version, masukkan ID token yang dirotasi, lalu klik Add new version.
Langkah berikutnya
- Pelajari cara terhubung ke repositori Bitbucket Cloud.
- Pelajari cara melihat hasil build.
- Pelajari cara melakukan deployment biru/hijau di Compute Engine.