Conéctate a un host de Bitbucket Data Center

En esta página, se explica cómo conectar un host de Bitbucket Data Center a Cloud Build. Conectarse a un host de Bitbucket Data Center integra tus repositorios de Bitbucket Data Center con Cloud Build. De esta manera, puedes configurar activadores de compilación para compilar repositorios desde Bitbucket Data Center y compilar repositorios desde Bitbucket Data Center en una red privada.

Antes de comenzar

  • Enable the Cloud Build and Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

Permisos de IAM obligatorios

Para obtener los permisos que necesitas para conectarte a tu host de Bitbucket Data Center, pídele a tu administrador que te otorgue el rol de IAM de administrador de conexión de Cloud Build (roles/cloudbuild.connectionAdmin) en tu cuenta de usuario. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Si tu instancia de Bitbucket Data Center está alojada en una red privada, consulta Compila repositorios desde Bitbucket Data Center en una red privada para obtener información sobre los roles de IAM adicionales que se requieren para configurar una conexión de host.

Crea tokens de acceso personal

Antes de crear una conexión de host para tu instancia de Bitbucket Data Center, crea tokens de acceso personal en Bitbucket Data Center de la siguiente manera:

  1. Accede a tu instancia de Bitbucket Data Center.

  2. Sigue las instrucciones para crear tokens de acceso HTTP para tu cuenta de usuario.

    1. Crea un token de acceso con el permiso de administrador del repositorio para conectar y desconectar repositorios.

    2. Crea un token de acceso con el permiso lectura del repositorio para garantizar que los repositorios de Cloud Build puedan acceder al código fuente en los repositorios.

  3. Guarda los valores de token de forma segura. Los usarás para conectarte a tu repositorio de Bitbucket Data Center.

Conéctate a un host de Bitbucket Data Center

Console

Para conectar tu host de Bitbucket Data Center a Cloud Build, haz lo siguiente:

  1. Abre la página Repositorios en la consola de Google Cloud .

    Abrir la página repositorios

  2. En la parte superior de la página, selecciona la pestaña 2ª gen..

  3. En el selector de proyectos de la barra superior, selecciona tu proyecto Google Cloud .

  4. Haz clic en Crear conexión de host para conectar un host nuevo a Cloud Build.

  5. En el panel izquierdo, selecciona Bitbucket como tu proveedor de fuentes.

  6. En la sección Configurar conexión, ingresa la siguiente información:

    1. Región: Selecciona una región para tu conexión. Debes especificar una región. Tu conexión no puede existir de forma global.

    2. Nombre: Ingresa un nombre para tu conexión.

  7. En la sección Detalles del host, selecciona o ingresa la siguiente información:

    1. Host de Bitbucket: Selecciona Bitbucket Data Center como tu host.

    2. URL del host: Ingresa la URL de tu host de Bitbucket Data Center.

  8. En la sección Herramientas de redes, selecciona una de las siguientes opciones:

    1. Internet pública: Selecciona esta opción si se puede acceder a tu instancia a través de Internet pública.

    2. Red privada: Selecciona esta opción si tu instancia está alojada en una red privada.

      1. Certificado de CA: Es tu certificado autofirmado. Haz clic en Explorar para abrir el certificado desde tu máquina local.

        El certificado no debe superar los 10 KB y debe estar en formato PEM (.pem, .cer o .crt). Si dejas este campo en blanco, Cloud Build usará un certificado del conjunto predeterminado de certificados.

      2. En la sección Servicio de directorio de servicios, selecciona la ubicación de tu servicio. Puedes aceptar el ID del proyecto propagado previamente o especificar otro proyecto.

        1. Selecciona el proyecto de tu servicio. Puedes aceptar el proyecto completado previamente, elegir En otro proyecto para explorar o elegir Ingresar manualmente.

          Si eliges Ingresar manualmente, ingresa la siguiente información:

          • Proyecto: Ingresa o selecciona el ID del proyecto de Google Clouden el menú desplegable.

          • Región: En este campo, se preselecciona la región de tu conexión. La región especificada para tu servicio debe coincidir con la región asociada a tu conexión.

        2. Espacio de nombres: Selecciona el espacio de nombres de tu servicio.

        3. Servicio: Selecciona el nombre del servicio en tu espacio de nombres.

  9. En la sección Tokens de acceso HTTP, ingresa la siguiente información:

    1. Token de acceso de administrador: Ingresa el token con acceso de permiso de administrador de repositorios. Este token se usa para conectar y desconectar repositorios.

    2. Token de acceso de lectura: Ingresa el token con acceso al permiso de lectura de repositorios. Los activadores de Cloud Build usan este token para acceder al código fuente en los repositorios.

  10. Haz clic en Conectar.

    Después de hacer clic en el botón Conectar, tus tokens de acceso personal se almacenarán de forma segura en Secret Manager. Después de conectarse al host de Bitbucket Data Center, Cloud Build crea un secreto de webhook en tu nombre. Puedes ver y administrar tus secretos en la página de Secret Manager.

gcloud

  1. Almacena tus tokens en Secret Manager.

  2. Ejecuta el siguiente comando para crear un secreto de webhook en Secret Manager, donde WEBHOOK_SECRET es el nombre que deseas asignarle a tu secreto de webhook:

      cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create WEBHOOK_SECRET --data-file=-

  3. Si almacenas tus secretos en un proyecto de Google Cloud diferente del que planeas usar para crear una conexión con el host, ejecuta el siguiente comando para otorgar a tu proyecto acceso al agente de servicio de Cloud Build:

    PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
    --role="roles/secretmanager.admin"

    Aquí:

    • PROJECT_ID es el ID de tu proyecto de Google Cloud .

Ahora puedes conectar tu host de Bitbucket Data Center a Cloud Build.

  1. Ejecuta el siguiente comando para crear una conexión de Bitbucket Data Center:

    gcloud builds connections create bitbucket-data-center CONNECTION_NAME \
    --host-uri=HOST_URI \
    --project=PROJECT_ID \
    --region=REGION \
    --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_TOKEN/versions/SECRET_VERSION \
    --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \
    --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION
 ```

Where:
    • CONNECTION_NAME es un nombre para la conexión del host de Bitbucket Data Center en Cloud Build.
    • HOST_URI es el URI de tu instancia de Bitbucket Data Center.
    • PROJECT_ID es el Google Cloud ID del proyecto.
    • REGION es la región de tu conexión.
    • ADMIN_TOKEN es el nombre de tu token con permiso de administrador de repositorios.
    • READ_TOKEN es el nombre de tu token con permiso de lectura de repositorios.
    • SECRET_VERSION es la versión de tu secreto.
    • WEBHOOK_SECRET es tu secreto de webhook.

Terraform

Puedes conectar tu host de Bitbucket Data Center a Cloud Build con Terraform.

En el siguiente ejemplo, el fragmento de código hace lo siguiente:

  • Configura el proveedor de Google de Terraform.
  • Crea un secreto de Secret Manager para almacenar los tokens de Bitbucket.
  • Otorga los permisos necesarios al agente de servicio de Cloud Build para acceder a los secretos.

  • Crea una conexión de Bitbucket Data Center.

    // Configure the Terraform Google provider
terraform {
  required_providers {
    google = {}
  }
}

provider "google" {
  project = "PROJECT_ID"
  region = "REGION"
}

// Create secrets and grant permissions to the Cloud Build service agent
resource "google_secret_manager_secret" "admin-token-secret" {
    project = "PROJECT_ID"
    secret_id = "ADMIN_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "admin-token-secret-version" {
    secret = google_secret_manager_secret.admin-token-secret.id
    secret_data = "ADMIN_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "read-token-secret" {
    project = "PROJECT_ID"
    secret_id = "READ_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "read-token-secret-version" {
    secret = google_secret_manager_secret.read-token-secret.id
    secret_data = "READ_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "webhook-secret-secret" {
    project = "PROJECT_ID"
    secret_id = "WEBHOOK_SECRET_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "webhook-secret-secret-version" {
    secret = google_secret_manager_secret.webhook-secret-secret.id
    secret_data = "WEBHOOK_SECRET_VALUE"
}

data "google_iam_policy" "p4sa-secretAccessor" {
    binding {
        role = "roles/secretmanager.secretAccessor"
        members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
    }
}

resource "google_secret_manager_secret_iam_policy" "policy-pak" {
  project = google_secret_manager_secret.admin-token-secret.project
  secret_id = google_secret_manager_secret.admin-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-rpak" {
  project = google_secret_manager_secret.read-token-secret.project
  secret_id = google_secret_manager_secret.read-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-whs" {
  project = google_secret_manager_secret.webhook-secret-secret.project
  secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

// Create the connection resource
resource "google_cloudbuildv2_connection" "my-connection" {
    project = "PROJECT_ID"
    location = "REGION"
    name = "CONNECTION_NAME"

    bitbucket_data_center_config {
        host_uri = "BITBUCKET_URI"
        authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id
        }
        read_authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id
        }
        webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id
    }

    depends_on = [
        google_secret_manager_secret_iam_policy.policy-pak,
        google_secret_manager_secret_iam_policy.policy-rpak,
        google_secret_manager_secret_iam_policy.policy-whs
    ]
}

Aquí:

  • PROJECT_ID es el Google Cloud ID del proyecto.
  • PROJECT_NUMBER es el número de tu proyecto Google Cloud .
  • ADMIN_TOKEN_NAME es el nombre de tu token con alcance de repository:admin.
  • ADMIN_TOKEN_VALUE es el valor de tu ADMIN_TOKEN_NAME.
  • READ_TOKEN_NAME es el nombre de tu token con alcance de repository:read.
  • READ_TOKEN_VALUE es el valor de tu READ_TOKEN_NAME.
  • WEBHOOK_SECRET_NAME es el nombre de tu secreto de webhook.
  • WEBHOOK_SECRET_VALUE es el valor de tu WEBHOOK_SECRET_NAME.
  • REGION es la región de tu conexión.
  • CONNECTION_NAME es un nombre para la conexión del host de Bitbucket Data Center en Cloud Build.
  • BITBUCKET_URI es el URI de tu instancia de Bitbucket Data Center.

Cómo rotar tokens de acceso antiguos o vencidos de Bitbucket Data Center

Si vence tu token de acceso a Bitbucket Data Center, se desconectará la conexión de tu host de Cloud Build a su repositorio de Bitbucket Data Center. Como resultado, verás errores en las siguientes circunstancias:

  • Cuando intentas vincular una conexión de Cloud Build a un repositorio de Bitbucket Data Center, aparece un mensaje de Failed to fetch repositories to link. Check that Cloud Build is still authorized to access data from the selected connection.

  • En la página Activadores, cuando haces clic en Ejecutar, se abre la página Ejecutar activador y se muestra un mensaje de Failed to list branches. You can still enter one manually.

Para rotar un token antiguo o vencido para tu conexión, haz lo siguiente:

  1. Busca los secretos asociados con la conexión del host:

    1. Ejecuta el comando siguiente:

      gcloud builds connections describe CONNECTION_PATH --region=REGION

      Aquí:

      • CONNECTION_PATH es la ruta de conexión del host de Bitbucket Data Center en Cloud Build, con el formato projects/PROJECT_ID/locations/REGION/connections/CONNECTION_NAME.
      • REGION es la región de tu conexión.

    2. En el resultado del comando, busca los valores de los campos de tu token de usuario. readAuthorizerCredential.userTokenSecretVersion muestra el nombre de Secret Manager del token Read, y authorizerCredential.userTokenSecretVersion muestra el nombre de Secret Manager del token Admin. Estos nombres se almacenan como secretos en Secret Manager.

  2. Rota cada token de acceso en Bitbucket Data Center:

    1. Ve al repositorio de Bitbucket Data Center conectado a tu conexión de host de Cloud Build.

    2. Sigue las instrucciones de la documentación de Bitbucket para rotar un token de acceso. Cuando rotas un token, Bitbucket Data Center crea uno nuevo con credenciales nuevas y anula la versión anterior de ese token. El token rotado tiene los mismos permisos y alcance que el token original.

    3. Copia el ID del token rotado.

  3. Crea una nueva versión del secreto para cada token:

    1. Abre la página Secret Manager en la consola de Google Cloud :

      Abrir la página Administrador de secretos

    2. Para cada token que rotaste, busca el nombre del secreto que identificaste en el paso 1, haz clic en Acciones y, luego, en Agregar nueva versión.

    3. En la ventana Agregar versión nueva, ingresa el ID de tu token rotado y, luego, haz clic en Agregar versión nueva.

Para obtener más información, consulta Tokens de acceso y Mejora la seguridad en Bitbucket: Presentamos el vencimiento de los tokens de acceso en la documentación de Bitbucket Data Center.

¿Qué sigue?