Se connecter à un hôte Bitbucket Data Center

Cette page explique comment connecter un hôte Bitbucket Data Center à Cloud Build. La connexion à un hôte Bitbucket Data Center permet d'intégrer vos dépôts Bitbucket Data Center à Cloud Build. Vous pouvez ainsi configurer des déclencheurs de compilation pour créer des dépôts à partir de Bitbucket Data Center et créer des dépôts à partir de Bitbucket Data Center dans un réseau privé.

Avant de commencer

  • Enable the Cloud Build and Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • Préparez votre code source dans un dépôt Bitbucket Data Center.
  • Vous devez disposer d'un fichier de configuration Dockerfile ou Cloud Build dans votre dépôt source Bitbucket Data Center.
  • Si vous n'avez pas installé d'instance Bitbucket Data Center, consultez le guide d'installation de Bitbucket Data Center pour obtenir des instructions.

Autorisations IAM requises

Pour obtenir les autorisations nécessaires pour vous connecter à votre hôte Bitbucket Data Center, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de connexion Cloud Build (roles/cloudbuild.connectionAdmin) sur votre compte utilisateur. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Si votre instance Bitbucket Data Center est hébergée dans un réseau privé, consultez Créer des dépôts à partir de Bitbucket Data Center dans un réseau privé pour en savoir plus sur les rôles IAM supplémentaires requis pour configurer une connexion hôte.

Créer des jetons d'accès personnels

Avant de créer une connexion hôte pour votre instance Bitbucket Data Center, créez des jetons d'accès personnels dans Bitbucket Data Center en procédant comme suit :

  1. Connectez-vous à votre instance Bitbucket Data Center.

  2. Suivez les instructions pour créer des jetons d'accès HTTP pour votre compte utilisateur.

    1. Créez un jeton d'accès avec le champ d'application repository admin (administrateur de dépôt) pour l'utiliser afin de connecter et de déconnecter des dépôts.

    2. Créez un jeton d'accès avec le champ d'application repository read pour vous assurer que les dépôts Cloud Build peuvent accéder au code source des dépôts.

  3. Enregistrez vos valeurs de jeton de manière sécurisée. Vous les utiliserez pour vous connecter à votre dépôt Bitbucket Data Center.

Se connecter à un hôte Bitbucket Data Center

Console

Pour connecter votre hôte Bitbucket Data Center à Cloud Build :

  1. Ouvrez la page Dépôts dans la console Google Cloud .

    Ouvrir la page "Dépôts"

  2. En haut de la page, sélectionnez l'onglet 2e génération.

  3. Dans le sélecteur de projet de la barre supérieure, sélectionnez votre projet Google Cloud .

  4. Cliquez sur Créer une connexion hôte pour connecter un nouvel hôte à Cloud Build.

  5. Dans le panneau de gauche, sélectionnez Bitbucket comme fournisseur de source.

  6. Dans la section Configurer la connexion, saisissez les informations suivantes :

    1. Région : sélectionnez une région pour votre connexion. Vous devez spécifier une région. Votre connexion ne peut pas exister à l'échelle mondiale.

    2. Nom : saisissez un nom pour votre connexion.

  7. Dans la section Détails de l'hôte, sélectionnez ou saisissez les informations suivantes :

    1. Hôte Bitbucket : sélectionnez Bitbucket Data Center comme hôte.

    2. URL de l'hôte : saisissez l'URL de votre hôte Bitbucket Data Center.

  8. Dans la section Mise en réseau, sélectionnez l'une des options suivantes :

    1. Internet public : sélectionnez cette option si votre instance est accessible via l'Internet public.

    2. Réseau privé : sélectionnez cette option si votre instance est hébergée sur un réseau privé.

      1. Certificat CA : votre certificat autosigné. Cliquez sur Parcourir pour ouvrir le certificat depuis votre ordinateur local.

        Votre certificat ne doit pas dépasser 10 Ko et doit être au format PEM (.pem, .cer ou .crt). Si vous laissez ce champ vide, Cloud Build utilise un certificat de l'ensemble de certificats par défaut.

      2. Dans la section Service Service Directory, sélectionnez l'emplacement de votre service. Vous pouvez accepter l'ID de projet prérempli ou spécifier un autre projet.

        1. Sélectionnez le projet de votre service. Vous pouvez accepter le projet prérempli, sélectionner Dans un autre projet pour parcourir les projets ou sélectionner Saisir manuellement.

          Si vous sélectionnez Saisir manuellement, saisissez les informations suivantes :

          • Projet : saisissez ou sélectionnez l'ID de votre projet Google Clouddans le menu déroulant.

          • Région : ce champ présélectionne la région de votre connexion. La région spécifiée pour votre service doit correspondre à celle associée à votre connexion.

        2. Espace de noms : sélectionnez l'espace de noms de votre service.

        3. Service : sélectionnez le nom du service dans votre espace de noms.

  9. Dans la section Jetons d'accès HTTP, saisissez les informations suivantes :

    1. Jeton d'accès administrateur : saisissez le jeton avec le niveau d'accès administrateur de dépôt. Ce jeton est utilisé pour associer et dissocier des dépôts.

    2. Jeton d'accès en lecture : saisissez le jeton avec le niveau d'accès lecture de dépôts. Les déclencheurs Cloud Build utilisent ce jeton pour accéder au code source dans les dépôts.

  10. Cliquez sur Se connecter.

    Après avoir cliqué sur le bouton Connecter, vos jetons d'accès personnels sont stockés de manière sécurisée dans Secret Manager. Une fois la connexion à l'hôte Bitbucket Data Center établie, Cloud Build crée un secret de webhook en votre nom. Vous pouvez afficher et gérer vos secrets sur la page Secret Manager.

gcloud

  1. Stockez vos jetons dans Secret Manager.

  2. Créez un secret de webhook dans Secret Manager en exécutant la commande suivante, où WEBHOOK_SECRET correspond au nom que vous souhaitez attribuer à votre secret de webhook :

      cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create WEBHOOK_SECRET --data-file=-

  3. Si vous stockez vos secrets dans un projet Google Cloud différent de celui que vous prévoyez d'utiliser pour créer une connexion hôte, exécutez la commande suivante pour accorder à votre projet l'accès à l'agent de service Cloud Build :

    PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
    --role="roles/secretmanager.admin"

    Où :

    • PROJECT_ID est l'ID de votre projet Google Cloud .

Vous pouvez maintenant connecter votre hôte Bitbucket Data Center à Cloud Build.

  1. Exécutez la commande suivante pour créer une connexion Bitbucket Data Center :

    gcloud builds connections create bitbucket-data-center CONNECTION_NAME \
    --host-uri=HOST_URI \
    --project=PROJECT_ID \
    --region=REGION \
    --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_TOKEN/versions/SECRET_VERSION \
    --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \
    --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION
 ```

Where:
    • CONNECTION_NAME est le nom de votre connexion hôte Bitbucket Data Center dans Cloud Build.
    • HOST_URI est l'URI de votre instance Bitbucket Data Center.
    • PROJECT_ID est l' Google Cloud ID de votre projet.
    • REGION est la région de votre connexion.
    • ADMIN_TOKEN est le nom de votre jeton avec le niveau d'accès administrateur de dépôt.
    • READ_TOKEN est le nom de votre jeton avec le champ d'application lecture de dépôts.
    • SECRET_VERSION est la version de votre secret.
    • WEBHOOK_SECRET est le secret de votre webhook.

Terraform

Vous pouvez connecter votre hôte Bitbucket Data Center à Cloud Build à l'aide de Terraform.

Dans l'exemple suivant, l'extrait de code effectue les opérations suivantes :

  • Configure le fournisseur Google Terraform.
  • Crée un secret Secret Manager pour stocker les jetons Bitbucket.
  • Accorde les autorisations nécessaires à l'agent de service Cloud Build pour accéder aux secrets.

  • Crée une connexion Bitbucket Data Center.

    // Configure the Terraform Google provider
terraform {
  required_providers {
    google = {}
  }
}

provider "google" {
  project = "PROJECT_ID"
  region = "REGION"
}

// Create secrets and grant permissions to the Cloud Build service agent
resource "google_secret_manager_secret" "admin-token-secret" {
    project = "PROJECT_ID"
    secret_id = "ADMIN_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "admin-token-secret-version" {
    secret = google_secret_manager_secret.admin-token-secret.id
    secret_data = "ADMIN_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "read-token-secret" {
    project = "PROJECT_ID"
    secret_id = "READ_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "read-token-secret-version" {
    secret = google_secret_manager_secret.read-token-secret.id
    secret_data = "READ_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "webhook-secret-secret" {
    project = "PROJECT_ID"
    secret_id = "WEBHOOK_SECRET_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "webhook-secret-secret-version" {
    secret = google_secret_manager_secret.webhook-secret-secret.id
    secret_data = "WEBHOOK_SECRET_VALUE"
}

data "google_iam_policy" "p4sa-secretAccessor" {
    binding {
        role = "roles/secretmanager.secretAccessor"
        members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
    }
}

resource "google_secret_manager_secret_iam_policy" "policy-pak" {
  project = google_secret_manager_secret.admin-token-secret.project
  secret_id = google_secret_manager_secret.admin-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-rpak" {
  project = google_secret_manager_secret.read-token-secret.project
  secret_id = google_secret_manager_secret.read-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-whs" {
  project = google_secret_manager_secret.webhook-secret-secret.project
  secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

// Create the connection resource
resource "google_cloudbuildv2_connection" "my-connection" {
    project = "PROJECT_ID"
    location = "REGION"
    name = "CONNECTION_NAME"

    bitbucket_data_center_config {
        host_uri = "BITBUCKET_URI"
        authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id
        }
        read_authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id
        }
        webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id
    }

    depends_on = [
        google_secret_manager_secret_iam_policy.policy-pak,
        google_secret_manager_secret_iam_policy.policy-rpak,
        google_secret_manager_secret_iam_policy.policy-whs
    ]
}

Où :

  • PROJECT_ID est l' Google Cloud ID de votre projet.
  • PROJECT_NUMBER est le numéro de votre projet Google Cloud .
  • ADMIN_TOKEN_NAME est le nom de votre jeton avec le champ d'application repository:admin.
  • ADMIN_TOKEN_VALUE correspond à la valeur de votre ADMIN_TOKEN_NAME.
  • READ_TOKEN_NAME est le nom de votre jeton avec le champ d'application repository:read.
  • READ_TOKEN_VALUE correspond à la valeur de votre READ_TOKEN_NAME.
  • WEBHOOK_SECRET_NAME est le nom de votre secret de webhook.
  • WEBHOOK_SECRET_VALUE correspond à la valeur de votre WEBHOOK_SECRET_NAME.
  • REGION est la région de votre connexion.
  • CONNECTION_NAME est le nom de votre connexion hôte Bitbucket Data Center dans Cloud Build.
  • BITBUCKET_URI est l'URI de votre instance Bitbucket Data Center.

Faire tourner les jetons d'accès Bitbucket Data Center anciens ou expirés

Si votre jeton d'accès Bitbucket Data Center expire, votre connexion d'hôte Cloud Build est déconnectée de son dépôt Bitbucket Data Center. Par conséquent, des erreurs s'affichent dans les cas suivants :

  • Lorsque vous essayez d'associer une connexion Cloud Build à un dépôt Bitbucket Data Center, un message Failed to fetch repositories to link. Check that Cloud Build is still authorized to access data from the selected connection s'affiche.

  • Sur la page Déclencheurs, lorsque vous cliquez sur Exécuter, la page Exécuter le déclencheur s'ouvre et affiche un message Failed to list branches. You can still enter one manually.

Pour remplacer un jeton ancien ou expiré pour votre connexion :

  1. Recherchez les secrets associés à votre connexion hôte :

    1. Exécutez la commande suivante :

      gcloud builds connections describe CONNECTION_PATH --region=REGION

      Où :

      • CONNECTION_PATH correspond au chemin d'accès à la connexion de votre hôte Bitbucket Data Center dans Cloud Build, au format projects/PROJECT_ID/locations/REGION/connections/CONNECTION_NAME.
      • REGION est la région de votre connexion.

    2. Dans le résultat de la commande, recherchez les valeurs des champs de votre jeton utilisateur. readAuthorizerCredential.userTokenSecretVersion affiche le nom Secret Manager du jeton Read, et authorizerCredential.userTokenSecretVersion affiche le nom Secret Manager du jeton Admin. Ces noms sont stockés en tant que secrets dans Secret Manager.

  2. Faites tourner chaque jeton d'accès dans Bitbucket Data Center :

    1. Accédez au dépôt Bitbucket Data Center connecté à votre connexion hôte Cloud Build.

    2. Suivez les instructions de la documentation Bitbucket pour faire pivoter un jeton d'accès. Lorsque vous faites tourner un jeton, Bitbucket Data Center en crée un avec de nouvelles identifiants et invalide la version précédente. Votre jeton renouvelé dispose des mêmes autorisations et du même champ d'application que le jeton d'origine.

    3. Copiez l'ID de votre jeton permuté.

  3. Créez une version secrète pour chaque jeton :

    1. Ouvrez la page Secret Manager dans la console Google Cloud  :

      Ouvrir la page Secret Manager

    2. Pour chaque jeton que vous avez fait pivoter, recherchez le nom secret que vous avez identifié à l'étape 1, puis cliquez sur Actions, puis sur Ajouter une version.

    3. Dans la fenêtre Ajouter une nouvelle version, saisissez l'ID de votre jeton renouvelé, puis cliquez sur Ajouter une nouvelle version.

Pour en savoir plus, consultez Jetons d'accès et Améliorer la sécurité dans Bitbucket : présentation de l'expiration des jetons d'accès dans la documentation Bitbucket Data Center.

Étapes suivantes