Criar repositórios do GitHub Enterprise em uma rede particular

O Cloud Build permite criar gatilhos em uma instância do GitHub Enterprise. Nesta página, explicamos como usar os gatilhos do GitHub Enterprise para invocar builds em resposta a confirmações ou solicitações de envio de uma instância do GitHub Enterprise e como criar repositórios do GitHub Enterprise se a instância estiver hospedada em uma rede particular.

Antes de começar

• Ative as APIs Cloud Build e Diretório de serviços.

  Funções necessárias para ativar APIs

  Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

  Ativar as APIs

• Se você não tiver criado um pool particular, siga as instruções em Criar e gerenciar pools particulares para criar um. Você vai precisar de um pool particular para criar em uma rede particular.

Criar repositórios do GitHub Enterprise em uma rede particular

Conclua as etapas a seguir para conectar sua instância do GitHub Enterprise ao Cloud Build em uma rede particular:

1. Conceda acesso do Diretório de serviços ao agente de serviço do Cloud Build:

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding  PROJECT_ID_CONTAINING_SERVICE_DIRECTORY \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.viewer"
   

   Substitua:

   • PROJECT_ID é o ID do projeto do Cloud Build.
   • PROJECT_ID_CONTAINING_SERVICE_DIRECTORY é o ID do seu Google Cloud projeto que contém o Diretório de serviços.

2. Conceda acesso ao recurso de rede VPC ao agente de serviço do Cloud Build:

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding PROJECT_ID_CONTAINING_NETWORK_RESOURCE \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.pscAuthorizedService"
   

   Substitua:

   • PROJECT_ID é o ID do projeto do Cloud Build.
   • PROJECT_ID_CONTAINING_NETWORK_RESOURCE é o ID do seu Google Cloud projeto que contém o recurso de rede.

3. Configure um serviço do Diretório de serviços seguindo estas etapas:

   1. Configure um namespace para seu serviço:

       gcloud service-directory namespaces create NAMESPACE --location=REGION --project=PROJECT_ID_CONTAINING_SERVICE_DIRECTORY
      

      Substitua:

      • NAMESPACE é o nome do namespace do Diretório de serviços.
      • LOCATION é a região em que você cria conexões e vincula repositórios.
      • PROJECT_ID_CONTAINING_SERVICE_DIRECTORY é o ID do seu Google Cloud projeto que contém o Diretório de serviços.

   2. Configure um serviço para seu namespace:

       gcloud service-directory services create SERVICE --namespace=NAMESPACE --location=LOCATION
      

      Substitua:

      • SERVICE é o nome do recurso do Diretório de serviços.
      • NAMESPACE é o nome do namespace do Diretório de serviços.
      • LOCATION é a região em que você cria conexões e vincula repositórios.

   3. Configure um endpoint para seu serviço:

       gcloud service-directory endpoints create ENDPOINT_NAME \
         --namespace=NAMESPACE \
         --service=SERVICE \
         --location=LOCATION \
         --address=INSTANCE_IP_ADDRESS \
         --port=PORT \
         --network=projects/PROJECT_ID_CONTAINING_NETWORK/locations/global/networks/NETWORK
      

      Substitua:

      • ENDPOINT_NAME é o nome do endpoint.
      • NAMESPACE é o nome do namespace do Diretório de serviços.
      • SERVICE é o nome do recurso do Diretório de serviços.
      • LOCATION é a região em que você cria conexões e vincula repositórios.
      • INSTANCE_IP_ADDRESS é o endereço IP da instância do GitHub Enterprise na sua rede. Por exemplo, 123.45.67.89. Para saber mais, consulte Usar o Diretório de serviços para alcançar hosts externos Google Cloud.
      • PORT é o nome da porta para HTTPS.
      • PROJECT_ID_CONTAINING_NETWORK é o ID do Google Cloud projeto que contém a rede VPC.
      • NETWORK é o nome da sua rede VPC.

   Agora é possível usar o recurso de serviço (projects/{PROJECT_ID}/locations/{LOCATION}/namespaces/{NAMESPACE}/services/{SERVICE}) para criar sua conexão nas etapas a seguir.

4. Conecte um host do GitHub Enterprise.

5. Conecte um repositório do GitHub Enterprise.

6. Crie um gatilho do GitHub Enterprise para criar repositórios hospedados na sua instância do GitHub Enterprise.

Usar o Diretório de serviços para alcançar hosts externos Google Cloud

O Diretório de serviços usa o intervalo de endereços IP 35.199.192.0/19 para conectar o host fora de Google Cloud. É necessário adicionar esse intervalo a uma lista de permissões no firewall. Além disso, a rede particular precisa ser configurada para rotear esse intervalo pela conexão do Cloud VPN ou do Cloud Interconnect.

Se a conexão usar um Cloud Router, você poderá configurá-la para comunicar o intervalo à rede particular.

Para saber mais, consulte Configurar o acesso à rede particular.

Usar o Cloud Load Balancing para alcançar hosts externos Google Cloud

Se a configuração de rede não permitir rotear o intervalo de endereços IP do Diretório de serviços 35.199.192.0/19 para o Cloud VPN ou o Cloud Interconnect, você poderá criar um balanceador de carga usando o Cloud Load Balancing que direciona o tráfego para o host.

Ao criar o endpoint do Diretório de serviços, use o endereço IP da regra de encaminhamento do balanceador de carga em vez do endereço IP do host. É possível usar um balanceador de carga HTTPS interno ou um balanceador de carga de protocolo de controle de transmissão (TCP, na sigla em inglês) interno ao criar o endpoint.

Ao criar o balanceador de carga TCP, considere o seguinte:

• Apenas um grupo de endpoints de rede (NEG) de conectividade híbrida é necessário para alcançar o host.
• O balanceador de carga TCP não exige a chave privada não criptografada para o certificado SSL.
• A configuração do Cloud VPN precisa usar o Cloud Router com roteamento dinâmico global. Se o Cloud VPN usar roteamento estático, você poderá usar um proxy que use o Cloud Service Mesh. Para saber mais, consulte Configurar serviços de borda de rede para implantações híbridas.

Para saber mais sobre como criar um balanceador de carga HTTPS, consulte Configurar um balanceador de carga de aplicativo interno com conectividade híbrida. Para saber mais sobre como criar um balanceador de carga TCP, consulte Configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida.

Próximas etapas

• Saiba como criar e gerenciar gatilhos de compilação.
• Saiba como realizar implantações azul-verde no Compute Engine.