本頁說明如何將 GitLab 主機連結至 Cloud Build。
事前準備
-
Enable the Cloud Build and Secret Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
連結至 GitLab 主機
為 GitLab 執行個體建立主機連線前,請先在 GitLab 中建立個人存取權杖,方法如下:
登入 GitLab 執行個體。
在執行個體的 GitLab 頁面中,按一下右上角的顯示圖片。
按一下 [編輯個人資料]。
在左側邊欄中,選取「存取權杖」。
建立具備
api範圍的存取權杖,用於連結及取消連結存放區。建立具備
read_api範圍的存取權杖,確保 Cloud Build 存放區可以存取存放區中的原始碼。
控制台
如要將 GitLab 主機連結至 Cloud Build,請按照下列步驟操作:
在 Google Cloud 控制台中開啟「Repositories」(存放區) 頁面。
畫面會顯示「Repositories」頁面。
選取頁面頂端的「第 2 代」分頁標籤。
在頂端列的專案選取器中,選取 Google Cloud 專案。
按一下「建立主機連線」,將新主機連結至 Cloud Build。
在左側面板中,選取「GitLab」GitLab做為來源供應商。
在「設定連線」部分,輸入下列資訊:
「Region」(區域):選取連線的區域。
名稱:輸入連線名稱。
在「主機詳細資料」部分,選取或輸入下列資訊:
- GitLab 提供者:選取 GitLab.com 做為提供者。
在「Personal access tokens」部分,輸入下列資訊:
API 存取權杖:輸入具有
api範圍存取權的權杖。這個權杖用於連結及取消連結存放區。讀取 API 存取權杖:輸入具有
read_api範圍存取權的權杖。Cloud Build 觸發條件會使用這個權杖存取存放區中的原始碼。
按一下「連線」。
按一下「連線」按鈕後,您的個人存取權杖會安全地儲存在 Secret Manager 中。 建立主機連線後,Cloud Build 也會代您建立 Webhook 密鑰。您可以在密鑰管理員頁面查看及管理密鑰。
您已成功建立 GitLab 連線。
gcloud
將 GitLab 主機連結至 Cloud Build 之前,請先完成下列步驟來儲存憑證:
執行下列指令,在 Secret Manager 中建立 Webhook 密鑰:
cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create my-gle-webhook-secret --data-file=-如果將密鑰儲存在與建立主機連線時使用的專案不同的專案中,請輸入下列指令,授予專案 Cloud Build 服務代理的存取權: Google Cloud
PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \ --role="roles/secretmanager.admin"其中:
- PROJECT_ID 是您的 Google Cloud 專案 ID。
現在可以繼續將 GitLab 主機連結至 Cloud Build。
操作步驟如下:
如要將 GitLab 主機連結至 Cloud Build,請按照下列步驟操作:
輸入下列指令,建立 GitLab 連線:
gcloud builds connections create gitlab CONNECTION_NAME \ --host-uri=HOST_URI \ --project=PROJECT_ID \ --region=REGION \ --authorizer-token-secret-version=projects/PROJECT_ID/secrets/API_TOKEN/versions/SECRET_VERSION \ --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \ --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION其中:
- CONNECTION_NAME 是 Cloud Build 中的 GitLab 主機連線名稱。
- HOST_URI 是 GitLab 執行個體的 URI。例如:
https://my-gle-server.net。 - PROJECT_ID 是您的 Google Cloud 專案 ID。
- REGION 是連線的區域。
- API_TOKEN 是具有
apiscope 的權杖名稱。 - READ_TOKEN 是具有
read_apiscope 的權杖名稱。 - SECRET_VERSION 是密鑰的版本。
- WEBHOOK_SECRET 是您的 Webhook 密鑰。
您已成功建立 GitLab 連線。
輪替舊的或過期的 GitLab 存取權杖
如果 GitLab 存取權杖過期,Cloud Build 主機連線就會與 GitLab 存放區中斷連線。因此,在下列情況下,您會看到錯誤訊息:
嘗試連結 GitLab 存放區 Cloud Build 連線時,系統會顯示
Failed to fetch repositories to link. Check that Cloud Build is still authorized to access data from the selected connection訊息。在「Triggers」(觸發條件) 頁面中,按一下「Run」(執行) 後,系統會開啟「Run trigger」(執行觸發條件) 頁面,並顯示
Failed to list branches. You can still enter one manually訊息。
如要輪替連線的舊權杖或過期權杖,請按照下列步驟操作:
找出與主機連線相關聯的密鑰:
執行下列指令:
gcloud builds connections describe CONNECTION_PATH --region=REGION其中:
- CONNECTION_PATH 是 Cloud Build 中 GitLab 主機連線的路徑,格式為
projects/PROJECT_ID/locations/REGION/connections/CONNECTION_NAME。 - REGION 是連線的區域。
- CONNECTION_PATH 是 Cloud Build 中 GitLab 主機連線的路徑,格式為
在指令輸出中,找出使用者權杖欄位的值。
readAuthorizerCredential.userTokenSecretVersion顯示權杖的 Secret Manager 名稱,read_api並顯示權杖的 Secret Manager 名稱。authorizerCredential.userTokenSecretVersionapi這些名稱會以 Secret 形式儲存在 Secret Manager 中。
在 GitLab 中輪換每個存取權杖:
前往連結至 Cloud Build 主機連線的 GitLab 存放區。
請按照 GitLab 說明文件中的操作說明輪替存取權杖。 輪替權杖時,GitLab 會建立具有新憑證的新權杖,並使先前的權杖版本失效。輪替後的權杖與原始權杖的權限和範圍相同。
複製輪替後權杖的 ID。
為每個權杖建立新的密鑰版本:
在 Google Cloud 控制台中開啟「Secret Manager」頁面:
針對您輪替的每個符記,找出您在步驟 1 中識別的密碼名稱,然後按一下「動作」,再按一下「新增版本」。
在「新增版本」視窗中,輸入輪替權杖的 ID,然後按一下「新增版本」。
後續步驟
- 瞭解如何連結 GitLab 存放區。
- 瞭解如何在 GitLab 管道中使用 Google 管理的 CI/CD 元件,建構工作負載並部署至 Google Cloud 。請參閱 GitLab 上的 Google Cloud。