Conectarse a un host de GitLab

En esta página se explica cómo conectar un host de GitLab a Cloud Build.

Antes de empezar

  • Enable the Cloud Build and Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

Conectarse a un host de GitLab

Antes de crear una conexión de host para tu instancia de GitLab, debes crear tokens de acceso personal en GitLab siguiendo estos pasos:

  1. Inicia sesión en tu instancia de GitLab.

  2. En la página de GitLab de tu instancia, haz clic en tu avatar, situado en la esquina superior derecha.

  3. Haz clic en Editar perfil.

  4. En la barra lateral de la izquierda, selecciona Tokens de acceso.

    Verás la página Tokens de acceso personales.

  5. Crea un token de acceso con el permiso api para conectar y desconectar repositorios.

  6. Crea un token de acceso con el ámbito read_api para asegurarte de que los repositorios de Cloud Build puedan acceder al código fuente de los repositorios.

Consola

Para conectar tu host de GitLab a Cloud Build, sigue estos pasos:

  1. Abre la página Repositorios en la consola de Google Cloud .

    Abre la página Repositorios.

    Verás la página Repositorios.

  2. En la parte superior de la página, selecciona la pestaña 2.ª gen..

  3. En el selector de proyectos de la barra superior, selecciona tu Google Cloud proyecto.

  4. Haz clic en Crear conexión de host para conectar un host nuevo a Cloud Build.

  5. En el panel de la izquierda, selecciona GitLab como proveedor de origen.

  6. En la sección Configurar conexión, introduce la siguiente información:

    1. Región: selecciona una región para tu conexión.

    2. Nombre: introduce un nombre para la conexión.

  7. En la sección Detalles del host, selecciona o introduce la siguiente información:

    1. Proveedor de GitLab: selecciona GitLab.com como proveedor.

  8. En la sección Tokens de acceso personales, introduce la siguiente información:

    1. Token de acceso a la API: introduce el token con acceso al ámbito api. Este token se usa para conectar y desconectar repositorios.

    2. Leer token de acceso a la API: introduce el token con el ámbito read_api access. Los activadores de Cloud Build usan este token para acceder al código fuente de los repositorios.

  9. Haz clic en Conectar.

    Después de hacer clic en el botón Conectar, tus tokens de acceso personales se almacenarán de forma segura en Secret Manager. Después de la conexión de host, Cloud Build también crea un secreto de webhook por ti. Puedes ver y gestionar tus secretos en la página Secret Manager.

Ya has creado una conexión de GitLab.

gcloud

Antes de conectar tu host de GitLab a Cloud Build, sigue estos pasos para almacenar tus credenciales:

  1. Almacena tu token en Secret Manager.

  2. Crea un secreto de webhook en Secret Manager ejecutando el siguiente comando:

     cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create my-gle-webhook-secret --data-file=-

  3. Si almacenas tus secretos en un proyecto de Google Cloud distinto del que vas a usar para crear una conexión de host, introduce el siguiente comando para conceder acceso a tu proyecto al agente de servicio de Cloud Build:

    PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
  --role="roles/secretmanager.admin"

    Donde:

    • PROJECT_ID es el ID de tu proyecto Google Cloud .

Ahora puedes conectar tu host de GitLab a Cloud Build.

Este agente debe seguir estos pasos:

Para conectar tu host de GitLab a Cloud Build, sigue estos pasos:

  1. Introduce el siguiente comando para crear una conexión de GitLab:

    gcloud builds connections create gitlab CONNECTION_NAME \
  --host-uri=HOST_URI \
  --project=PROJECT_ID \
  --region=REGION \
  --authorizer-token-secret-version=projects/PROJECT_ID/secrets/API_TOKEN/versions/SECRET_VERSION \
  --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \
  --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION

    Donde:

    • CONNECTION_NAME es el nombre de tu conexión de host de GitLab en Cloud Build.
    • HOST_URI es el URI de tu instancia de GitLab. Por ejemplo, https://my-gle-server.net.
    • PROJECT_ID es el ID de tu proyecto Google Cloud .
    • REGION es la región de tu conexión.
    • API_TOKEN es el nombre de tu token con el apipermiso.
    • READ_TOKEN es el nombre de tu token con el read_apipermiso.
    • SECRET_VERSION es la versión de tu secreto.
    • Tu secreto de webhook es WEBHOOK_SECRET.

Ya has creado una conexión de GitLab.

Rotar tokens de acceso de GitLab antiguos o caducados

Si tu token de acceso de GitLab caduca, la conexión de host de Cloud Build se desconectará de su repositorio de GitLab. Por lo tanto, verás errores en las siguientes circunstancias:

  • Cuando intentas vincular un repositorio de GitLab a una conexión de Cloud Build, aparece un mensaje Failed to fetch repositories to link. Check that Cloud Build is still authorized to access data from the selected connection.

  • En la página Activadores, cuando haces clic en Ejecutar, se abre la página Ejecutar activador y se muestra un mensaje Failed to list branches. You can still enter one manually.

Para rotar un token antiguo o caducado de tu conexión, sigue estos pasos:

  1. Busca los secretos asociados a tu conexión de host:

    1. Ejecuta el siguiente comando:

      gcloud builds connections describe CONNECTION_PATH --region=REGION

      Donde:

      • CONNECTION_PATH es la ruta de tu conexión de host de GitLab en Cloud Build, con el formato projects/PROJECT_ID/locations/REGION/connections/CONNECTION_NAME.
      • REGION es la región de tu conexión.

    2. En el resultado del comando, busca los valores de los campos de tu token de usuario. readAuthorizerCredential.userTokenSecretVersion muestra el nombre de Secret Manager del token read_api y authorizerCredential.userTokenSecretVersion muestra el nombre de Secret Manager del token api. Estos nombres se almacenan como secretos en Secret Manager.

  2. Rota cada token de acceso en GitLab:

    1. Ve al repositorio de GitLab conectado a tu conexión de host de Cloud Build.

    2. Sigue las instrucciones de la documentación de GitLab para rotar un token de acceso. Cuando rotas un token, GitLab crea un token con nuevas credenciales e invalida la versión anterior de ese token. El token renovado tiene los mismos permisos y el mismo ámbito que el token original.

    3. Copia el ID del token renovado.

  3. Crea una versión secreta para cada token:

    1. Abre la página Secret Manager en la Google Cloud consola:

      Abre la página Secret Manager.

    2. Por cada token que hayas rotado, busca el nombre secreto que hayas identificado en el paso 1 y haz clic en Acciones y, a continuación, en Añadir nueva versión.

    3. En la ventana Añadir nueva versión, introduce el ID del token rotado y haz clic en Añadir nueva versión.

Para obtener más información, consulta Vencimiento del token de acceso en la documentación de GitLab.

Siguientes pasos