Verbindung zu Bitbucket Data Center-Repositories herstellen, die in einem privaten Netzwerk gehostet werden

Auf dieser Seite wird beschrieben, wie Sie mit Developer Connect und Service Directory eine Verbindung zu Bitbucket Data Center-Repositories herstellen, die in einem privaten Netzwerk gehostet werden. Sie können diese Aufgaben mit der Google Cloud Console oder der Google Cloud CLI ausführen.

Diese Anleitung richtet sich an Anwendungsentwickler, Plattformadministratoren und Sicherheitsmanager, die Bitbucket Data Center-Quellcode-Repositories mit Google verwenden möchten. Sie können insbesondere Bitbucket Data Center-Repositories mit Gemini Code Assist verwenden.

Weitere Informationen zu Developer Connect finden Sie in der Übersicht über Developer Connect.

Hinweis

  1. Melden Sie sich in Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Developer Connect and Service Directory APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Developer Connect and Service Directory APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

    Wenn Sie Developer Connect aktivieren, wird auch die Secret Manager API aktiviert.

  8. Sie benötigen Zugriff auf ein Konto in Bitbucket Data Center.

    Damit die Arbeit Ihres Teams sicher bleibt, empfehlen wir, die Aufgaben in dieser Anleitung mit einem Bot-Konto oder einem von Ihrem Team gemeinsam genutzten Konto und nicht mit einem persönlichen Konto auszuführen.

  9. Sie müssen ein Bitbucket Data Center-Repository besitzen oder Administratorberechtigungen für ein freigegebenes Repository haben.
  10. Achten Sie darauf, dass Sie eine Service Directory-Dienstressource zum Herstellen einer Verbindung zu privaten Netzwerken haben, oder erstellen Sie eine Service Directory-Dienstressource. Sie können die Service Directory-Diensteressource im selben Projekt erstellen, das Sie mit Developer Connect verwenden, oder ein anderes Projekt verwenden.

    Für Verbindungen zu Netzwerken außerhalb von Google Cloudmüssen Sie Service Directory möglicherweise anders konfigurieren. Weitere Informationen finden Sie unter Service Directory verwenden, um Hosts außerhalb von Google Cloud zu erreichen.

  11. Optional: Erstellen Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) zum Verschlüsseln der Authentifizierungs-Secrets, die von Developer Connect erstellt werden.
  12. Optional: Wenn Sie die Befehlszeilenanleitung in diesem Leitfaden verwenden möchten, führen Sie die folgenden Schritte aus:
    1. Installieren Sie die Google Cloud CLI. Wenn Sie die gcloud CLI bereits installiert haben, prüfen Sie, ob Sie die neueste verfügbare Version haben. Führen Sie dazu den Befehl gcloud components update aus.
    2. Erstellen Sie ein Developer Connect-Dienstkonto, indem Sie den folgenden Befehl ausführen. Dabei ist PROJECT_ID Ihre Google Cloud Projekt-ID: 
              gcloud beta services identity create \
            --service=developerconnect.googleapis.com \
            --project=PROJECT_ID

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Verbindungen und Links benötigen:

  • Wenn Sie nicht der Projektinhaber sind: Developer Connect-Administrator (roles/developerconnect.admin) für Ihr Nutzerkonto.
  • Wenn Sie einen CMEK zum Verschlüsseln der von Developer Connect erstellten Secrets verwenden möchten: Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) für das Secret Manager-Dienstkonto.
  • Wenn Sie die gcloud CLI verwenden möchten, um die Schritte in dieser Anleitung auszuführen: Rolle „Secret Manager-Administrator“ (roles/secretmanager.admin) für das Developer Connect-Dienstkonto.
  • Wenn Sie die Google Cloud Console verwenden möchten, um die Schritte in dieser Anleitung auszuführen, benötigen Sie die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für Ihr Nutzerkonto.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Berechtigungen zur Verwendung von Service Directory erteilen

Führen Sie die folgenden Schritte aus, damit Developer Connect Service Directory verwenden kann und Service Directory auf Ihre VPC-Netzwerkressource zugreifen kann.

  1. Gewähren Sie dem Developer Connect-Dienstkonto Berechtigungen zur Verwendung von Service Directory, indem Sie die folgenden Befehle ausführen:

    PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")

SERVICE_ACCOUNT="service-${PROJECT_NUMBER}@gcp-sa-devconnect.iam.gserviceaccount.com"

gcloud projects add-iam-policy-binding SERVICE_DIRECTORY_RESOURCE_PROJECT_ID \
    --member="serviceAccount:${SERVICE_ACCOUNT}" \
    --role="roles/servicedirectory.viewer"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID in Google Cloud .
    • SERVICE_DIRECTORY_RESOURCE_PROJECT_ID: die Projekt-ID für das Google Cloud Projekt, das Ihre Service Directory-Dienstressource enthält.

  2. Gewähren Sie Service Directory Berechtigungen für den Zugriff auf Ihre VPC-Netzwerkressource. Die Netzwerkressource kann sich in einem anderen Projekt befinden.

    gcloud projects add-iam-policy-binding NETWORK_RESOURCE_PROJECT_ID \
    --member="serviceAccount:${SERVICE_ACCOUNT}" \
    --role="roles/servicedirectory.pscAuthorizedService"

    Ersetzen Sie NETWORK_RESOURCE_PROJECT_ID durch die Projekt-ID für das Projekt, das Ihre VPC-Netzwerkressource enthält.

Service Directory verwenden, um Hosts außerhalb von Google Cloudzu erreichen

Service Directory verwendet den IP-Adressbereich 35.199.192.0/19, um eine Verbindung zu Ihrem Host außerhalb von Google Cloudherzustellen. Sie müssen diesen Bereich einer Zulassungsliste in Ihrer Firewall hinzufügen. Außerdem muss Ihr privates Netzwerk so konfiguriert sein, dass dieser Bereich über die Cloud VPN- oder Cloud Interconnect-Verbindung weitergeleitet wird.

Wenn für Ihre Verbindung ein Cloud Router verwendet wird, können Sie die Verbindung so konfigurieren, dass der Bereich an Ihr privates Netzwerk übermittelt wird.

Weitere Informationen zum Konfigurieren des privaten Netzwerkzugriffs

Cloud Load Balancing verwenden, um Hosts außerhalb von Google Cloudzu erreichen

Wenn Ihre Netzwerkkonfiguration es nicht zulässt, den Service Directory-IP-Adressbereich 35.199.192.0/19 an Cloud VPN oder Cloud Interconnect weiterzuleiten, können Sie mit Cloud Load Balancing einen Load Balancer erstellen, der den Traffic an Ihren Host weiterleitet.

Wenn Sie den Service Directory-Endpunkt erstellen, verwenden Sie die IP-Adresse der Weiterleitungsregel des Load-Balancers anstelle der IP-Adresse Ihres Hosts. Sie können einen internen HTTPS-Load-Balancer oder einen internen TCP-Load-Balancer verwenden, wenn Sie Ihren Endpunkt erstellen.

Beachten Sie beim Erstellen Ihres TCP-Load-Balancers Folgendes:

  • Um Ihren Host zu erreichen, ist nur eine Netzwerk-Endpunktgruppe (NEG) mit Hybridkonnektivität erforderlich.
  • Für den TCP-Load-Balancer ist der unverschlüsselte private Schlüssel für Ihr SSL-Zertifikat nicht erforderlich.
  • Für Ihre Cloud VPN-Einrichtung muss Cloud Router mit globalem dynamischen Routing verwendet werden. Wenn Ihr Cloud VPN statisches Routing verwendet, können Sie stattdessen einen Proxy verwenden, der Cloud Service Mesh nutzt. Weitere Informationen finden Sie unter Edge-Netzwerkdienste für Hybridbereitstellungen einrichten.

Weitere Informationen zum Erstellen eines HTTPS-Load-Balancers finden Sie unter Internen Application Load Balancer mit Hybridkonnektivität einrichten. Weitere Informationen zum Erstellen eines TCP-Load-Balancers finden Sie unter Regionalen internen Proxy-Network Load Balancer mit Hybridkonnektivität einrichten.

Zugriffstokens erstellen

So erstellen Sie persönliche Zugriffstokens in Bitbucket Data Center:

  1. Melden Sie sich in Bitbucket Data Center an.

  2. Folgen Sie der Anleitung in der Bitbucket Data Center-Dokumentation, um zwei HTTP-Zugriffstokens zu erstellen und die folgenden Bereiche zu gewähren.

    Developer Connect unterstützt Nutzer-, Projekt- und Repository-Zugriffstokens.

    • Erstellen Sie ein Token mit dem Bereich repository admin. In Developer Connect wird dieses Token als Administratorzugriffstoken bezeichnet.
    • Erstellen Sie ein Token mit dem Bereich repository read. In Developer Connect wird dieses Token als Lesezugriffstoken bezeichnet.

    Sie sind für die Verwaltung der Lebensdauer von Bitbucket Data Center-Tokens in Bitbucket Data Center verantwortlich. Um Ihren Quellcode zu schützen, können Sie beim Erstellen eines Tokens ein Ablaufdatum festlegen. Wenn Sie kein Ablaufdatum festlegen, bleibt das Token gültig, bis Sie es in Bitbucket Data Center widerrufen.

  3. Kopieren Sie die Zugriffstokens für die Verwendung in den folgenden Verfahren.

Verbindung herstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Verbindung zwischen Developer Connect und Bitbucket Data Center herstellen. Wenn Sie die Google Cloud -Konsole verwenden, können Sie auch Links zu Repositories hinzufügen, sobald Sie die Einrichtung Ihrer Verbindung abgeschlossen haben.

Wenn Sie eine neue Bitbucket Data Center-Verbindung erstellen möchten, wählen Sie eine der folgenden Optionen aus:

Console

So stellen Sie eine Verbindung her:

  1. Öffnen Sie in der Google Cloud Console Developer Connect.

    Zu Developer Connect

    In Developer Connect wird die Seite Git-Repositories angezeigt.

    • Wenn Sie eine Liste von Anbietern für die Quellcodeverwaltung sehen:Konfigurieren Sie Ihre erste Verbindung, indem Sie einen Anbieter für die Quellcodeverwaltung auswählen. Klicken Sie auf der Karte „Bitbucket Data Center“ auf Verbinden.

    • Wenn eine Tabelle mit vorhandenen Verbindungen angezeigt wird: Legen Sie den Anbieter für die Quellcodeverwaltung fest, indem Sie auf Verbindung erstellen > Bitbucket Data Center klicken.

      Die Seite Verbindung erstellen wird geöffnet.

  2. Wählen Sie unter Region eine Region für Ihre Verbindungsressourcen aus.

    1. Geben Sie unter Name einen Namen für die neue Verbindung ein.

  3. Geben Sie im Abschnitt Zugriffstokens Ihre Bitbucket Data Center-Zugriffstokens ein:

    • Administratorzugriffstoken: Geben Sie das Token mit dem Bereich „Repository-Administrator“ ein.

    • Lesezugriffstoken: Geben Sie das Token mit dem Zugriffsbereich „repository read“ ein.

  4. Geben Sie unter Host-URL die URL des Hosts ein, mit dem Sie eine Verbindung herstellen möchten.

  5. Klicken Sie auf Mehr anzeigen, um optionale Konfigurationseinstellungen aufzurufen.

    1. Das Kästchen Developer Connect-Proxy aktivieren ist standardmäßig aktiviert, damit Developer Connect als Proxy für Git-Aufrufe an Bitbucket Data Center fungieren kann.

    2. Wählen Sie im Abschnitt Netzwerk für Netzwerktyp die Option Privates Netzwerk aus.

    3. Klicken Sie für CA-Zertifikat auf Durchsuchen, um Ihr selbst signiertes Zertifikat hochzuladen.

      Ihr Zertifikat darf nicht größer als 10 KB sein und muss im PEM-Format (.pem, .cer oder .crt) vorliegen. Wenn dieser Abschnitt leer gelassen wird, wird stattdessen ein Standardsatz von Zertifikaten verwendet.

    4. Wählen Sie im Abschnitt Service Directory-Dienst den Standort Ihres Dienstes aus:

      • In Projekt your-project
      • In einem anderen Projekt
      • Manuell eingeben

      Wenn Sie In einem anderen Projekt oder Manuell eingeben auswählen, geben Sie die Google Cloud Projekt-ID an. Wählen Sie das Projekt im Drop-down-Menü aus oder geben Sie die Projekt-ID manuell ein.

    5. Region: Wählen Sie die Region Ihres Service Directory-Dienstes aus. Die für Ihren Dienst angegebene Region muss mit der Region übereinstimmen, die Ihrer Verbindung zugeordnet ist.

    6. Namespace: Wählen Sie den Namespace Ihres Service Directory-Dienstes aus.

    7. Dienst: Wählen Sie den Service Directory-Dienstnamen in Ihrem Namespace aus.

    8. Optional: Wählen Sie im Abschnitt Verschlüsselung einen CMEK-Schlüssel aus, um Secret Manager-Secrets zu verschlüsseln, die von Developer Connect erstellt werden.

  6. Klicken Sie auf Weiter. Developer Connect erstellt die Verbindung. Das kann einige Sekunden dauern.

Nachdem die Verbindung erstellt wurde, wird die Seite Repositories verknüpfen angezeigt.

Führen Sie die folgenden Schritte aus, um Repositories mit Ihrer Verbindung zu verknüpfen:

  1. Wählen Sie in der Liste der verfügbaren Repositories die Repositories aus, die Sie verwenden möchten.

  2. Klicken Sie auf OK.

  3. Klicken Sie auf Verknüpfen.

Ihre Verbindung wird der Seite Verbindungen hinzugefügt und Ihre Repository-Links werden der Seite Repositories in der Google Cloud Console hinzugefügt. Sie können bestehenden Verbindungen jederzeit weitere Links hinzufügen.

Wenn Sie Gemini Code Assist einrichten, fahren Sie mit den Schritten unter Codeanpassung für Gemini Code Assist konfigurieren und verwenden fort.

gcloud

  1. Erstellen Sie in Secret Manager ein Webhook-Secret, indem Sie den folgenden Befehl ausführen. Dabei ist WEBHOOK_SECRET_NAME ein Name für Ihr Webhook-Secret:

    cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create WEBHOOK_SECRET_NAME

  2. Speichern Sie Ihre Zugriffstokens in Secret Manager, indem Sie die folgenden Befehle ausführen:

    gcloud secrets create ADMIN_SECRET_NAME

echo -n ADMIN_SECRET_DATA | gcloud secrets versions add ADMIN_SECRET_NAME --data-file=-

gcloud secrets create READ_SECRET_NAME

echo -n READ_SECRET_DATA | gcloud secrets versions add READ_SECRET_NAME --data-file=-

    Ersetzen Sie Folgendes:

    • ADMIN_SECRET_NAME: Ein Name für das Secret, in dem Ihr Administratorzugriffstoken gespeichert wird.
    • ADMIN_SECRET_DATA: Ihr Administratorzugriffstoken.
    • READ_SECRET_NAME: Ein Name für das Secret, in dem Ihr Lesezugriffstoken gespeichert ist.
    • READ_SECRET_DATA: Ihr Lesezugriffstoken.

  3. Führen Sie den Befehl gcloud developer-connect connections create aus, um eine Verbindung zu Bitbucket Data Center herzustellen:

    gcloud developer-connect connections create CONNECTION_NAME \
    --location=REGION \
    --bitbucket-data-center-config-host-uri=HOST_URI \
    --bitbucket-data-center-config-authorizer-credential-user-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_SECRET_NAME/versions/VERSION \
    --bitbucket-data-center-config-read-authorizer-credential-user-token-secret-version=projects/PROJECT_ID/secrets/READ_SECRET_NAME/versions/VERSION \
    --bitbucket-data-center-config-webhook-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET_NAME/versions/VERSION
    --git-proxy-config-enabled

    Ersetzen Sie Folgendes:

    • CONNECTION_NAME: Name der Verbindung.
    • REGION: Die Region, die für Ihre Verbindung verwendet werden soll.
    • HOST_URI: Der URI Ihres Bitbucket Data Center-Hosts, einschließlich des Präfixes https://.
    • PROJECT_ID: Ihre Google Cloud Projekt-ID.
    • ADMIN_SECRET_NAME: Der Name des Secret Manager-Secrets, das Ihr Administratorzugriffstoken enthält.
    • READ_SECRET_NAME: Der Name des Secret Manager-Secrets, das Ihr Lesezugriffstoken enthält.
    • WEBHOOK_SECRET_NAME: Der Name des Secret Manager-Secrets, das Ihr Webhook-Secret enthält.
    • VERSION: Die Versionsnummer jedes Secrets. Dazu kann latest verwendet werden, um die aktuelle Versionsnummer zu verwenden.
    • --git-proxy-config-enabled ist ein optionales Flag, mit dem Developer Connect als Proxy für Git-Aufrufe an Bitbucket Data Center fungieren kann. Sie müssen diese Funktion aktivieren, wenn Sie die Codeanpassung in Gemini Code Assist für Bitbucket Data Center-Quellcode-Repositories ausführen, die in privaten Netzwerken gehostet werden.
    • --github-enterprise-config-ssl-ca-certificate ist ein optionales Flag zum Hinzufügen eines SSL-Zertifikats im Format $HOME/my-ssl-ca.txt.

    Developer Connect stellt die Verbindung zu Bitbucket Data Center her. Weiter zu Repositories verknüpfen

Sobald Sie eine Verbindung zu Bitbucket Data Center hergestellt haben, können Sie eine Verknüpfung zu Repositories erstellen. Sie können diese Schritte später wiederholen, um bei Bedarf weitere Repositories zu verknüpfen.

Wenn Sie Repository-Links für eine vorhandene Bitbucket Data Center-Verbindung erstellen möchten, wählen Sie eine der folgenden Optionen aus:

Console

So erstellen Sie Links zu Repositories:

  1. Öffnen Sie in der Google Cloud Console die Seite Repositories.

    Öffnen Sie die Seite Repositories.

  2. Klicken Sie auf Repository verknüpfen.

    Der Bereich Git-Repositories verknüpfen wird geöffnet.

  3. Wählen Sie in der Liste der Verbindungen eine Verbindung aus.

  4. Klicken Sie auf Weiter.

  5. Wählen Sie in der Repository-Liste die Repositories aus, mit denen Sie eine Verknüpfung herstellen möchten.

  6. Klicken Sie auf Erstellen.

    Developer Connect erstellt die Repository-Links und zeigt sie in der Google Cloud Konsole an.

gcloud

Erstellen Sie eine Verknüpfung zu Ihrem Bitbucket Data Center-Repository, indem Sie den folgenden Befehl ausführen:

gcloud developer-connect connections git-repository-links create REPO_NAME \
    --clone-uri=REPO_URI \
    --connection=CONNECTION_NAME \
    --location=REGION

Ersetzen Sie Folgendes:

  • REPO_NAME: Ein Name für die neue Verknüpfung zwischen Developer Connect und Ihrem Bitbucket Data Center-Repository.
  • REPO_URI: Die URL Ihres Repositorys in Bitbucket Data Center, einschließlich des Präfixes https:// und des Suffixes .git.
  • CONNECTION_NAME: Der Name Ihrer Verbindung zu Bitbucket Data Center.
  • REGION: die Region Ihrer Verbindung.

Die Repository-Links werden von Developer Connect erstellt.

Führen Sie den Befehl developer-connect connections git-repository-linkslist aus, um verknüpfte Repositories aufzulisten.

Wenn Sie Gemini Code Assist einrichten, fahren Sie mit den Schritten unter Codeanpassung für Gemini Code Assist konfigurieren und verwenden fort.

Nächste Schritte