Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת הגנה על ענפים

בדף הזה מוסבר איך להגדיר הגנה על ענפים במאגרי Secure Source Manager.

הגנה על הסתעפות מאפשרת למנהלי מאגרים להגדיר כללים כדי לקבוע מי יכול לבצע שינויים בהסתעפויות, מי צריך לאשר או לבדוק שינויים, ואילו תנאים צריכים להתקיים לפני ששינוי שאושר יכול להתמזג עם הסתעפות.

מידע נוסף על כללי הגנה על ענפים מופיע במאמר סקירה כללית על הגנה על ענפים.

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות להגדרת כללי הגנה על ענפים במאגר Secure Source Manager, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

‫Secure Source Manager Instance Accessor (roles/securesourcemanager.instanceAccessor) במופע Secure Source Manager
‫Secure Source Manager Repository Admin (roles/securesourcemanager.repoAdmin) במאגר Secure Source Manager
כדי לאשר בקשות משיכה בענפים מוגנים בכל מאגר במופע של Secure Source Manager:
- מאשר בקשות משיכה ממאגר Secure Source Manager (roles/securesourcemanager.repoPullRequestApprover) בפרויקט Google Cloud של המופע
- ‫Secure Source Manager Repository Writer ‏ (roles/securesourcemanager.repoWriter) בפרויקט של המופע Google Cloud
כדי לאשר בקשות למשיכת שינויים בענפים מוגנים במאגר יחיד:
- מאשר בקשות משיכה ממאגר Secure Source Manager (roles/securesourcemanager.repoPullRequestApprover) במאגר
- ‫Secure Source Manager Repository Writer (roles/securesourcemanager.repoWriter) on the repository

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

במאמרים בקרת גישה באמצעות IAM והענקת גישה של משתמשים למופע מוסבר איך נותנים תפקידים ב-Secure Source Manager.

יצירת כלל להגנה על ענף

המסוף

כדי ליצור כלל חדש להגנה על ענף:

בממשק האינטרנט של Secure Source Manager, בוחרים את המאגר שרוצים להגן עליו באמצעות כלל להגנה על ענף.
בדף המאגר, לוחצים על הגדרות.
לוחצים על הכרטיסייה כלל הסתעפות.
לוחצים על הוספת כלל לענף.
בשדה מזהה כלל הסתעפות, מזינים שם לכלל ההסתעפות.

מזהי כללי הסניף מוגבלים לאותיות קטנות, למספרים ולמקפים. התו הראשון חייב להיות אות, והתו האחרון חייב להיות אות או מספר. מזהי כללים של ענפים יכולים להכיל עד 63 תווים.
בשדה Branch filter (מסנן ענפים), מזינים את שם הענף שאליו רוצים שהכלל יחול. אם רוצים שהכלל יחול על כל הענפים, מזינים .*. התאמה מלאה לביטוי רגולרי לא אפשרית.

המסננים של כללי הסניף המופעלים חייבים להיות ייחודיים למאגר שלהם. למשתמשים יכולים להיות כמה מסננים של כללי הסתעפות מושבתים. לדוגמה, אי אפשר להפעיל שני כללי הסתעפות במאגר יחיד עם מסנן ההסתעפות main.

אם כמה כללים חלים על ענף, הכלל עם שם ענף ספציפי כמסנן הענף יבטל את הכלל עם התו הכללי. לדוגמה, כלל הסתעפות עם מסנן הסתעפות main יבטל כלל הסתעפות עם מסנן הסתעפות .*. הכללים לא משולבים.
בקטע Branch protection rule details, מציינים את הדרישות לכלל הענף מתוך האפשרויות הבאות:
- נדרשת בקשת מיזוג לפני המיזוג: אם האפשרות הזו מופעלת, לא ניתן לבצע ישירות קומיטים בענף. צריך לפתוח בקשת משיכה לפני המיזוג לענף המוגן.
  
  הערה: אי אפשר להחיל את הכלל הזה על כל הענפים באמצעות .*, כי זה ימנע דחיפה ישירה לכל הענפים, גם לענפים חדשים.
- מספר הבודקים הנדרש: מציינים את מספר הבודקים שצריכים לאשר כדי למזג את בקשת המשיכה.
- מספר המאשרים הנדרש: מציינים את מספר המאשרים שנדרש לאישור כדי למזג את בקשת המשיכה.
  
  בודקים ומאשרים הם משתמשים עם תפקידי IAM ספציפיים. במאמר סקירה כללית על הגנה על ענפים מוסבר אילו תפקידים נדרשים למבקרים ולמאשרים.
- חסימת מיזוג בביקורות ובאישורים לא עדכניים: אם האפשרות הזו מופעלת, ביקורת או אישור מוסרים אם מתבצעת דחיפה של קומיטים חדשים לבקשת משיכה אחרי שהביקורת או האישור ניתנו.
- חובה לפתור את הבעיות בשיחה לפני המיזוג: אם האפשרות הזו מופעלת, צריך לפתור את כל התגובות על הקוד ואת הבקשות לשינוי לפני המיזוג.
- נדרשת היסטוריה ליניארית: אם האפשרות הזו מופעלת, אי אפשר למזג בקשות משיכה שייצרו היסטוריית Git לא ליניארית.
- Require status checks: אם האפשרות הזו מופעלת, בדיקות הסטטוס של הבנייה שנבחרו צריכות להצליח לפני שאפשר למזג בקשת משיכה. כדי לבחור טריגרים כבדיקות סטטוס להגנה על ענפים, צריך קודם להגדיר אותם בקובץ הטריגרים.
כדי לשמור את הכלל של הענף, לוחצים על שליחה.

מוצגת הכרטיסייה כללים להסתעפות, עם הכלל החדש להסתעפות שמופיע ברשימה.

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

כדי ליצור כלל חדש להגנה על ענף באמצעות Terraform, משתמשים במשאב google_secure_source_manager_branch_rule.

הגדרת הדוגמה הבאה יוצרת כלל להגנה על הענף main.

לפני שמשתמשים בדוגמה, מחליפים את הערכים הבאים:

‫BRANCH_RULE_ID: המזהה של כלל ההגנה על הענף.
‫PROJECT_ID: מזהה הפרויקט.
‫LOCATION: המיקום של המאגר.
‫REPOSITORY_ID: מזהה המאגר.
‫BRANCH_NAME_PATTERN: שם הענף או תבנית regex, כמו main.

resource "google_secure_source_manager_branch_rule" "default" {
  branch_rule_id = "BRANCH_RULE_ID"
  project = "PROJECT_ID"
  location = "LOCATION"
  repository_id = "REPOSITORY_ID"
  include_pattern = "BRANCH_NAME_PATTERN"
  minimum_approvals_count   = 2
  minimum_reviews_count     = 2
  require_comments_resolved = true
  require_linear_history    = true
  require_pull_request      = true
  disabled = false
  allow_stale_reviews = false
}

שינוי כלל להגנה על ענף

כדי לשנות כלל הגנה על ענף:

בממשק האינטרנט של Secure Source Manager, בוחרים את המאגר עם כלל ההגנה על הענף שרוצים לשנות.
בדף המאגר, לוחצים על הגדרות.
לוחצים על הכרטיסייה כללי הסתעפות.
לוחצים על השם של כלל הסניף שרוצים לשנות.
עורכים את כלל ההגנה על הענף.
לוחצים על עדכון.

כלל ההגנה על ההסתעפות מתעדכן.

מחיקת כלל להגנה על הסתעפות

כדי למחוק כלל להגנה על ענף:

בממשק האינטרנט של Secure Source Manager, בוחרים את המאגר שרוצים להסיר ממנו את כלל הענף.
בדף המאגר, לוחצים על הגדרות.
לוחצים על הכרטיסייה כלל הסתעפות.
בשורה של הכלל שרוצים למחוק, לוחצים על סמל המחיקה .
במסך האישור Remove branch rule (הסרת כלל של ענף), לוחצים על Yes (כן).

כלל ההגנה על ההסתעפות נמחק.

המאמרים הבאים

סקירה כללית על הגנה על הסתעפויות
כדי ללמוד איך ליצור אוטומציה של גרסאות build, פועלים לפי השלבים במאמר חיבור ל-Cloud Build.
איך בודקים את הסטטוס של בנייה אוטומטית