Jenkins トリガーと Secure Source Manager Webhook を使用して、自動ビルドを開始できます。
必要なロール
Jenkins ビルドトリガーの作成に必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。
- Secure Source Manager リポジトリ管理者 (
roles/securesourcemanager.repoAdmin) リポジトリに対する - Secure Source Manager インスタンス アクセサー (
roles/securesourcemanager.instanceAccessor) Secure Source Manager インスタンスに対する
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。
Secure Source Manager ロールの付与については、 IAM によるアクセス制御と ユーザーにインスタンスへのアクセス権を付与するをご覧ください。
Webhook トリガーを設定する
Jenkins は、ビルドトリガー プラグインを使用して CI/CD の自動化を有効にします。新しい commit がリポジトリに push されたときや、pull リクエストが開始されたときなどでの受信イベントをリッスンし、新しいイベントが生じたときにビルドを自動的に実行するようにトリガーを構成できます。ソース リポジトリが変更された場合や、特定の条件に一致する変更があった場合にコードをビルドするようにトリガーを構成することもできます。
汎用 Jenkins Webhook トリガーを設定するには:
Jenkins サーバーに Jenkins Git Plugin、 SSH Credential Plugin および Generic Webhook Trigger Plugin をインストールします。
Jenkins サーバーで有効な SSH 認証鍵ペアを生成します。 Secure Source Manager は RSA タイプの鍵のみをサポートしています。
次のコマンドを実行して、Secure Source Manager インスタンス ドメインを Jenkins サーバー SSH
known_hostsファイルに追加します。ssh -t git@INSTANCE_ID-INSTANCE_PROJECT_NUMBER-ssh.us-central1.sourcemanager.devここで
- INSTANCE_ID は、Secure Source Manager インスタンスの名前です。
- INSTANCE_PROJECT_NUMBER は、 Secure Source Manager インスタンスのプロジェクト番号です。プロジェクト番号の確認方法については、 プロジェクトの識別 をご覧ください。
たとえば、次のコマンドは、プロジェクト番号が
123456789のprod-test-instanceという名前のインスタンスのインスタンス ドメインを追加します。ssh -t git@prod-test-instance-123456789-ssh.us-central1.sourcemanager.devyesと入力して、インスタンス ドメインを既知のホストのリストに追加します。Jenkins の [Manage Credentials] ページで、次の操作を行います。
- [SSH username with private key] を選択します。
- Jenkins サーバーの SSH 秘密鍵を貼り付けます。
- [Kind] プルダウンで、必要に応じて他のフィールドに入力します。
[作成] をクリックします。
Jenkins ウェブ インターフェースで、新しい Jenkins ジョブを作成します。
Jenkins ジョブの構成ページの [Source Code Management] セクションで、[Git] を選択します。
[Git] セクションで、Secure Source Manager リポジトリの SSH URL をリポジトリ URL として貼り付け、ビルド ブランチ(
*/mainなど)を入力します。次に、[Manage Credentials] ページで以前に追加した保存済みの秘密 SSH 認証鍵の認証情報を選択します。[Build Triggers] セクションで、[Generic Webhook Trigger] を選択します。
必要に応じて、呼び出し時にトークンが指定された場合にのみジョブがトリガーされるようにトークンを追加できます。トークンを追加するには、[Generic Webhook Trigger] セクションの [Token] フィールドにトークンを入力します。
[Build] セクションで、この Jenkins ジョブに使用するビルド スクリプトを指定します。たとえば、
cat README.mdを実行して README.md の内容を出力できます。[保存] をクリックして Jenkins ジョブを作成します。
サービス アカウントを設定して必要な権限を付与する
使用するサービス アカウントがない場合は、 サービス アカウントを作成します。
サービス アカウントに対する
iam.serviceAccounts.actAs権限があることを確認します。この権限は、サービス アカウント ユーザー(roles/iam.serviceAccountUser)ロールの一部です。Secure Source Manager ウェブ インターフェースで、 [その他のオプション] メニューをクリックします。
[サービス アカウントの SSH 認証鍵] をクリックします。[サービス アカウント SSH 認証鍵] ページが開き、追加した既存の鍵のリストが表示されます。
[鍵を追加] をクリックします。
[Add SSH key] ページで、鍵に次の値を入力します。
サービス アカウント: SSH 認証鍵を使用するサービス アカウントのサービス アカウントのメールアドレス(
SA_NAME@PROJECT_ID.iam.gserviceaccount.com場所
SA_NAMEはサービス アカウント名です。PROJECT_IDは、サービス アカウントが作成されたプロジェクトのプロジェクト ID です。
SSH Public Key: Jenkins の公開 SSH 認証鍵。
Secure Source Manager サービス エージェントの権限を付与する
サービス アカウントが Secure Source Manager インスタンスと同じプロジェクトにない場合は、Secure Source Manager サービス エージェントにサービス アカウント トークン作成者(roles/iam.serviceAccountTokenCreator)ロールまたはiam.serviceAccounts.signJwt権限を付与する必要があります。
サービス アカウントが Secure Source Manager インスタンスと同じプロジェクトにある場合は、 サービス アカウントにリポジトリ ロールを付与するに進みます。
次のコマンドを実行して、サービス アカウントの既存の IAM ポリシーを取得します。
gcloud iam service-accounts get-iam-policy SERVICE_ACCOUNT \ --format jsonここで、SERVICE_ACCOUNT は使用するサービス アカウントです。 アカウントは、数値のサービス アカウント ID またはメールアドレス(
123456789876543212345やmy-iam-account@somedomain.comなど)としてフォーマットする必要があります。出力には、既存のバインディングが含まれます。存在しない場合は、次のような
etag値が含まれます。{ "etag": "BwUjHYKJUiQ=" }出力を
policy.jsonという名前の新しいファイルにコピーします。Secure Source Manager サービス エージェントにサービス アカウント トークン作成者(
roles/iam.ServiceAccountTokenCreator)ロールを付与するには、policy.jsonを変更して次のように追加します。{ "role": "roles/iam.serviceAccountTokenCreator", "members": [ "serviceAccount:service-INSTANCE_PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com" ] }ここで、
INSTANCE_PROJECT_NUMBERは Secure Source Manager インスタンスのプロジェクト番号です。次のコマンドを実行して、サービス アカウントの既存の IAM ポリシーを置き換えます。
gcloud iam service-accounts set-iam-policy SERVICE_ACCOUNT POLICY_FILE次のように置き換えます。
- SERVICE_ACCOUNT は、サービス アカウント ID またはメールアドレスに置き換えます。
- POLICY_FILE は、新しいポリシーを含む JSON 形式のファイルの場所と名前に置き換えます。
サービス アカウントにリポジトリ ロールを付与する
- Secure Source Manager ウェブ インターフェースで、サービス アカウントに権限を付与するリポジトリに移動します。
- [権限] タブをクリックします。
- [ユーザーを追加] をクリックします。
- [プリンシパルを追加] フィールドに、サービス アカウントのメールアドレスを入力します。
- [ロール] プルダウン メニューで、[Secure Source Manager Repository Reader] を選択します。
次のコマンドを実行して、サービス アカウントに
securesourcemanager.instanceAccessorロールを割り当てます。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:SA_EMAIL \ --role=roles/securesourcemanager.instanceAccessor次のように置き換えます。
PROJECT_IDは、Secure Source Manager インスタンスのプロジェクト ID に置き換えます。SA_EMAILは、サービス アカウントのメールアドレスに置き換えます。
Webhook を設定する
- Secure Source Manager ウェブ インターフェースで、Webhook を作成するリポジトリに移動します。
- [設定] をクリックします。
- [Webhooks] をクリックし、[Add webhook] をクリックします。
[Hook ID] フィールドに、Webhook の ID を入力します。
[Target URL] フィールドに、Jenkins トリガー URL を入力します。
Jenkins トリガーの構成時にオプションのトークンを使用した場合は、Jenkins トリガー URL の末尾にそのトークンが含まれます。トークンが漏洩しないように、ターゲット URL の末尾から削除して [Sensitive Query String] フィールドにコピーします。
トリガー URL でトークンを見つけるには、
token=で始まるテキストを探します。たとえば、URL が次のようになっている場合:
https://jenkins-server.com/generic-webhook-trigger/invoke?token=jenkins-job1疑問符
?token=jenkins-job1で始まる部分をコピーして、[Target URL] フィールドから削除します。次に、最初の疑問符を削除し、残りの部分token=jenkins-job1を [Sensitive Query String] フィールドに移動します。[Trigger on] セクションで、次のいずれかを選択します。
- Push: リポジトリへの push でトリガーします。
- Pull request state changed: pull リクエストの状態が変更されたときにトリガーします。
[Push] を選択した場合は、 [Branch filter] フィールドに push イベントの許可リストを入力できます。
[Branch filter] フィールドでは glob パターンが使用され、一致するブランチに対するオペレーションのみがビルドトリガーを引き起こします。フィールドが空か
*の場合、すべてのブランチの push イベントが報告されます。[Add webhook] をクリックします。
Webhook が [Webhook] ページに表示されます。
Webhook をテストする
- Secure Source Manager の [Webhook] ページで、テストする Webhook をクリックします。
ページの一番下までスクロールして [Test delivery] をクリックします。
配信キューに偽のイベントが追加されます。配信履歴に表示されるまでに数秒かかることがあります。
gitコマンドを使用して、pull リクエストを push またはマージして Webhook をテストすることもできます。Jenkins プロジェクトで、テストイベントによってトリガーされたビルドを [Build History] で確認します。
最初のテスト配信を送信した後、Secure Source Manager Webhook ページの [Recent deliveries] セクションで、テスト配信の [Request] と [Response] を確認することもできます。
次のステップ
- Jenkins のドキュメントを確認する。