Jak nainstalovat a nakonfigurovat GoCD na CentOS 7

Předpoklady

Nainstalujte Javu

Nainstalujte GoCD

Konfigurace úložiště bloků

Nastavení brány firewall

Nastavení ověřování

Zabezpečení GoCD pomocí Let's Encrypt SSL

Instalace agenta GoCD

GoCD je open source systém pro nepřetržité doručování a automatizaci. Umožňuje vám modelovat složité pracovní postupy pomocí paralelního a sekvenčního provádění. Jeho mapa toku hodnot vám umožňuje snadno vizualizovat komplexní pracovní postup. GoCD vám umožní snadno porovnat dvě sestavení a nasadit jakoukoli verzi aplikace, kterou chcete. Ekosystém GoCD se skládá ze serveru GoCD a agenta GoCD. GoCD je zodpovědná za kontrolu všeho, jako je běh webového uživatelského rozhraní a správa a poskytování úloh agentovi. Agenti Go jsou zodpovědní za spouštění úloh a nasazení.

Předpoklady

• Instance serveru Vultr CentOS 7 s alespoň 1 GB RAM.
• Uživatel sudo .
• Název domény směřující k serveru.

Pro tento tutoriál použijeme 192.168.1.1jako veřejnou IP adresu a gocd.example.comjako název domény směřující k instanci Vultr. Ujistěte se, že jste nahradili všechny výskyty vzorového názvu domény a IP adresy skutečnými.

Aktualizujte svůj základní systém pomocí průvodce Jak aktualizovat CentOS 7 . Jakmile bude váš systém aktualizován, pokračujte v instalaci Javy.

Nainstalujte Javu

GoCD vyžaduje Java verze 8 a podporuje Oracle Java i OpenJDK. V tomto tutoriálu budeme instalovat Javu 8 z OpenJDK.

OpenJDK lze snadno nainstalovat, protože balíček je k dispozici ve výchozím YUMúložišti.

sudo yum -y install java-1.8.0-openjdk-devel

Pokud je Java správně nainstalována, budete moci ověřit její verzi.

java -version

Získáte podobný výstup jako v následujícím textu.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Než budeme moci pokračovat dále, budeme muset nastavit proměnné prostředí JAVA_HOMEa JRE_HOME. Najděte absolutní cestu ke spustitelnému souboru Java ve vašem systému.

readlink -f $(which java)

Na váš terminál bude odeslán následující text.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Nyní nastavte proměnné prostředí JAVA_HOMEa JRE_HOMEpodle cesty k adresáři Java.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Poznámka: Ujistěte se, že používáte cestu Java získanou ve vašem systému. Cesta použitá v tomto kurzu se může změnit, když bude vydána nová verze Java 8.

Spusťte bash_profilesoubor.

source ~/.bash_profile

Nyní můžete spustit echo $JAVA_HOMEpříkaz, abyste se ujistili, že je nastavena proměnná prostředí.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Nainstalujte GoCD

GoCD je napsáno v Javě, a proto je Java jedinou závislostí pro spuštění GoCD. GoCD lze nainstalovat pomocí YUM. Nainstalujte do systému jeho oficiální úložiště.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Nainstalujte server GoCD do vašeho systému.

sudo yum install -y go-server

Spusťte GoCD a povolte jeho automatické spouštění při spouštění.

sudo systemctl start go-server
sudo systemctl enable go-server

Než přistoupíme k řídicímu panelu GoCD, vytvořte nový adresář pro uložení artefaktů. Artefakty mohou být uloženy na stejném disku, na kterém je nainstalován operační systém a aplikace. Alternativně můžete k uložení artefaktů použít vyhrazený disk nebo blokovou úložnou jednotku.

Pokud si přejete použít stejný disk k ukládání artefaktů, stačí vytvořit nový adresář a poskytnout vlastnictví uživateli GoCD.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Konfigurace úložiště bloků

Software GoCD doporučuje použít pro uložení artefaktů další oddíl nebo jednotku. V kontinuální integrační a doručovací platformě se artefakty generují velmi často. Místo na disku se časem zmenšuje, když jsou neustále generovány nové artefakty. V určité fázi vašemu systému dojde volné místo na disku a služby běžící na vašem systému selžou. Chcete-li tento problém vyřešit , můžete připojit nový blokový úložný disk Vultr pro uložení artefaktů. Pokud si přesto přejete ukládat artefakty na stejný disk, přeskočte do sekce „Nastavení brány firewall“.

Nasaďte novou blokovou úložnou jednotku a připojte ji k instanci serveru GoCD. Nyní vytvořte nový oddíl na blokovém úložném zařízení.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Vytvořte systém souborů na novém disku.

sudo mkfs.ext4 /dev/vdb1

Namontujte blokovou úložnou jednotku.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Nyní spusťte dfa uvidíte nový blokový úložný disk připojený na /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Poskytněte uživateli GoCD vlastnictví adresáře.

sudo chown -R go:go /mnt/artifacts

Nastavení brány firewall

Změňte konfiguraci brány firewall tak, aby povolovala porty 8153a 8154přes bránu firewall. Port 8153čeká na nezabezpečená připojení a port 8154na zabezpečená připojení.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Nyní máte přístup k řídicímu panelu GoCD na http://192.168.1.1:8153. Chcete-li získat přístup k řídicímu panelu GoCD prostřednictvím zabezpečeného připojení, přejděte na https://192.168.1.1:8154. Zobrazí se nějaká chyba ukazující, že certifikáty nejsou platné. Chybu můžete bezpečně ignorovat, protože certifikáty jsou podepsány sebou samým. Z bezpečnostních důvodů byste měli vždy používat řídicí panel přes zabezpečené připojení.

Než nastavíte nový kanál, přejděte na „ Admin >> Server Configuration“ z horního navigačního panelu.

Zadejte adresu URL svého nezabezpečeného webu do pole „ Site URL“ a zabezpečeného webu do pole „ Secure Site URL“.

Dále zadejte podrobnosti o svém serveru SMTP, abyste mohli odesílat e-mailová upozornění z GoCD.

Nakonec zadejte cestu k místu, kam chcete artefakty uložit. Pokud jste se rozhodli ukládat artefakty na stejný disk jako operační systém, zadejte /opt/artifacts; pokud jste se rozhodli připojit blokovou úložnou jednotku, můžete zadat /mnt/artifacts.

Můžete také nakonfigurovat GoCD tak, aby automaticky odstraňoval staré artefakty. Nakonfigurujte další možnost podle velikosti disku. Možnost automatického mazání však neprovádí zálohu vašich starých artefaktů. Chcete-li ručně vytvořit zálohu a poté odstranit staré artefakty, vypněte automatické mazání výběrem možnosti „ Never“ pro možnost „ Auto delete old artifacts“.

Budete muset restartovat server GoCD, aby se nové změny uplatnily.

sudo systemctl restart go-server

Nastavení ověřování

Ve výchozím nastavení není řídicí panel GoCD nakonfigurován pro použití jakéhokoli druhu ověřování, ale podporuje ověřování pomocí souboru s hesly a LDAP. V tomto tutoriálu nastavíme ověřování na základě hesla.

Poznámka : Nastavení ověřování je volitelný krok, ale důrazně se doporučuje pro veřejné servery, jako je Vultr.

Nainstalujte nástroje Apache, abychom mohli použít htpasswdpříkaz k vytvoření šifrovaného souboru s hesly.

sudo yum -y install httpd-tools

Vytvořte soubor s hesly pomocí htpasswdpříkazu pomocí šifrování Bcrypt.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Zadejte heslo pro uživatele dvakrát. Uvidíte následující výstup.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Pomocí stejného příkazu výše můžete přidat tolik uživatelů, kolik chcete, ale tuto -cmožnost odeberete . Tato -cmožnost nahradí stávající soubor a nahradí staré uživatele novým uživatelem.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Protože jsme vytvořili soubor s hesly, znovu přejděte na řídicí panel GoCD. Přejděte na „ Admin >> Security >> Authorization Configurations“ z horního navigačního panelu. Klikněte na Addtlačítko a zadejte ID. Password File Authentication Plugin for GoCDJako ID pluginu zvolte " " a nasměrujte cestu k souboru s hesly. Nyní klikněte na tlačítko " Check Connection", abyste ověřili, že GoCD může použít soubor s hesly pro ověření.

Nakonec uložte metodu ověřování. Znovu načtěte řídicí panel a automaticky vás odhlásí. Nyní uvidíte přihlašovací obrazovku. Přihlaste se pomocí dříve vytvořených přihlašovacích údajů.

Administrátorského uživatele budete muset povýšit ručně, jinak budou mít všichni uživatelé administrátorská práva. Přejděte na „ Admin >> User Summary“ z horního navigačního panelu.

Nyní vyberte administrátora, kterého jste vytvořili, a klikněte na Rolesrozbalovací nabídku „ “. Povýšit uživatele na jediného správce zaškrtnutím políčka „ Go System Administrator“.

Chcete-li přidat uživatele do GoCD vytvořeného v souboru s hesly, klikněte na tlačítko " ADD" a vyhledejte uživatele, kterého chcete přidat. Uživatelé jsou také automaticky přidáni do řídicího panelu GoCD při prvním přihlášení. Aby se uživatelé mohli přihlásit, musí být samozřejmě přidáni do souboru hesel, který jsme vytvořili dříve.

Zabezpečení GoCD pomocí Let's Encrypt SSL

By default, GoCD listens to ports 8153 and 8154 on secure connections. Though port 8154 provides a secure connection to the application, it also displays browser errors as it uses a self-signed certificate. In this section of the tutorial, we will install and secure Nginx with Let's Encrypt free SSL certificate. The Nginx web server will work as a reverse proxy to forward the incoming requests to GoCD's HTTP endpoint.

Install Nginx.

sudo yum -y install nginx

Start Nginx and enable it to automatically start at boot time.

sudo systemctl start nginx
sudo systemctl enable nginx

Install Certbot, which is the client application for Let's Encrypt CA.

sudo yum -y install certbot

Než budete moci požádat o certifikáty, budete muset prostřednictvím brány firewall povolit porty 80a 443, nebo standard HTTPa HTTPSslužby. Odstraňte také port 8153, který naslouchá nezabezpečeným připojením.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Poznámka : Chcete-li získat certifikáty od Let's Encrypt CA, doména, pro kterou mají být certifikáty vygenerovány, musí být nasměrována na server. Pokud ne, proveďte potřebné změny v záznamech DNS domény a počkejte, až se DNS rozšíří, než znovu požádáte o certifikát. Certbot před poskytnutím certifikátů zkontroluje autoritu domény.

Vygenerujte certifikáty SSL.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

Vygenerované certifikáty budou pravděpodobně uloženy ve formátu /etc/letsencrypt/live/gocd.example.com/. SSL certifikát bude uložen jako fullchain.pema soukromý klíč bude uložen jako privkey.pem.

Platnost certifikátů Let's Encrypt vyprší za 90 dní, proto se doporučuje nastavit automatické obnovování certifikátů pomocí úloh cron.

Otevřete soubor úlohy cron.

sudo crontab -e

Přidejte následující řádek na konec souboru.

30 5 * * * /usr/bin/certbot renew --quiet

Výše uvedená úloha cron se spustí každý den v 5:30. Pokud má platnost certifikátu vypršet, automaticky se obnoví.

Nyní změňte výchozí konfigurační soubor Nginx, abyste odstranili default_serverřádek.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Vytvořte nový konfigurační soubor pro webové rozhraní GoCD.

sudo nano /etc/nginx/conf.d/gocd.conf

Vyplňte soubor.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Zkontrolujte chyby v novém konfiguračním souboru.

sudo nginx -t

Pokud uvidíte následující výstup, konfigurace je bez chyb.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Pokud jste obdrželi nějaký druh chyby, nezapomeňte znovu zkontrolovat cestu k certifikátům SSL. Restartujte webový server Nginx, abyste provedli změnu konfigurace.

sudo systemctl restart nginx

Nyní máte přístup k řídicímu panelu GoCD na adrese https://gocd.example.com. Přihlaste se na svůj řídicí panel pomocí přihlašovacích údajů správce a přejděte na „ Admin >> Server Configuration“ z horního navigačního panelu.

Nastavte " Site URL" a " Secure Site URL" na https://gocd.example.com. Port 8154musí být stále přístupný přes firewall, aby se vzdálení agenti mohli připojit k serveru přes port 8154, v případě, že se nemohou připojit přes standardní HTTPport.

Instalace agenta GoCD

V prostředí nepřetržité integrace GoCD jsou agenti GoCD pracovníci, kteří jsou zodpovědní za provádění všech úkolů. Když je zjištěna změna zdroje, spustí se kanál a úlohy jsou přiřazeny dostupným pracovníkům k provedení. Agent poté provede úlohu a po provedení hlásí konečný stav.

Pro spuštění kanálu musí být nakonfigurován alespoň jeden agent. Pokračujte v instalaci agenta GoCD na server GoCD.

Vzhledem k tomu, že jsme již naimportovali úložiště GoCD na server, můžeme přímo nainstalovat Go Agent.

sudo yum install -y go-agent

Nyní spusťte server GoCD a povolte jeho automatické spouštění při spouštění.

sudo systemctl start go-agent
sudo systemctl enable go-agent

Agent GoCD běžící na localhost je automaticky povolen, když je detekován.