Hvernig á að setja upp og stilla GoCD á CentOS 7

Forkröfur

Settu upp Java

Settu upp GoCD

Stilla Block Storage

Setja upp eldvegg

Setja upp auðkenningu

Að tryggja GoCD með Let's Encrypt SSL

Setur upp GoCD Agent

GoCD er opinn uppspretta stöðugt afhendingar- og sjálfvirknikerfi. Það gerir þér kleift að móta flókið verkflæði með því að nota samhliða og raðbundna framkvæmd þess. Gildisstreymiskort þess gerir þér kleift að sjá flókið verkflæði á auðveldan hátt. GoCD gerir þér kleift að bera saman tvær smíðar auðveldlega og nota hvaða útgáfu sem er af forritinu sem þú vilt. GoCD vistkerfið samanstendur af GoCD netþjóni og GoCD umboðsmanni. GoCD er ábyrgur fyrir því að stjórna öllu eins og að keyra netviðmótið og stjórna og veita umboðsmanninum störf. Umboðsmenn Go eru ábyrgir fyrir því að reka störfin og dreifinguna.

Forkröfur

• Vultr CentOS 7 netþjónstilvik með að minnsta kosti 1GB vinnsluminni.
• A sudo notandi .
• Lén vísaði í átt að þjóninum.

Fyrir þessa kennslu munum við nota 192.168.1.1sem opinbera IP tölu og gocd.example.comsem lénið sem vísaði í átt að Vultr tilvikinu. Vinsamlega vertu viss um að skipta út öllum tilfellum af dæmi léninu og IP tölunni fyrir það raunverulega.

Uppfærðu grunnkerfið þitt með því að nota handbókina Hvernig á að uppfæra CentOS 7 . Þegar kerfið þitt hefur verið uppfært skaltu halda áfram að setja upp Java.

Settu upp Java

GoCD krefst Java útgáfu 8 og styður bæði Oracle Java og OpenJDK. Í þessari kennslu munum við setja upp Java 8 frá OpenJDK.

Auðvelt er að setja OpenJDK upp þar sem pakkinn er fáanlegur í sjálfgefna YUMgeymslunni.

sudo yum -y install java-1.8.0-openjdk-devel

Ef Java er rétt uppsett, þá muntu geta staðfest útgáfu þess.

java -version

Þú munt fá svipað úttak og eftirfarandi texti.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Áður en við getum haldið áfram þurfum við að setja upp JAVA_HOMEog JRE_HOMEumhverfisbreyturnar. Finndu algera slóð Java executable í kerfinu þínu.

readlink -f $(which java)

Eftirfarandi texti verður sendur út á flugstöðina þína.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Stilltu nú JAVA_HOMEog JRE_HOMEumhverfisbreyturnar í samræmi við slóð Java möppunnar.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Athugið: Gakktu úr skugga um að þú notir Java slóðina sem fæst á kerfinu þínu. Slóðin sem notuð er í þessari kennslu gæti breyst þegar ný útgáfa af Java 8 kemur út.

Keyra bash_profileskrána.

source ~/.bash_profile

Nú geturðu keyrt echo $JAVA_HOMEskipunina til að tryggja að umhverfisbreytan sé stillt.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Settu upp GoCD

GoCD er skrifað í Java, þess vegna er Java eina háð til að keyra GoCD. Hægt er að setja upp GoCD með hjálp YUM. Settu upp opinbera geymslu þess í kerfið.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Settu upp GoCD netþjóninn í kerfinu þínu.

sudo yum install -y go-server

Ræstu GoCD og gerðu það kleift að byrja sjálfkrafa við ræsingu.

sudo systemctl start go-server
sudo systemctl enable go-server

Áður en við fáum aðgang að GoCD mælaborðinu skulum við búa til nýja möppu til að geyma gripina. Artifacts er hægt að geyma á sama diski og stýrikerfið og forritin eru sett upp á. Að öðrum kosti geturðu notað sérstakan disk eða lokað geymsludrif til að geyma gripina.

Ef þú vilt nota sama diskinn til að geyma gripina skaltu bara búa til nýja möppu og veita GoCD notandanum eignarhaldið.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Stilla Block Storage

GoCD hugbúnaðurinn mælir með því að nota auka skipting eða drif til að geyma gripina. Í samfelldri samþættingu og afhendingarvettvangi eru gripir búnir til mjög oft. Plássið minnkar með tímanum þegar nýir gripir eru stöðugt búnir til. Á einhverju stigi mun kerfið þitt klárast af lausu plássi og þjónustan sem keyrir á vélinni þinni mun mistakast. Til að vinna bug á þessu vandamáli geturðu tengt nýtt Vultr blokkargeymsludrif til að geyma gripina. Ef þú vilt samt halda áfram að geyma gripi á sama drifi skaltu sleppa í hlutann „Uppsetning eldveggs“.

Settu upp nýtt blokkargeymsludrif og tengdu það við GoCD netþjóninn þinn. Búðu til nýja skipting á blokkageymslutækinu.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Búðu til skráarkerfið á nýja disknum.

sudo mkfs.ext4 /dev/vdb1

Settu blokkageymsludrifið upp.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Nú skaltu keyra dfog þú munt sjá nýja blokkageymsludrifið festa á /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Veittu GoCD notandanum eignarhald möppunnar.

sudo chown -R go:go /mnt/artifacts

Setja upp eldvegg

Breyttu eldveggstillingunni til að leyfa tengi 8153og í 8154gegnum eldvegginn. Port 8153hlustar á ótryggðar tengingar og port 8154fyrir tryggðar tengingar.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Nú geturðu fengið aðgang að GoCD mælaborðinu á http://192.168.1.1:8153. Til að fá aðgang að GoCD mælaborðinu á öruggri tengingu skaltu opna https://192.168.1.1:8154. Þú munt fá einhverja villu sem sýnir að skírteinin eru ekki gild. Þú getur örugglega hunsað villuna þar sem vottorðin eru sjálfundirrituð. Í öryggisskyni ættirðu alltaf að nota mælaborðið yfir örugga tengingu.

Áður en þú setur upp nýja leiðslu skaltu fletta að " Admin >> Server Configuration" frá efstu yfirlitsstikunni.

Sláðu inn slóðina á ótryggðu síðuna þína í " Site URL" reitinn og örugga síðu í " Secure Site URL" reitinn.

Næst skaltu gefa upplýsingar um SMTP netþjóninn þinn til að senda tölvupósttilkynningar frá GoCD.

Að lokum, gefðu upp slóðina að staðnum þar sem þú vilt geyma gripina. Ef þú hefur valið að geyma gripina á sama diski og stýrikerfið, sláðu inn /opt/artifacts; ef þú hefur valið að tengja blokkageymsludrif, þá geturðu slegið inn /mnt/artifacts.

Einnig geturðu stillt GoCD til að eyða sjálfkrafa gömlu gripunum. Stilltu næsta valkost í samræmi við stærð disksins. Hins vegar tekur sjálfvirk eyðing ekki afrit af gömlu gripunum þínum. Til að taka öryggisafrit handvirkt og eyða síðan gömlu gripunum skaltu slökkva á sjálfvirkri eyðingu með því að velja " Never" valkostinn fyrir " Auto delete old artifacts" valkostinn.

Þú verður að endurræsa GoCD netþjóninn svo að nýju breytingarnar verði notaðar.

sudo systemctl restart go-server

Setja upp auðkenningu

Sjálfgefið er að GoCD mælaborðið er ekki stillt til að nota hvers kyns auðkenningu, en það styður auðkenningu með lykilorðaskrá og LDAP. Í þessari kennslu munum við setja upp auðkenningu sem byggir á lykilorði.

Athugið : Að setja upp auðkenningu er valfrjálst skref, en það er eindregið mælt með því fyrir almenna netþjóna, eins og Vultr.

Settu upp Apache verkfæri svo að við getum notað htpasswdskipunina til að búa til dulkóðaða lykilorðaskrá.

sudo yum -y install httpd-tools

Búðu til lykilorðsskrá með htpasswdskipuninni með Bcrypt dulkóðun.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Gefðu upp lykilorðið fyrir notandann tvisvar. Þú munt sjá eftirfarandi úttak.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Þú getur bætt við eins mörgum notendum og þú vilt með því að nota sömu skipunina hér að ofan, en fjarlægja -cvalkostinn. The -cvalkostur mun skipta út núverandi skrá, skipta gamla notendur með nýja notandans.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Since, we have created the password file, access the GoCD dashboard again. Navigate to "Admin >> Security >> Authorization Configurations" from the top navigation bar. Click on the Add button and provide an ID. Choose "Password File Authentication Plugin for GoCD" for plugin ID and direct the path to the password file. Now click on the "Check Connection" button to verify that GoCD can use the password file for authentication.

Finally, save the authentication method. Reload the dashboard and it will automatically log you out. You will see a login screen now. Log in using the credentials created earlier.

You will need to promote the administrator user manually, otherwise, all the users will have administrator privileges. Navigate to "Admin >> User Summary" from the top navigation bar.

Now select the admin user you've created and click on the "Roles" drop-down. Promote the user to the only administrator by selecting the "Go System Administrator" checkbox.

To add the users in GoCD created in the password file, click on the "ADD" button and search for the user to add them. Users are also automatically added to the GoCD dashboard on their first login. Obviously, for users to log in, they must be added to the password file we have created earlier.

Securing GoCD with Let's Encrypt SSL

By default, GoCD listens to ports 8153 and 8154 on secure connections. Though port 8154 provides a secure connection to the application, it also displays browser errors as it uses a self-signed certificate. In this section of the tutorial, we will install and secure Nginx with Let's Encrypt free SSL certificate. The Nginx web server will work as a reverse proxy to forward the incoming requests to GoCD's HTTP endpoint.

Install Nginx.

sudo yum -y install nginx

Start Nginx and enable it to automatically start at boot time.

sudo systemctl start nginx
sudo systemctl enable nginx

Install Certbot, which is the client application for Let's Encrypt CA.

sudo yum -y install certbot

Before you can request certificates, you will need to allow ports 80 and 443, or standard HTTP and HTTPS services, through the firewall. Also, remove port 8153, which listens to the unsecured connections.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Note: To obtain certificates from Let's Encrypt CA, the domain for which the certificates are to be generated must be pointed towards the server. If not, make the necessary changes to the DNS records of the domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Generate the SSL certificates.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/gocd.example.com/. The SSL certificate will be stored as fullchain.pem and private key will be stored as privkey.pem.

Við skulum dulkóða vottorð renna út eftir 90 daga, svo mælt er með því að setja upp sjálfvirka endurnýjun skírteina með því að nota cron störf.

Opnaðu cron vinnuskrána.

sudo crontab -e

Bættu eftirfarandi línu við lok skráarinnar.

30 5 * * * /usr/bin/certbot renew --quiet

Ofangreint cron starf mun keyra á hverjum degi klukkan 5:30. Ef skírteinið á að renna út endurnýjast það sjálfkrafa.

Nú skaltu breyta Nginx sjálfgefna stillingarskránni til að taka út default_serverlínuna.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Búðu til nýja stillingarskrá fyrir GoCD vefviðmótið.

sudo nano /etc/nginx/conf.d/gocd.conf

Fylltu út skrána.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Athugaðu hvort villur séu í nýju stillingarskránni.

sudo nginx -t

Ef þú sérð eftirfarandi úttak er uppsetningin villulaus.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Ef þú hefur fengið einhvers konar villu, vertu viss um að athuga slóðina að SSL vottorðunum. Endurræstu Nginx vefþjóninn til að innleiða breytinguna á uppsetningu.

sudo systemctl restart nginx

Nú geturðu fengið aðgang að GoCD mælaborðinu á https://gocd.example.com. Skráðu þig inn á mælaborðið þitt með því að nota stjórnandaskilríki og farðu í " Admin >> Server Configuration" frá efstu yfirlitsstikunni.

Stilltu " Site URL" og " Secure Site URL" á https://gocd.example.com. Gátt 8154þarf samt að vera aðgengilegt í gegnum eldvegginn svo að ytri umboðsmenn geti tengst þjóninum í gegnum gátt 8154, ef þeir geta ekki tengst í gegnum venjulegu HTTPtengið.

Setur upp GoCD Agent

Í GoCD samþættingarumhverfinu eru GoCD umboðsmenn þeir starfsmenn sem bera ábyrgð á framkvæmd allra verkefna. Þegar breyting á upprunanum greinist er leiðslan ræst og verkunum úthlutað til tiltækra starfsmanna til framkvæmdar. Umboðsmaðurinn framkvæmir síðan verkefnið og tilkynnir um lokastöðu eftir framkvæmd.

Til að keyra leiðslu verður að stilla að minnsta kosti einn umboðsmann. Haltu áfram að setja upp GoCD umboðsmanninn á GoCD þjóninum.

Þar sem við höfum þegar flutt GoCD geymsluna inn á netþjóninn getum við sett upp Go Agent beint.

sudo yum install -y go-agent

Nú skaltu ræsa GoCD netþjóninn og gera hann kleift að ræsast sjálfkrafa við ræsingu.

sudo systemctl start go-agent
sudo systemctl enable go-agent

GoCD umboðsmaðurinn sem keyrir á localhost er sjálfkrafa virkur þegar hann uppgötvast.