Kaip įdiegti ir konfigūruoti „GoCD“ „CentOS 7“.

GoCD yra atvirojo kodo nuolatinio pristatymo ir automatizavimo sistema. Tai leidžia modeliuoti sudėtingas darbo eigas naudojant lygiagretų ir nuoseklų vykdymą. Jo vertės srauto žemėlapis leidžia lengvai vizualizuoti sudėtingą darbo eigą. „GoCD“ leidžia lengvai palyginti dvi versijas ir įdiegti bet kurią norimos programos versiją. GoCD ekosistemą sudaro GoCD serveris ir GoCD agentas. „GoCD“ yra atsakinga už visko, pvz., žiniatinklio vartotojo sąsajos paleidimą ir užduočių tvarkymą bei teikimą agentui, valdymą. „Go“ agentai yra atsakingi už darbų vykdymą ir diegimą.

Būtinos sąlygos

• „Vultr CentOS 7“ serverio egzempliorius su mažiausiai 1 GB RAM.
• Sudo vartotojas .
• Domeno vardas nukreiptas į serverį.

Šioje pamokoje naudosime 192.168.1.1kaip viešąjį IP adresą ir gocd.example.comkaip domeno pavadinimą, nukreiptą į Vultr egzempliorių. Būtinai pakeiskite visus pavyzdinio domeno vardo ir IP adreso atvejus tikruoju.

Atnaujinkite bazinę sistemą naudodami vadovą Kaip atnaujinti CentOS 7 . Kai sistema bus atnaujinta, tęskite „Java“ diegimą.

Įdiegti Java

„GoCD“ reikalinga 8 „Java“ versija ir palaiko „Oracle Java“ ir „OpenJDK“. Šioje pamokoje mes įdiegsime Java 8 iš OpenJDK.

OpenJDK galima lengvai įdiegti, nes paketą galima rasti numatytojoje YUMsaugykloje.

sudo yum -y install java-1.8.0-openjdk-devel

Jei „Java“ įdiegta teisingai, galėsite patikrinti jos versiją.

java -version

Gausite panašų išvestį į šį tekstą.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Prieš tęsdami toliau, turėsime nustatyti JAVA_HOMEir JRE_HOMEaplinkos kintamuosius. Raskite absoliutų „Java“ vykdomojo failo kelią savo sistemoje.

readlink -f $(which java)

Šis tekstas bus išvestas į jūsų terminalą.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Dabar nustatykite JAVA_HOMEir JRE_HOMEaplinkos kintamuosius pagal Java katalogo kelią.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Pastaba: įsitikinkite, kad naudojate sistemoje gautą Java kelią. Šiame vadove naudojamas kelias gali pasikeisti, kai bus išleista nauja Java 8 versija.

Vykdykite bash_profilefailą.

source ~/.bash_profile

Dabar galite paleisti echo $JAVA_HOMEkomandą, kad įsitikintumėte, jog aplinkos kintamasis yra nustatytas.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Įdiekite GoCD

„GoCD“ yra parašyta „Java“, todėl „Java“ yra vienintelė priklausomybė, skirta paleisti „GoCD“. GoCD galima įdiegti naudojant YUM. Įdiekite savo oficialią saugyklą sistemoje.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Įdiekite GoCD serverį savo sistemoje.

sudo yum install -y go-server

Paleiskite GoCD ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start go-server
sudo systemctl enable go-server

Prieš patekdami į GoCD prietaisų skydelį, sukurkime naują katalogą artefaktams saugoti. Artefaktai gali būti saugomi tame pačiame diske, kuriame įdiegta operacinė sistema ir programos. Arba galite naudoti tam skirtą diską arba blokuoti saugojimo įrenginį, kad saugotumėte artefaktus.

Jei norite naudoti tą patį diską artefaktams saugoti, tiesiog sukurkite naują katalogą ir suteikite nuosavybės teisę GoCD vartotojui.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Konfigūruoti bloko saugyklą

GoCD programinė įranga rekomenduoja naudoti papildomą skaidinį arba diską artefaktams saugoti. Nuolatinėje integravimo ir pristatymo platformoje artefaktai generuojami labai dažnai. Laikui bėgant vietos diske mažėja, kai nuolat generuojami nauji artefaktai. Tam tikru etapu jūsų sistemoje pritrūks laisvos vietos diske ir jūsų sistemoje veikiančios paslaugos suges. Norėdami išspręsti šią problemą, galite pridėti naują „ Vultr“ bloko atminties diską, kad saugotumėte artefaktus. Jei vis tiek norite saugoti artefaktus tame pačiame diske, pereikite prie skyriaus „Užkardos sąranka“.

Įdiekite naują blokinį saugojimo diską ir pridėkite jį prie savo GoCD serverio egzemplioriaus. Dabar sukurkite naują skaidinį bloko saugojimo įrenginyje.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Sukurkite failų sistemą naujame diske.

sudo mkfs.ext4 /dev/vdb1

Sumontuokite bloko saugojimo įrenginį.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Dabar paleiskite dfir pamatysite naują bloko atminties įrenginį, sumontuotą /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Suteikite katalogo nuosavybės teisę GoCD vartotojui.

sudo chown -R go:go /mnt/artifacts

Nustatykite ugniasienę

Pakeiskite ugniasienės konfigūraciją, kad būtų leisti prievadai 8153ir 8154per užkardą. Prievadas 8153klausosi nesaugių jungčių ir prievadas 8154saugių jungčių.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Dabar GoCD prietaisų skydelį galite pasiekti naudodami http://192.168.1.1:8153. Norėdami pasiekti GoCD prietaisų skydelį saugiu ryšiu, pasiekite https://192.168.1.1:8154. Gausite klaidą, rodančią, kad sertifikatai negalioja. Galite saugiai nekreipti dėmesio į klaidą, nes sertifikatai yra patys pasirašyti. Saugumo sumetimais prietaisų skydelį visada turėtumėte naudoti saugiu ryšiu.

Prieš nustatydami naują dujotiekį, Admin >> Server Configurationviršutinėje naršymo juostoje eikite į „ “.

Site URLLauke „ “ įveskite nesaugios svetainės URL, o lauke „ “ – apsaugotą svetainę Secure Site URL.

Tada pateikite savo SMTP serverio informaciją, kad galėtumėte siųsti el. pašto pranešimus iš GoCD.

Galiausiai nurodykite kelią į vietą, kurioje norite saugoti artefaktus. Jei pasirinkote saugoti artefaktus tame pačiame diske kaip ir operacinė sistema, įveskite /opt/artifacts; jei pasirinkote prijungti blokinį atminties įrenginį, galite įvesti /mnt/artifacts.

Be to, galite sukonfigūruoti GoCD, kad automatiškai ištrintų senus artefaktus. Sukonfigūruokite kitą parinktį pagal savo disko dydį. Tačiau automatinio ištrynimo parinktis nekuria atsarginės senų artefaktų kopijos. Norėdami rankiniu būdu sukurti atsarginę kopiją ir ištrinti senus artefaktus, išjunkite automatinį ištrynimą pasirinkdami " Never" parinktį prie parinkties " Auto delete old artifacts".

Turėsite iš naujo paleisti GoCD serverį, kad būtų pritaikyti nauji pakeitimai.

sudo systemctl restart go-server

Nustatykite autentifikavimą

Pagal numatytuosius nustatymus GoCD prietaisų skydelis nėra sukonfigūruotas naudoti bet kokį autentifikavimą, tačiau palaiko autentifikavimą naudojant slaptažodžio failą ir LDAP. Šioje pamokoje mes nustatysime slaptažodžiu pagrįstą autentifikavimą.

Pastaba : autentifikavimo nustatymas yra neprivalomas veiksmas, tačiau tai primygtinai rekomenduojama viešiesiems serveriams, pvz., Vultr.

Įdiekite „Apache“ įrankius, kad galėtume naudoti htpasswdkomandą šifruotam slaptažodžio failui sukurti.

sudo yum -y install httpd-tools

Sukurkite slaptažodžio failą naudodami htpasswdkomandą naudodami Bcrypt šifravimą.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Du kartus pateikite vartotojo slaptažodį. Pamatysite tokią išvestį.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Galite pridėti tiek vartotojų, kiek norite, naudodami tą pačią aukščiau esančią komandą, bet pašalindami -cparinktį. Ši -cparinktis pakeis esamą failą, pakeisdama senus vartotojus nauju vartotoju.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Kadangi sukūrėme slaptažodžio failą, vėl prisijunkite prie GoCD prietaisų skydelio. Admin >> Security >> Authorization ConfigurationsViršutinėje naršymo juostoje eikite į „ “. Spustelėkite Addmygtuką ir pateikite ID. Password File Authentication Plugin for GoCDPapildinio ID pasirinkite " " ir nukreipkite kelią į slaptažodžio failą. Dabar spustelėkite Check Connectionmygtuką " ", kad patikrintumėte, ar GoCD gali naudoti slaptažodžio failą autentifikavimui.

Galiausiai išsaugokite autentifikavimo metodą. Iš naujo įkelkite prietaisų skydelį ir jis automatiškai atsijungs. Dabar pamatysite prisijungimo ekraną. Prisijunkite naudodami anksčiau sukurtus kredencialus.

Administratoriaus vartotoją turėsite reklamuoti rankiniu būdu, kitaip visi vartotojai turės administratoriaus teises. Admin >> User SummaryViršutinėje naršymo juostoje eikite į „ “.

Dabar pasirinkite sukurtą administratoriaus naudotoją ir spustelėkite Rolesišskleidžiamąjį meniu. Paaukštinkite vartotoją į vienintelį administratorių, pažymėdami Go System Administratoržymimąjį laukelį.

Norėdami įtraukti vartotojus į GoCD, sukurtą slaptažodžio faile, spustelėkite ADDmygtuką " " ir ieškokite vartotojo, kuris juos pridės. Vartotojai taip pat automatiškai įtraukiami į GoCD prietaisų skydelį pirmą kartą prisijungus. Akivaizdu, kad vartotojai gali prisijungti, jie turi būti įtraukti į mūsų anksčiau sukurtą slaptažodžio failą.

GoCD apsauga naudojant Let's Encrypt SSL

Pagal numatytuosius nustatymus GoCD klauso prievadų 8153ir 8154saugių ryšių. Nors prievadas 8154užtikrina saugų ryšį su programa, jis taip pat rodo naršyklės klaidas, nes naudoja savarankiškai pasirašytą sertifikatą. Šioje pamokos dalyje įdiegsime ir apsaugome „Nginx“ naudodami „Let's Encrypt“ nemokamą SSL sertifikatą. „Nginx“ žiniatinklio serveris veiks kaip atvirkštinis tarpinis serveris, persiunčiantis gaunamas užklausas į „GoCD“ HTTPgalinį tašką.

Įdiekite „Nginx“.

sudo yum -y install nginx

Paleiskite Nginx ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start nginx
sudo systemctl enable nginx

Įdiekite „Certbot“, kuri yra „Let's Encrypt CA“ kliento programa.

sudo yum -y install certbot

Before you can request certificates, you will need to allow ports 80 and 443, or standard HTTP and HTTPS services, through the firewall. Also, remove port 8153, which listens to the unsecured connections.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Note: To obtain certificates from Let's Encrypt CA, the domain for which the certificates are to be generated must be pointed towards the server. If not, make the necessary changes to the DNS records of the domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Generate the SSL certificates.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/gocd.example.com/. The SSL certificate will be stored as fullchain.pem and private key will be stored as privkey.pem.

Let's Encrypt certificates expire in 90 days, so it is recommended to set up auto-renewal of the certificates using cron jobs.

Open the cron job file.

sudo crontab -e

Add the following line to the end of the file.

30 5 * * * /usr/bin/certbot renew --quiet

The above cron job will run every day at 5:30 AM. If the certificate is due for expiry, it will automatically renew.

Now, change the Nginx default configuration file to take out the default_server line.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Create a new configuration file for the GoCD web interface.

sudo nano /etc/nginx/conf.d/gocd.conf

Populate the file.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Check for errors in the new configuration file.

sudo nginx -t

If you see the following output, the configuration is error free.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

If you have received some kind of error, make sure to double check the path to the SSL certificates. Restart the Nginx web server to implement the change in configuration.

sudo systemctl restart nginx

Now you can access the GoCD dashboard at https://gocd.example.com. Log in to your dashboard using the administrator credentials and navigate to "Admin >> Server Configuration" from the top navigation bar.

Set the "Site URL" and "Secure Site URL" to https://gocd.example.com. Port 8154 still needs to be accessible through the firewall so that the remote agents may connect to the server through port 8154, in case they are unable to connect through the standard HTTP port.

Installing GoCD Agent

In the GoCD continuous integration environment, GoCD agents are the workers that are responsible for the execution of all the tasks. When a change in the source is detected, the pipeline is triggered and the jobs are assigned to the available workers for execution. The agent then executes the task and reports the final status after execution.

To run a pipeline, at least one agent must to be configured. Proceed to install the GoCD agent on the GoCD server.

Since we have already imported the GoCD repository into the server, we can directly install Go Agent.

sudo yum install -y go-agent

Now, start the GoCD server and enable it to automatically start at boot time.

sudo systemctl start go-agent
sudo systemctl enable go-agent

The GoCD agent running on the localhost is automatically enabled when detected.