Ako nainštalovať a nakonfigurovať GoCD na CentOS 7

GoCD je open source systém nepretržitého doručovania a automatizácie. Umožňuje vám modelovať zložité pracovné postupy pomocou jeho paralelného a sekvenčného vykonávania. Jeho mapa toku hodnôt vám umožňuje jednoducho vizualizovať zložitý pracovný postup. GoCD vám umožňuje jednoducho porovnať dve zostavy a nasadiť ľubovoľnú verziu aplikácie, ktorú chcete. Ekosystém GoCD pozostáva zo servera GoCD a agenta GoCD. GoCD je zodpovedný za kontrolu všetkého, ako je spustenie webového používateľského rozhrania a správa a poskytovanie úloh agentovi. Agenti Go sú zodpovední za spustenie úloh a nasadenia.

Predpoklady

• Inštancia servera Vultr CentOS 7 s najmenej 1 GB RAM.
• Sudo používateľ .
• Názov domény nasmerovaný na server.

V tomto návode budeme používať 192.168.1.1ako verejnú IP adresu a gocd.example.comako názov domény smerujúci k inštancii Vultr. Uistite sa, že ste nahradili všetky výskyty vzorového názvu domény a adresy IP skutočnými.

Aktualizujte svoj základný systém pomocou príručky Ako aktualizovať CentOS 7 . Po aktualizácii systému pokračujte v inštalácii Java.

Nainštalujte Java

GoCD vyžaduje Java verziu 8 a podporuje Oracle Java aj OpenJDK. V tomto návode budeme inštalovať Java 8 z OpenJDK.

OpenJDK sa dá ľahko nainštalovať, pretože balík je dostupný v predvolenom YUMúložisku.

sudo yum -y install java-1.8.0-openjdk-devel

Ak je Java správne nainštalovaná, budete môcť overiť jej verziu.

java -version

Získate podobný výstup ako nasledujúci text.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Skôr ako budeme môcť pokračovať, budeme musieť nastaviť premenné prostredia JAVA_HOMEa JRE_HOME. Nájdite absolútnu cestu k spustiteľnému súboru Java vo vašom systéme.

readlink -f $(which java)

Nasledujúci text sa odošle na váš terminál.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Teraz nastavte premenné prostredia JAVA_HOMEa JRE_HOMEpodľa cesty k adresáru Java.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Poznámka: Uistite sa, že používate cestu Java získanú vo vašom systéme. Cesta použitá v tomto návode sa môže zmeniť, keď bude vydaná nová verzia Java 8.

Spustite bash_profilesúbor.

source ~/.bash_profile

Teraz môžete spustiť echo $JAVA_HOMEpríkaz, aby ste sa uistili, že je nastavená premenná prostredia.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Nainštalujte GoCD

GoCD je napísané v jazyku Java, a preto je Java jedinou závislosťou na spustenie GoCD. GoCD je možné nainštalovať pomocou YUM. Nainštalujte do systému jeho oficiálne úložisko.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Nainštalujte server GoCD do vášho systému.

sudo yum install -y go-server

Spustite GoCD a povoľte jej automatické spustenie pri štarte.

sudo systemctl start go-server
sudo systemctl enable go-server

Predtým, ako pristúpime k ovládaciemu panelu GoCD, vytvorme nový adresár na uloženie artefaktov. Artefakty môžu byť uložené na rovnakom disku, na ktorom je nainštalovaný operačný systém a aplikácie. Prípadne môžete na uloženie artefaktov použiť vyhradený disk alebo blokovú úložnú jednotku.

Ak chcete použiť rovnaký disk na ukladanie artefaktov, vytvorte nový adresár a poskytnite vlastníctvo používateľovi GoCD.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Konfigurácia blokového úložiska

Softvér GoCD odporúča použiť na ukladanie artefaktov ďalší oddiel alebo jednotku. V kontinuálnej integračnej a doručovacej platforme sa artefakty generujú veľmi často. Miesto na disku sa časom zmenšuje, keď sa neustále generujú nové artefakty. V určitom štádiu sa vášmu systému minie voľné miesto na disku a služby spustené vo vašom systéme zlyhajú. Na prekonanie tohto problému môžete pripojiť novú blokovú úložnú jednotku Vultr na uloženie artefaktov. Ak si napriek tomu želáte ukladať artefakty na rovnakú jednotku, preskočte na časť „Nastavenie brány firewall“.

Nasaďte novú blokovú úložnú jednotku a pripojte ju k inštancii servera GoCD. Teraz vytvorte nový oddiel na blokovom úložnom zariadení.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Vytvorte súborový systém na novom disku.

sudo mkfs.ext4 /dev/vdb1

Namontujte blokovú ukladaciu jednotku.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Teraz spustite dfa uvidíte nový blokový ukladací disk namontovaný na /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Poskytnite používateľovi GoCD vlastníctvo adresára.

sudo chown -R go:go /mnt/artifacts

Nastavte bránu firewall

Zmeňte konfiguráciu brány firewall tak, aby povoľovala porty 8153a 8154cez bránu firewall. Port 8153čaká na nezabezpečené pripojenia a port 8154na zabezpečené pripojenia.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Teraz máte prístup k ovládaciemu panelu GoCD na http://192.168.1.1:8153. Ak chcete získať prístup k ovládaciemu panelu GoCD cez zabezpečené pripojenie, prejdite na https://192.168.1.1:8154. Zobrazí sa chyba, ktorá ukazuje, že certifikáty nie sú platné. Chybu môžete pokojne ignorovať, pretože certifikáty sú podpísané vlastným podpisom. Z bezpečnostných dôvodov by ste mali vždy používať palubnú dosku cez zabezpečené pripojenie.

Pred nastavením nového kanála prejdite na „ Admin >> Server Configuration“ z horného navigačného panela.

Input the URL to your unsecured site in the "Site URL" field and secured site in the "Secure Site URL" field.

Next, provide your SMTP server details to send email notifications from GoCD.

Finally, provide the path to the location where you wish to store the artifacts. If you have chosen to store the artifacts on the same disk as the operating system, enter /opt/artifacts; if you have chosen to attach a block storage drive, then you can enter /mnt/artifacts.

Also, you can configure GoCD to auto-delete the old artifacts. Configure the next option according to your disk size. However, the auto-delete option does not take a backup of your old artifacts. To manually take a backup and then delete the old artifacts, disable auto delete by choosing the "Never" option for the "Auto delete old artifacts" option.

You will need to restart the GoCD server so that the new changes are applied.

sudo systemctl restart go-server

Setup Authentication

By default, the GoCD dashboard is not configured to use any kind of authentication, but it supports authentication using a password file and LDAP. In this tutorial, we will set up password-based authentication.

Note: Setting up authentication is an optional step, but it is strongly recommended for public facing servers, such as Vultr.

Install Apache tools so that we can use the htpasswd command to create an encrypted password file.

sudo yum -y install httpd-tools

Create a password file with the htpasswd command using Bcrypt encryption.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Provide the password for the user twice. You will see the following output.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

You can add as many users as you want using the same command above, but removing the -c option. The -c option will replace the existing file, replacing old users with the new user.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Since, we have created the password file, access the GoCD dashboard again. Navigate to "Admin >> Security >> Authorization Configurations" from the top navigation bar. Click on the Add button and provide an ID. Choose "Password File Authentication Plugin for GoCD" for plugin ID and direct the path to the password file. Now click on the "Check Connection" button to verify that GoCD can use the password file for authentication.

Finally, save the authentication method. Reload the dashboard and it will automatically log you out. You will see a login screen now. Log in using the credentials created earlier.

You will need to promote the administrator user manually, otherwise, all the users will have administrator privileges. Navigate to "Admin >> User Summary" from the top navigation bar.

Now select the admin user you've created and click on the "Roles" drop-down. Promote the user to the only administrator by selecting the "Go System Administrator" checkbox.

To add the users in GoCD created in the password file, click on the "ADD" button and search for the user to add them. Users are also automatically added to the GoCD dashboard on their first login. Obviously, for users to log in, they must be added to the password file we have created earlier.

Securing GoCD with Let's Encrypt SSL

By default, GoCD listens to ports 8153 and 8154 on secure connections. Though port 8154 provides a secure connection to the application, it also displays browser errors as it uses a self-signed certificate. In this section of the tutorial, we will install and secure Nginx with Let's Encrypt free SSL certificate. The Nginx web server will work as a reverse proxy to forward the incoming requests to GoCD's HTTP endpoint.

Install Nginx.

sudo yum -y install nginx

Start Nginx and enable it to automatically start at boot time.

sudo systemctl start nginx
sudo systemctl enable nginx

Install Certbot, which is the client application for Let's Encrypt CA.

sudo yum -y install certbot

Before you can request certificates, you will need to allow ports 80 and 443, or standard HTTP and HTTPS services, through the firewall. Also, remove port 8153, which listens to the unsecured connections.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Note: To obtain certificates from Let's Encrypt CA, the domain for which the certificates are to be generated must be pointed towards the server. If not, make the necessary changes to the DNS records of the domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Generate the SSL certificates.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/gocd.example.com/. The SSL certificate will be stored as fullchain.pem and private key will be stored as privkey.pem.

Platnosť certifikátov Let's Encrypt vyprší o 90 dní, preto sa odporúča nastaviť automatické obnovovanie certifikátov pomocou úloh cron.

Otvorte súbor úlohy cron.

sudo crontab -e

Pridajte nasledujúci riadok na koniec súboru.

30 5 * * * /usr/bin/certbot renew --quiet

Vyššie uvedená úloha cron sa spustí každý deň o 5:30. Ak platnosť certifikátu vyprší, automaticky sa obnoví.

Teraz zmeňte predvolený konfiguračný súbor Nginx, aby ste odstránili default_serverriadok.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Vytvorte nový konfiguračný súbor pre webové rozhranie GoCD.

sudo nano /etc/nginx/conf.d/gocd.conf

Vyplňte súbor.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Skontrolujte chyby v novom konfiguračnom súbore.

sudo nginx -t

Ak uvidíte nasledujúci výstup, konfigurácia je bez chýb.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Ak ste dostali nejaký druh chyby, nezabudnite dvakrát skontrolovať cestu k certifikátom SSL. Reštartujte webový server Nginx, aby ste implementovali zmenu v konfigurácii.

sudo systemctl restart nginx

Teraz máte prístup k ovládaciemu panelu GoCD na adrese https://gocd.example.com. Prihláste sa na svoj informačný panel pomocou poverení správcu a prejdite na „ Admin >> Server Configuration“ z horného navigačného panela.

Nastavte " Site URL" a " Secure Site URL" na https://gocd.example.com. Port 8154musí byť stále prístupný cez firewall, aby sa vzdialení agenti mohli pripojiť k serveru cez port 8154, v prípade, že sa nedokážu pripojiť cez štandardný HTTPport.

Inštalácia agenta GoCD

V prostredí nepretržitej integrácie GoCD sú agenti GoCD pracovníci, ktorí sú zodpovední za vykonávanie všetkých úloh. Keď sa zistí zmena zdroja, spustí sa kanál a úlohy sa priradia dostupným pracovníkom na vykonanie. Agent potom vykoná úlohu a po vykonaní oznámi konečný stav.

Ak chcete spustiť kanál, musí byť nakonfigurovaný aspoň jeden agent. Pokračujte v inštalácii agenta GoCD na server GoCD.

Keďže sme už na server naimportovali úložisko GoCD, môžeme priamo nainštalovať Go Agenta.

sudo yum install -y go-agent

Teraz spustite server GoCD a povoľte jeho automatické spustenie pri štarte.

sudo systemctl start go-agent
sudo systemctl enable go-agent

Agent GoCD bežiaci na lokálnom hostiteľovi sa po zistení automaticky povolí.