Како инсталирати и конфигурисати ГоЦД на ЦентОС 7

ГоЦД је систем за континуирану испоруку и аутоматизацију отвореног кода. Омогућава вам да моделујете сложене токове рада користећи његово паралелно и секвенцијално извршење. Његова мапа тока вредности омогућава вам да лако визуализујете сложен ток посла са лакоћом. ГоЦД вам омогућава да лако упоредите две верзије и примените било коју верзију апликације коју желите. ГоЦД екосистем се састоји од ГоЦД сервера и ГоЦД агента. ГоЦД је одговоран за контролу свега, као што је покретање веб-базираног корисничког интерфејса и управљање и пружање послова агенту. Го агенти су одговорни за обављање послова и имплементације.

Предуслови

• Инстанца сервера Вултр ЦентОС 7 са најмање 1 ГБ РАМ-а.
• : Судо корисника .
• Име домена усмерено ка серверу.

За овај водич користићемо 192.168.1.1као јавну ИП адресу и gocd.example.comкао име домена усмерено на Вултр инстанцу. Обавезно замените сва појављивања примера имена домена и ИП адресе стварним.

Ажурирајте свој основни систем помоћу водича Како да ажурирате ЦентОС 7 . Када се ваш систем ажурира, наставите са инсталирањем Јаве.

Инсталирајте Јава

ГоЦД захтева Јава верзију 8 и подржава и Орацле Јава и ОпенЈДК. У овом водичу ћемо инсталирати Јава 8 са ОпенЈДК.

ОпенЈДК се може лако инсталирати, пошто је пакет доступан у подразумеваном YUMспремишту.

sudo yum -y install java-1.8.0-openjdk-devel

Ако је Јава исправно инсталирана, моћи ћете да проверите њену верзију.

java -version

Добићете сличан резултат следећем тексту.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Пре него што наставимо даље, мораћемо да подесимо променљиве окружења JAVA_HOMEи JRE_HOME. Пронађите апсолутну путању Јава извршне датотеке у вашем систему.

readlink -f $(which java)

Следећи текст ће бити послат на ваш терминал.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Сада подесите променљиве окружења JAVA_HOMEи JRE_HOMEпрема путањи Јава директоријума.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Напомена: Уверите се да користите Јава путању добијену на вашем систему. Путања која се користи у овом водичу може да се промени када се објави нова верзија Јаве 8.

Извршите bash_profileдатотеку.

source ~/.bash_profile

Сада можете покренути echo $JAVA_HOMEкоманду да бисте били сигурни да је променљива окружења постављена.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Инсталирајте ГоЦД

ГоЦД је написан у Јави, стога је Јава једина зависност за покретање ГоЦД-а. ГоЦД се може инсталирати уз помоћ YUM. Инсталирајте његово званично складиште у систем.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Инсталирајте ГоЦД сервер у свој систем.

sudo yum install -y go-server

Покрените ГоЦД и омогућите му да се аутоматски покреће при покретању.

sudo systemctl start go-server
sudo systemctl enable go-server

Пре него што приступимо ГоЦД контролној табли, хајде да направимо нови директоријум за чување артефаката. Артефакти се могу чувати на истом диску на којем су инсталирани оперативни систем и апликације. Алтернативно, можете да користите наменски диск или блок за складиштење за складиштење артефаката.

Ако желите да користите исти диск за складиштење артефаката, само направите нови директоријум и обезбедите власништво ГоЦД кориснику.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Конфигуришите Блоцк Стораге

ГоЦД софтвер препоручује коришћење додатне партиције или диск јединице за чување артефаката. У континуираној платформи интеграције и испоруке, артефакти се генеришу врло често. Простор на диску се временом смањује када се нови артефакти континуирано генеришу. У некој фази, вашем систему ће понестати слободног простора на диску и услуге које раде на вашем систему ће отказати. Да бисте превазишли овај проблем, можете да прикључите нови Вултр блок за складиштење за складиштење артефаката. Ако и даље желите да се бавите складиштењем артефаката на истом диску, пређите на одељак „Подешавање заштитног зида“.

Поставите нови блок за складиштење и прикључите га на инстанцу ГоЦД сервера. Сада креирајте нову партицију на блок уређају за складиштење.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Креирајте систем датотека на новом диску.

sudo mkfs.ext4 /dev/vdb1

Монтирајте блок за складиштење.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Сада покрените dfи видећете нови блок за складиштење који је монтиран на /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Обезбедите власништво над директоријумом ГоЦД кориснику.

sudo chown -R go:go /mnt/artifacts

Подешавање заштитног зида

Промените конфигурацију заштитног зида да бисте омогућили портове 8153и 8154кроз заштитни зид. Порт 8153ослушкује небезбедне везе и порт 8154за безбедне везе.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Сада можете приступити ГоЦД контролној табли на http://192.168.1.1:8153. Да бисте приступили ГоЦД контролној табли на безбедној вези, приступите https://192.168.1.1:8154. Добићете грешку која показује да сертификати нису важећи. Можете безбедно да игноришете грешку јер су сертификати самопотписани. Из безбедносних разлога, увек треба да користите контролну таблу преко безбедне везе.

Пре него што подесите нови цевовод, идите на „ Admin >> Server Configuration“ са горње траке за навигацију.

Унесите УРЛ вашег незаштићеног сајта у поље " Site URL" и заштићеног сајта у поље " Secure Site URL".

Затим наведите детаље свог СМТП сервера да бисте слали обавештења путем е-поште са ГоЦД-а.

На крају, наведите путању до локације на којој желите да ускладиштите артефакте. Ако сте изабрали да складиштите артефакте на истом диску као и оперативни систем, унесите /opt/artifacts; ако сте изабрали да прикључите блок за складиштење, онда можете да унесете /mnt/artifacts.

Такође, можете да конфигуришете ГоЦД да аутоматски брише старе артефакте. Конфигуришите следећу опцију према величини вашег диска. Међутим, опција аутоматског брисања не прави резервну копију ваших старих артефаката. Да бисте ручно направили резервну копију и затим избрисали старе артефакте, онемогућите аутоматско брисање тако што ћете изабрати Neverопцију " Auto delete old artifacts" за опцију " ".

Мораћете поново да покренете ГоЦД сервер да би се примениле нове промене.

sudo systemctl restart go-server

Сетуп Аутхентицатион

Подразумевано, ГоЦД контролна табла није конфигурисана да користи било коју врсту аутентификације, али подржава аутентификацију помоћу датотеке лозинке и ЛДАП-а. У овом водичу ћемо поставити аутентификацију засновану на лозинки.

Напомена : Подешавање аутентификације је опциони корак, али се топло препоручује за јавне сервере, као што је Вултр.

Инсталирајте Апацхе алате тако да можемо користити htpasswdкоманду за креирање шифроване датотеке лозинке.

sudo yum -y install httpd-tools

Креирајте датотеку лозинке помоћу htpasswdкоманде користећи Бцрипт енкрипцију.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Унесите лозинку за корисника два пута. Видећете следећи излаз.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Можете додати колико год корисника желите користећи исту команду изнад, али уклоните -cопцију. -cОпција ће заменити постојећу датотеку, замена старих корисника са новим корисника.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Since, we have created the password file, access the GoCD dashboard again. Navigate to "Admin >> Security >> Authorization Configurations" from the top navigation bar. Click on the Add button and provide an ID. Choose "Password File Authentication Plugin for GoCD" for plugin ID and direct the path to the password file. Now click on the "Check Connection" button to verify that GoCD can use the password file for authentication.

Finally, save the authentication method. Reload the dashboard and it will automatically log you out. You will see a login screen now. Log in using the credentials created earlier.

You will need to promote the administrator user manually, otherwise, all the users will have administrator privileges. Navigate to "Admin >> User Summary" from the top navigation bar.

Now select the admin user you've created and click on the "Roles" drop-down. Promote the user to the only administrator by selecting the "Go System Administrator" checkbox.

To add the users in GoCD created in the password file, click on the "ADD" button and search for the user to add them. Users are also automatically added to the GoCD dashboard on their first login. Obviously, for users to log in, they must be added to the password file we have created earlier.

Securing GoCD with Let's Encrypt SSL

By default, GoCD listens to ports 8153 and 8154 on secure connections. Though port 8154 provides a secure connection to the application, it also displays browser errors as it uses a self-signed certificate. In this section of the tutorial, we will install and secure Nginx with Let's Encrypt free SSL certificate. The Nginx web server will work as a reverse proxy to forward the incoming requests to GoCD's HTTP endpoint.

Install Nginx.

sudo yum -y install nginx

Start Nginx and enable it to automatically start at boot time.

sudo systemctl start nginx
sudo systemctl enable nginx

Install Certbot, which is the client application for Let's Encrypt CA.

sudo yum -y install certbot

Before you can request certificates, you will need to allow ports 80 and 443, or standard HTTP and HTTPS services, through the firewall. Also, remove port 8153, which listens to the unsecured connections.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Note: To obtain certificates from Let's Encrypt CA, the domain for which the certificates are to be generated must be pointed towards the server. If not, make the necessary changes to the DNS records of the domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Generate the SSL certificates.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/gocd.example.com/. The SSL certificate will be stored as fullchain.pem and private key will be stored as privkey.pem.

Лет'с Енцрипт сертификати истичу за 90 дана, па се препоручује да подесите аутоматско обнављање сертификата користећи црон послове.

Отворите црон датотеку посла.

sudo crontab -e

Додајте следећи ред на крај датотеке.

30 5 * * * /usr/bin/certbot renew --quiet

Горњи црон посао ће се покретати сваког дана у 5:30 ујутро. Ако сертификат истекне, аутоматски ће се обновити.

Сада промените Нгинк подразумевану конфигурациону датотеку да бисте уклонили default_serverлинију.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Креирајте нову конфигурациону датотеку за ГоЦД веб интерфејс.

sudo nano /etc/nginx/conf.d/gocd.conf

Попуните датотеку.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Проверите да ли постоје грешке у новој конфигурационој датотеци.

sudo nginx -t

Ако видите следећи излаз, конфигурација је без грешака.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Ако сте добили неку врсту грешке, обавезно проверите путању до ССЛ сертификата. Поново покрените Нгинк веб сервер да бисте применили промену у конфигурацији.

sudo systemctl restart nginx

Сада можете приступити ГоЦД контролној табли на https://gocd.example.com. Пријавите се на своју контролну таблу користећи администраторске акредитиве и идите на „ Admin >> Server Configuration“ са горње траке за навигацију.

Поставите " Site URL" и " Secure Site URL" на https://gocd.example.com. Порт 8154и даље треба да буде доступан преко заштитног зида како би удаљени агенти могли да се повежу са сервером преко порта 8154, у случају да не могу да се повежу преко стандардног HTTPпорта.

Инсталирање ГоЦД агента

У окружењу ГоЦД континуиране интеграције, ГоЦД агенти су радници који су одговорни за извршавање свих задатака. Када се открије промена у извору, цевовод се покреће и послови се додељују доступним радницима за извршење. Агент затим извршава задатак и извештава о коначном статусу након извршења.

Да бисте покренули цевовод, најмање један агент мора бити конфигурисан. Наставите да инсталирате ГоЦД агента на ГоЦД сервер.

Пошто смо већ увезли ГоЦД спремиште на сервер, можемо директно да инсталирамо Го Агент.

sudo yum install -y go-agent

Сада покрените ГоЦД сервер и омогућите му да се аутоматски покреће при покретању.

sudo systemctl start go-agent
sudo systemctl enable go-agent

ГоЦД агент који ради на локалном хосту је аутоматски омогућен када се открије.