Як встановити та налаштувати GoCD на CentOS 7

Передумови

Встановіть Java

Встановіть GoCD

Налаштувати сховище блоків

Налаштувати брандмауер

Налаштувати автентифікацію

Захист GoCD за допомогою Let's Encrypt SSL

Встановлення GoCD Agent

GoCD — це система безперервної доставки та автоматизації з відкритим вихідним кодом. Він дозволяє моделювати складні робочі процеси, використовуючи його паралельне та послідовне виконання. Його карта потоку цінності дозволяє легко візуалізувати складний робочий процес. GoCD дозволяє легко порівнювати дві збірки та розгортати будь-яку версію програми, яку ви бажаєте. Екосистема GoCD складається з сервера GoCD та агента GoCD. GoCD відповідає за контроль всього, наприклад запуск веб-інтерфейсу користувача та керування та надання завдань агенту. Агенти Go відповідають за виконання завдань і розгортання.

Передумови

• Примірник сервера Vultr CentOS 7 із принаймні 1 Гб оперативної пам’яті.
• Користувач sudo .
• Доменне ім’я, спрямоване на сервер.

У цьому підручнику ми будемо використовувати 192.168.1.1як загальнодоступну IP-адресу та gocd.example.comяк доменне ім’я, спрямоване на екземпляр Vultr. Будь ласка, не забудьте замінити всі приклади доменного імені та IP-адреси фактичними.

Оновіть свою базову систему за допомогою посібника Як оновити CentOS 7 . Після оновлення системи перейдіть до встановлення Java.

Встановіть Java

GoCD вимагає Java версії 8 і підтримує як Oracle Java, так і OpenJDK. У цьому підручнику ми будемо встановлювати Java 8 з OpenJDK.

OpenJDK можна легко встановити, оскільки пакет доступний у YUMсховищі за замовчуванням .

sudo yum -y install java-1.8.0-openjdk-devel

Якщо Java встановлена ​​правильно, ви зможете перевірити її версію.

java -version

Ви отримаєте подібний результат до наступного тексту.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Перш ніж ми зможемо продовжити, нам потрібно буде налаштувати змінні середовища JAVA_HOMEта JRE_HOME. Знайдіть абсолютний шлях до виконуваного файлу Java у вашій системі.

readlink -f $(which java)

Наступний текст буде виведено на ваш термінал.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Тепер встановіть змінні середовища JAVA_HOMEта JRE_HOMEвідповідно до шляху до каталогу Java.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Примітка. Переконайтеся, що ви використовуєте шлях Java, отриманий у вашій системі. Шлях, який використовується в цьому посібнику, може змінитися після випуску нової версії Java 8.

Виконайте bash_profileфайл.

source ~/.bash_profile

Тепер ви можете запустити echo $JAVA_HOMEкоманду, щоб переконатися, що змінна середовища встановлено.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Встановіть GoCD

GoCD написаний на Java, тому Java є єдиною залежністю для запуску GoCD. GoCD можна встановити за допомогою YUM. Встановіть його офіційний репозиторій в систему.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Встановіть сервер GoCD у вашій системі.

sudo yum install -y go-server

Запустіть GoCD і ввімкніть його автоматичний запуск під час завантаження.

sudo systemctl start go-server
sudo systemctl enable go-server

Перш ніж отримати доступ до інформаційної панелі GoCD, давайте створимо новий каталог для зберігання артефактів. Артефакти можуть зберігатися на тому самому диску, на якому встановлена ​​операційна система та програми. Крім того, ви можете використовувати виділений диск або блочний накопичувач для зберігання артефактів.

Якщо ви хочете використовувати той самий диск для зберігання артефактів, просто створіть новий каталог і надайте право власності користувачеві GoCD.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Налаштувати сховище блоків

Програмне забезпечення GoCD рекомендує використовувати додатковий розділ або диск для зберігання артефактів. У платформі безперервної інтеграції та доставки артефакти генеруються дуже часто. Дисковий простір зменшується з часом, коли постійно генеруються нові артефакти. На певному етапі у вашій системі закінчиться вільний простір на диску, а служби, які працюють у вашій системі, вийде з ладу. Щоб подолати цю проблему, ви можете підключити новий блочний накопичувач Vultr для зберігання артефактів. Якщо ви все ще хочете використовувати зберігання артефактів на тому ж диску, перейдіть до розділу «Налаштування брандмауера».

Розгорніть новий блочний накопичувач і приєднайте його до екземпляра сервера GoCD. Тепер створіть новий розділ на блочному накопичувачі.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Створіть файлову систему на новому диску.

sudo mkfs.ext4 /dev/vdb1

Змонтуйте блочний накопичувач.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Тепер запустіть df, і ви побачите новий блочний накопичувач, змонтований на /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Надайте право власності на каталог користувачеві GoCD.

sudo chown -R go:go /mnt/artifacts

Налаштувати брандмауер

Змініть конфігурацію брандмауера, щоб дозволити порти 8153та 8154через брандмауер. Порт 8153прослуховує незахищені з’єднання, а порт 8154– захищені.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Тепер ви можете отримати доступ до інформаційної панелі GoCD на http://192.168.1.1:8153. Щоб отримати доступ до інформаційної панелі GoCD через захищене з’єднання, перейдіть до https://192.168.1.1:8154. Ви отримаєте помилку, яка показує, що сертифікати недійсні. Ви можете сміливо ігнорувати помилку, оскільки сертифікати є самопідписаними. З міркувань безпеки ви завжди повинні використовувати інформаційну панель через захищене з’єднання.

Перш ніж налаштувати новий конвеєр, перейдіть до " Admin >> Server Configuration" на верхній панелі навігації.

Введіть URL-адресу свого незахищеного сайту в поле " Site URL", а захищений сайт - у полі " Secure Site URL".

Далі введіть дані свого SMTP-сервера, щоб надсилати сповіщення електронною поштою від GoCD.

Нарешті, вкажіть шлях до місця, де ви хочете зберігати артефакти. Якщо ви вирішили зберігати артефакти на тому ж диску, що й операційна система, введіть /opt/artifacts; якщо ви вирішили підключити блочний накопичувач, ви можете ввести /mnt/artifacts.

Крім того, ви можете налаштувати GoCD на автоматичне видалення старих артефактів. Налаштуйте наступний параметр відповідно до розміру вашого диска. Однак опція автоматичного видалення не створює резервну копію ваших старих артефактів. Щоб вручну створити резервну копію, а потім видалити старі артефакти, вимкніть автоматичне видалення, вибравши параметр " Never" для параметра " Auto delete old artifacts".

Вам потрібно буде перезапустити сервер GoCD, щоб нові зміни були застосовані.

sudo systemctl restart go-server

Налаштувати автентифікацію

За замовчуванням інформаційна панель GoCD не налаштована на використання будь-яких видів аутентифікації, але вона підтримує автентифікацію за допомогою файлу пароля та LDAP. У цьому підручнику ми налаштуємо автентифікацію на основі пароля.

Примітка . Налаштування автентифікації є необов’язковим кроком, але настійно рекомендується для загальнодоступних серверів, таких як Vultr.

Встановіть інструменти Apache, щоб ми могли використовувати htpasswdкоманду для створення зашифрованого файлу пароля.

sudo yum -y install httpd-tools

Створіть файл паролів за допомогою htpasswdкоманди, використовуючи шифрування Bcrypt.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Двічі введіть пароль для користувача. Ви побачите наступний висновок.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Ви можете додати скільки завгодно користувачів, використовуючи ту саму команду вище, але видаливши цю -cопцію. -cВаріант замінить існуючий файл, замінюючи старі користувач з новим користувачем.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Since, we have created the password file, access the GoCD dashboard again. Navigate to "Admin >> Security >> Authorization Configurations" from the top navigation bar. Click on the Add button and provide an ID. Choose "Password File Authentication Plugin for GoCD" for plugin ID and direct the path to the password file. Now click on the "Check Connection" button to verify that GoCD can use the password file for authentication.

Finally, save the authentication method. Reload the dashboard and it will automatically log you out. You will see a login screen now. Log in using the credentials created earlier.

You will need to promote the administrator user manually, otherwise, all the users will have administrator privileges. Navigate to "Admin >> User Summary" from the top navigation bar.

Now select the admin user you've created and click on the "Roles" drop-down. Promote the user to the only administrator by selecting the "Go System Administrator" checkbox.

To add the users in GoCD created in the password file, click on the "ADD" button and search for the user to add them. Users are also automatically added to the GoCD dashboard on their first login. Obviously, for users to log in, they must be added to the password file we have created earlier.

Securing GoCD with Let's Encrypt SSL

By default, GoCD listens to ports 8153 and 8154 on secure connections. Though port 8154 provides a secure connection to the application, it also displays browser errors as it uses a self-signed certificate. In this section of the tutorial, we will install and secure Nginx with Let's Encrypt free SSL certificate. The Nginx web server will work as a reverse proxy to forward the incoming requests to GoCD's HTTP endpoint.

Install Nginx.

sudo yum -y install nginx

Start Nginx and enable it to automatically start at boot time.

sudo systemctl start nginx
sudo systemctl enable nginx

Install Certbot, which is the client application for Let's Encrypt CA.

sudo yum -y install certbot

Before you can request certificates, you will need to allow ports 80 and 443, or standard HTTP and HTTPS services, through the firewall. Also, remove port 8153, which listens to the unsecured connections.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Note: To obtain certificates from Let's Encrypt CA, the domain for which the certificates are to be generated must be pointed towards the server. If not, make the necessary changes to the DNS records of the domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Generate the SSL certificates.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/gocd.example.com/. The SSL certificate will be stored as fullchain.pem and private key will be stored as privkey.pem.

Термін дії сертифікатів Let's Encrypt закінчується через 90 днів, тому рекомендується налаштувати автоматичне оновлення сертифікатів за допомогою завдань cron.

Відкрийте файл завдання cron.

sudo crontab -e

Додайте наступний рядок у кінець файлу.

30 5 * * * /usr/bin/certbot renew --quiet

Вищезазначене завдання cron виконуватиметься щодня о 5:30 ранку. Якщо термін дії сертифіката закінчився, він автоматично поновлюється.

Тепер змініть файл конфігурації Nginx за замовчуванням, щоб видалити default_serverрядок.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Створіть новий конфігураційний файл для веб-інтерфейсу GoCD.

sudo nano /etc/nginx/conf.d/gocd.conf

Заповніть файл.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Перевірте наявність помилок у новому файлі конфігурації.

sudo nginx -t

Якщо ви бачите наведений нижче вихід, конфігурація безпомилкова.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Якщо ви отримали якусь помилку, обов’язково перевірте шлях до сертифікатів SSL. Перезапустіть веб-сервер Nginx, щоб змінити конфігурацію.

sudo systemctl restart nginx

Тепер ви можете отримати доступ до інформаційної панелі GoCD за адресою https://gocd.example.com. Увійдіть на свою інформаційну панель, використовуючи облікові дані адміністратора, і перейдіть до " Admin >> Server Configuration" на верхній панелі навігації.

Встановіть " Site URL" і " Secure Site URL" на https://gocd.example.com. Порт 8154все ще має бути доступним через брандмауер, щоб віддалені агенти могли підключатися до сервера через port 8154, якщо вони не зможуть підключитися через стандартний HTTPпорт.

Встановлення GoCD Agent

У середовищі безперервної інтеграції GoCD агенти GoCD є працівниками, які відповідають за виконання всіх завдань. Коли виявляється зміна джерела, запускається конвеєр, і завдання призначаються доступним працівникам для виконання. Потім агент виконує завдання та повідомляє про остаточний стан після виконання.

Щоб запустити конвеєр, потрібно налаштувати принаймні один агент. Перейдіть до встановлення агента GoCD на сервері GoCD.

Оскільки ми вже імпортували репозиторій GoCD на сервер, ми можемо безпосередньо встановити Go Agent.

sudo yum install -y go-agent

Тепер запустіть сервер GoCD і ввімкніть його автоматичний запуск під час завантаження.

sudo systemctl start go-agent
sudo systemctl enable go-agent

Агент GoCD, запущений на локальному хості, автоматично вмикається при виявленні.