So installieren und konfigurieren Sie GoCD unter CentOS 7

• Voraussetzungen
• Installieren Sie Java
• Installieren Sie GoCD
• Blockspeicher konfigurieren
• Firewall einrichten
• Authentifizierung einrichten
• Sichern von GoCD mit Let's Encrypt SSL
• Installieren des GoCD-Agenten

GoCD ist ein Open Source-System für die kontinuierliche Lieferung und Automatisierung. Sie können komplexe Workflows mithilfe der parallelen und sequentiellen Ausführung modellieren. Mit der Wertstromkarte können Sie einen komplexen Workflow problemlos visualisieren. Mit GoCD können Sie problemlos zwei Builds vergleichen und eine beliebige Version der Anwendung bereitstellen. Das GoCD-Ökosystem besteht aus einem GoCD-Server und einem GoCD-Agenten. GoCD ist für die Steuerung aller Aufgaben verantwortlich, z. B. für die Ausführung der webbasierten Benutzeroberfläche sowie für die Verwaltung und Bereitstellung von Jobs für den Agenten. Go-Agenten sind für die Ausführung der Jobs und Bereitstellungen verantwortlich.

Voraussetzungen

• Eine Vultr CentOS 7-Serverinstanz mit mindestens 1 GB RAM.
• Ein Sudo-Benutzer .
• Ein Domainname zeigte auf den Server.

In diesem Tutorial verwenden wir 192.168.1.1als öffentliche IP-Adresse und gocd.example.comals Domainnamen, der auf die Vultr-Instanz verweist. Stellen Sie sicher, dass alle Vorkommen des Beispieldomänennamens und der IP-Adresse durch die tatsächliche ersetzt werden.

Aktualisieren Sie Ihr Basissystem mithilfe der Anleitung zum Aktualisieren von CentOS 7 . Fahren Sie nach der Aktualisierung Ihres Systems mit der Installation von Java fort.

Installieren Sie Java

GoCD erfordert Java Version 8 und unterstützt sowohl Oracle Java als auch OpenJDK. In diesem Tutorial installieren wir Java 8 von OpenJDK.

OpenJDK kann einfach installiert werden, da das Paket im Standard- YUMRepository verfügbar ist .

sudo yum -y install java-1.8.0-openjdk-devel

Wenn Java korrekt installiert ist, können Sie die Version überprüfen.

java -version

Sie erhalten eine ähnliche Ausgabe wie im folgenden Text.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Bevor wir fortfahren können, müssen wir die Variablen JAVA_HOMEund JRE_HOMEumgebungsvariablen einrichten . Finden Sie den absoluten Pfad der ausführbaren Java-Datei in Ihrem System.

readlink -f $(which java)

Der folgende Text wird an Ihr Terminal ausgegeben.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Legen Sie nun die Umgebungsvariablen JAVA_HOMEund den JRE_HOMEUmgebungsvariablen entsprechend dem Pfad des Java-Verzeichnisses fest.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Hinweis: Stellen Sie sicher, dass Sie den auf Ihrem System erhaltenen Java-Pfad verwenden. Der in diesem Lernprogramm verwendete Pfad kann sich ändern, wenn eine neue Version von Java 8 veröffentlicht wird.

Führen Sie die bash_profileDatei aus.

source ~/.bash_profile

Jetzt können Sie den echo $JAVA_HOMEBefehl ausführen, um sicherzustellen, dass die Umgebungsvariable festgelegt ist.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Installieren Sie GoCD

GoCD ist in Java geschrieben, daher ist Java die einzige Abhängigkeit, um GoCD auszuführen. GoCD kann mit Hilfe von installiert werden YUM. Installieren Sie das offizielle Repository im System.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Installieren Sie den GoCD-Server in Ihrem System.

sudo yum install -y go-server

Starten Sie GoCD und aktivieren Sie es, damit es beim Booten automatisch gestartet wird.

sudo systemctl start go-server
sudo systemctl enable go-server

Bevor wir auf das GoCD-Dashboard zugreifen, erstellen wir ein neues Verzeichnis zum Speichern der Artefakte. Artefakte können auf derselben Festplatte gespeichert werden, auf der das Betriebssystem und die Anwendungen installiert sind. Alternativ können Sie eine dedizierte Festplatte oder ein Blockspeicherlaufwerk zum Speichern der Artefakte verwenden.

Wenn Sie dieselbe Festplatte zum Speichern der Artefakte verwenden möchten, erstellen Sie einfach ein neues Verzeichnis und geben Sie dem GoCD-Benutzer den Besitz.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Blockspeicher konfigurieren

Die GoCD-Software empfiehlt, eine zusätzliche Partition oder ein zusätzliches Laufwerk zum Speichern der Artefakte zu verwenden. In einer kontinuierlichen Integrations- und Bereitstellungsplattform werden sehr häufig Artefakte generiert. Der Speicherplatz nimmt mit der Zeit ab, wenn kontinuierlich neue Artefakte generiert werden. Irgendwann geht Ihrem System der freie Speicherplatz aus und die auf Ihrem System ausgeführten Dienste schlagen fehl. Um dieses Problem zu beheben , können Sie ein neues Vultr-Blockspeicherlaufwerk anhängen , um die Artefakte zu speichern. Wenn Sie weiterhin Artefakte auf demselben Laufwerk speichern möchten, fahren Sie mit dem Abschnitt "Setup Firewall" fort.

Stellen Sie ein neues Blockspeicherlaufwerk bereit und hängen Sie es an Ihre GoCD-Serverinstanz an. Erstellen Sie nun eine neue Partition auf dem Blockspeichergerät.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Erstellen Sie das Dateisystem auf der neuen Festplatte.

sudo mkfs.ext4 /dev/vdb1

Hängen Sie das Blockspeicherlaufwerk ein.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Führen dfSie nun aus , und Sie sehen, dass das neue Blockspeicherlaufwerk aktiviert ist /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Geben Sie dem GoCD-Benutzer den Besitz des Verzeichnisses.

sudo chown -R go:go /mnt/artifacts

Firewall einrichten

Ändern Sie die Firewall-Konfiguration, um Ports 8153und 8154die Firewall zuzulassen . Port 8153wartet auf ungesicherte Verbindungen und Port 8154auf gesicherte Verbindungen.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Jetzt können Sie auf das GoCD-Dashboard zugreifen http://192.168.1.1:8153. Zugriff auf das GoCD-Dashboard über eine gesicherte Verbindung https://192.168.1.1:8154. Sie erhalten eine Fehlermeldung, dass die Zertifikate ungültig sind. Sie können den Fehler ignorieren, da die Zertifikate selbst signiert sind. Aus Sicherheitsgründen sollten Sie das Dashboard immer über eine gesicherte Verbindung verwenden.

Bevor Sie eine neue Pipeline einrichten, navigieren Sie in Admin >> Server Configurationder oberen Navigationsleiste zu " ".

Geben Sie die URL zu Ihrer ungesicherten Site in das Site URLFeld " " und die gesicherte Site in das Secure Site URLFeld " " ein.

Geben Sie als Nächstes Ihre SMTP-Serverdetails an, um E-Mail-Benachrichtigungen von GoCD zu senden.

Geben Sie schließlich den Pfad zu dem Ort an, an dem Sie die Artefakte speichern möchten. Wenn Sie die Artefakte auf derselben Festplatte wie das Betriebssystem gespeichert haben, geben Sie /opt/artifactsFolgendes ein: Wenn Sie ein Blockspeicherlaufwerk angeschlossen haben, können Sie eingeben /mnt/artifacts.

Sie können GoCD auch so konfigurieren, dass die alten Artefakte automatisch gelöscht werden. Konfigurieren Sie die nächste Option entsprechend Ihrer Festplattengröße. Mit der Option zum automatischen Löschen werden jedoch keine Sicherungskopien Ihrer alten Artefakte erstellt. Um manuell ein Backup zu erstellen und dann die alten Artefakte zu löschen, deaktivieren Sie das automatische Löschen, indem Sie die NeverOption " " für die Auto delete old artifactsOption " " auswählen .

Sie müssen den GoCD-Server neu starten, damit die neuen Änderungen übernommen werden.

sudo systemctl restart go-server

Authentifizierung einrichten

Standardmäßig ist das GoCD-Dashboard nicht für die Verwendung einer Authentifizierung konfiguriert, unterstützt jedoch die Authentifizierung mithilfe einer Kennwortdatei und LDAP. In diesem Tutorial richten wir die kennwortbasierte Authentifizierung ein.

Hinweis : Das Einrichten der Authentifizierung ist ein optionaler Schritt, wird jedoch für öffentlich zugängliche Server wie Vultr dringend empfohlen.

Installieren Sie die Apache-Tools, damit wir mit dem htpasswdBefehl eine verschlüsselte Kennwortdatei erstellen können.

sudo yum -y install httpd-tools

Erstellen Sie mit dem htpasswdBefehl eine Kennwortdatei mit Bcrypt-Verschlüsselung.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Geben Sie das Kennwort zweimal für den Benutzer ein. Sie sehen die folgende Ausgabe.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Sie können beliebig viele Benutzer hinzufügen, indem Sie denselben Befehl wie oben verwenden, aber die -cOption entfernen . Die -cOption ersetzt die vorhandene Datei und ersetzt alte Benutzer durch den neuen Benutzer.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Da wir die Passwortdatei erstellt haben, greifen Sie erneut auf das GoCD-Dashboard zu. Navigieren Sie in Admin >> Security >> Authorization Configurationsder oberen Navigationsleiste zu " ". Klicken Sie auf die AddSchaltfläche und geben Sie eine ID ein. Wählen Sie " Password File Authentication Plugin for GoCD" für die Plugin-ID und leiten Sie den Pfad zur Passwortdatei. Klicken Sie nun auf die Check ConnectionSchaltfläche " ", um zu überprüfen, ob GoCD die Kennwortdatei zur Authentifizierung verwenden kann.

Speichern Sie abschließend die Authentifizierungsmethode. Laden Sie das Dashboard neu und Sie werden automatisch abgemeldet. Sie sehen jetzt einen Anmeldebildschirm. Melden Sie sich mit den zuvor erstellten Anmeldeinformationen an.

Sie müssen den Administrator manuell heraufstufen, andernfalls haben alle Benutzer Administratorrechte. Navigieren Sie in Admin >> User Summaryder oberen Navigationsleiste zu " ".

Wählen Sie nun den von Ihnen erstellten Administrator aus und klicken Sie auf die RolesDropdown- Liste " ". Befördern Sie den Benutzer zum einzigen Administrator, indem Sie das Go System AdministratorKontrollkästchen " " aktivieren.

Um die in der Kennwortdatei erstellten Benutzer in GoCD hinzuzufügen, klicken Sie auf die ADDSchaltfläche " " und suchen Sie nach dem Benutzer, der sie hinzufügen soll. Benutzer werden bei ihrer ersten Anmeldung automatisch zum GoCD-Dashboard hinzugefügt. Damit sich Benutzer anmelden können, müssen sie natürlich zu der zuvor erstellten Kennwortdatei hinzugefügt werden.

Sichern von GoCD mit Let's Encrypt SSL

Standardmäßig überwacht GoCD Ports 8153und 8154sichere Verbindungen. Der Port 8154bietet zwar eine sichere Verbindung zur Anwendung, zeigt jedoch auch Browserfehler an, da ein selbstsigniertes Zertifikat verwendet wird. In diesem Abschnitt des Tutorials installieren und sichern wir Nginx mit dem kostenlosen SSL-Zertifikat Let's Encrypt. Der Nginx-Webserver fungiert als Reverse-Proxy, um die eingehenden Anforderungen an den HTTPEndpunkt von GoCD weiterzuleiten .

Installieren Sie Nginx.

sudo yum -y install nginx

Starten Sie Nginx und aktivieren Sie es, um es beim Booten automatisch zu starten.

sudo systemctl start nginx
sudo systemctl enable nginx

Installieren Sie Certbot, die Clientanwendung für Let's Encrypt CA.

sudo yum -y install certbot

Bevor Sie Zertifikate anfordern können, müssen Sie Ports 80und 443/ oder Standard HTTPund HTTPSDienste durch die Firewall zulassen . Entfernen Sie auch den Port 8153, der die ungesicherten Verbindungen abhört.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Hinweis : Um Zertifikate von Let's Encrypt CA zu erhalten, muss die Domäne, für die die Zertifikate generiert werden sollen, auf den Server gerichtet sein. Wenn nicht, nehmen Sie die erforderlichen Änderungen an den DNS-Einträgen der Domäne vor und warten Sie, bis sich der DNS verbreitet hat, bevor Sie die Zertifikatanforderung erneut stellen. Certbot überprüft die Domänenautorität, bevor die Zertifikate bereitgestellt werden.

Generieren Sie die SSL-Zertifikate.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

Die generierten Zertifikate werden wahrscheinlich in gespeichert /etc/letsencrypt/live/gocd.example.com/. Das SSL-Zertifikat wird als fullchain.pemund der private Schlüssel als gespeichert privkey.pem.

Lassen Sie uns Zertifikate verschlüsseln, die in 90 Tagen ablaufen. Es wird daher empfohlen, die automatische Erneuerung der Zertifikate mithilfe von Cron-Jobs einzurichten.

Öffnen Sie die Cron-Jobdatei.

sudo crontab -e

Fügen Sie die folgende Zeile am Ende der Datei hinzu.

30 5 * * * /usr/bin/certbot renew --quiet

Der oben genannte Cron-Job wird jeden Tag um 5:30 Uhr ausgeführt. Wenn das Zertifikat abläuft, wird es automatisch erneuert.

Ändern Sie nun die Nginx-Standardkonfigurationsdatei, um die default_serverZeile zu entfernen .

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Erstellen Sie eine neue Konfigurationsdatei für die GoCD-Weboberfläche.

sudo nano /etc/nginx/conf.d/gocd.conf

Füllen Sie die Datei.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Überprüfen Sie die neue Konfigurationsdatei auf Fehler.

sudo nginx -t

Wenn Sie die folgende Ausgabe sehen, ist die Konfiguration fehlerfrei.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Wenn Sie einen Fehler erhalten haben, überprüfen Sie den Pfad zu den SSL-Zertifikaten. Starten Sie den Nginx-Webserver neu, um die Konfigurationsänderung zu implementieren.

sudo systemctl restart nginx

Jetzt können Sie unter auf das GoCD-Dashboard zugreifen https://gocd.example.com. Melden Sie sich mit den Administratoranmeldeinformationen bei Ihrem Dashboard an und navigieren Sie in Admin >> Server Configurationder oberen Navigationsleiste zu " ".

Stellen Sie " Site URL" und " Secure Site URL" auf https://gocd.example.com. Der Port 8154muss weiterhin über die Firewall zugänglich sein, damit die Remote-Agenten über den Port eine Verbindung zum Server herstellen können 8154, falls sie keine Verbindung über den Standardport herstellen können HTTP.

Installieren des GoCD-Agenten

In der kontinuierlichen GoCD-Integrationsumgebung sind GoCD-Agenten die Mitarbeiter, die für die Ausführung aller Aufgaben verantwortlich sind. Wenn eine Änderung in der Quelle erkannt wird, wird die Pipeline ausgelöst und die Jobs werden den verfügbaren Workern zur Ausführung zugewiesen. Der Agent führt dann die Aufgabe aus und meldet den endgültigen Status nach der Ausführung.

Um eine Pipeline auszuführen, muss mindestens ein Agent konfiguriert sein. Fahren Sie mit der Installation des GoCD-Agenten auf dem GoCD-Server fort.

Da wir das GoCD-Repository bereits in den Server importiert haben, können wir Go Agent direkt installieren.

sudo yum install -y go-agent

Starten Sie nun den GoCD-Server und aktivieren Sie ihn beim Start automatisch.

sudo systemctl start go-agent
sudo systemctl enable go-agent

Der auf dem lokalen Host ausgeführte GoCD-Agent wird automatisch aktiviert, wenn er erkannt wird.