Jak zainstalować i skonfigurować GoCD na CentOS 7

• Wymagania wstępne
• Zainstaluj Javę
• Zainstaluj GoCD
• Skonfiguruj blokowanie pamięci
• Skonfiguruj zaporę ogniową
• Skonfiguruj uwierzytelnianie
• Zabezpieczanie GoCD za pomocą Let's Encrypt SSL
• Instalowanie agenta GoCD

GoCD to otwarty system ciągłego dostarczania i automatyzacji. Umożliwia modelowanie złożonych przepływów pracy przy użyciu wykonywania równoległego i sekwencyjnego. Mapa strumienia wartości pozwala z łatwością wizualizować złożony przepływ pracy. GoCD pozwala łatwo porównać dwie kompilacje i wdrożyć dowolną wersję aplikacji, którą chcesz. Ekosystem GoCD składa się z serwera GoCD i agenta GoCD. GoCD jest odpowiedzialny za kontrolowanie wszystkiego, takie jak uruchamianie internetowego interfejsu użytkownika oraz zarządzanie i dostarczanie zadań agentowi. Agenci Go są odpowiedzialni za uruchamianie zadań i wdrożeń.

Wymagania wstępne

• Instancja serwera Vultr CentOS 7 z co najmniej 1 GB pamięci RAM.
• Użytkownik sudo .
• Nazwa domeny wskazuje na serwer.

W tym samouczku użyjemy 192.168.1.1jako publicznego adresu IP i gocd.example.comnazwy domeny wskazanej na instancję Vultr. Pamiętaj, aby zastąpić wszystkie wystąpienia przykładowej nazwy domeny i adresu IP faktycznym.

Zaktualizuj system podstawowy za pomocą przewodnika Jak zaktualizować CentOS 7 . Po zaktualizowaniu systemu przejdź do instalacji Java.

Zainstaluj Javę

GoCD wymaga Java w wersji 8 i obsługuje zarówno Oracle Java, jak i OpenJDK. W tym samouczku będziemy instalować Javę 8 z OpenJDK.

OpenJDK można łatwo zainstalować, ponieważ pakiet jest dostępny w domyślnym YUMrepozytorium.

sudo yum -y install java-1.8.0-openjdk-devel

Jeśli Java jest poprawnie zainstalowana, będziesz mógł zweryfikować jej wersję.

java -version

Otrzymasz wynik podobny do następującego tekstu.

[user@vultr ~]$ java -version
openjdk version "1.8.0_151"
OpenJDK Runtime Environment (build 1.8.0_151-b12)
OpenJDK 64-Bit Server VM (build 25.151-b12, mixed mode)

Zanim przejdziemy dalej, musimy skonfigurować zmienne środowiskowe JAVA_HOMEi JRE_HOME. Znajdź bezwzględną ścieżkę do pliku wykonywalnego Java w swoim systemie.

readlink -f $(which java)

Poniższy tekst zostanie wysłany do twojego terminala.

[user@vultr ~]$ readlink -f $(which java)
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre/bin/java

Teraz ustaw zmienne środowiskowe JAVA_HOMEi JRE_HOMEzgodnie ze ścieżką do katalogu Java.

echo "export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64" >> ~/.bash_profile
echo "export JRE_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-5.b12.el7_4.x86_64/jre" >> ~/.bash_profile

Uwaga: Upewnij się, że używasz ścieżki Java uzyskanej w systemie. Ścieżka użyta w tym samouczku może ulec zmianie po wydaniu nowej wersji Java 8.

Uruchom bash_profileplik.

source ~/.bash_profile

Teraz możesz uruchomić echo $JAVA_HOMEpolecenie, aby upewnić się, że zmienna środowiskowa jest ustawiona.

[user@vultr ~]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64

Zainstaluj GoCD

GoCD jest napisany w Javie, dlatego Java jest jedyną zależnością do uruchomienia GoCD. GoCD można zainstalować za pomocą YUM. Zainstaluj swoje oficjalne repozytorium w systemie.

sudo curl https://download.gocd.org/gocd.repo -o /etc/yum.repos.d/gocd.repo

Zainstaluj serwer GoCD w swoim systemie.

sudo yum install -y go-server

Uruchom GoCD i włącz automatyczne uruchamianie w czasie uruchamiania.

sudo systemctl start go-server
sudo systemctl enable go-server

Zanim przejdziemy do pulpitu GoCD, stwórzmy nowy katalog do przechowywania artefaktów. Artefakty można przechowywać na tym samym dysku, na którym zainstalowany jest system operacyjny i aplikacje. Alternatywnie możesz użyć dedykowanego dysku lub zablokowanego napędu do przechowywania artefaktów.

Jeśli chcesz używać tego samego dysku do przechowywania artefaktów, po prostu utwórz nowy katalog i przekaż własność użytkownikowi GoCD.

sudo mkdir /opt/artifacts
sudo chown -R go:go /opt/artifacts

Skonfiguruj blokowanie pamięci

Oprogramowanie GoCD zaleca użycie dodatkowej partycji lub napędu do przechowywania artefaktów. W platformie ciągłej integracji i dostawy artefakty są generowane bardzo często. Miejsce na dysku zmniejsza się w czasie, gdy nowe artefakty są ciągle generowane. Na pewnym etapie w twoim systemie zabraknie wolnego miejsca na dysku, a usługi działające w twoim systemie przestaną działać. Aby rozwiązać ten problem, możesz podłączyć nowy dysk do przechowywania bloków Vultr do przechowywania artefaktów. Jeśli nadal chcesz przechowywać artefakty na tym samym dysku, przejdź do sekcji „Konfiguracja zapory”.

Wdróż nowy blokowy dysk pamięci i podłącz go do instancji serwera GoCD. Teraz utwórz nową partycję na blokowym urządzeniu magazynującym.

sudo parted -s /dev/vdb mklabel gpt
sudo parted -s /dev/vdb unit mib mkpart primary 0% 100%

Utwórz system plików na nowym dysku.

sudo mkfs.ext4 /dev/vdb1

Zamontuj blokowy dysk pamięci.

sudo mkdir /mnt/artifacts
sudo cp /etc/fstab /etc/fstab.backup
echo "
/dev/vdb1 /mnt/artifacts ext4 defaults,noatime 0 0" | sudo tee -a /etc/fstab
sudo mount /mnt/artifacts

Teraz uruchom df, a zobaczysz zamontowany nowy dysk do przechowywania bloków /mnt/artifacts.

[user@vultr ~]$ df
Filesystem     1K-blocks    Used Available Use% Mounted on
/dev/vda1       20616252 6313892  13237464  33% /

...
/dev/vdb1       10188052   36888   9610596   1% /mnt/artifacts

Podaj własność katalogu użytkownikowi GoCD.

sudo chown -R go:go /mnt/artifacts

Skonfiguruj zaporę ogniową

Zmień konfigurację zapory, aby zezwalać na porty 8153i 8154zaporę. Port 8153nasłuchuje połączeń niezabezpieczonych i port 8154połączeń bezpiecznych.

sudo firewall-cmd --zone=public --add-port=8153/tcp --permanent
sudo firewall-cmd --zone=public --add-port=8154/tcp --permanent
sudo firewall-cmd --reload

Teraz możesz uzyskać dostęp do pulpitu GoCD na http://192.168.1.1:8153. Aby uzyskać dostęp do pulpitu GoCD przy zabezpieczonym połączeniu, uzyskaj dostęp https://192.168.1.1:8154. Pojawi się błąd wskazujący, że certyfikaty są nieprawidłowe. Możesz bezpiecznie zignorować błąd, ponieważ certyfikaty są samopodpisane. Ze względów bezpieczeństwa zawsze powinieneś używać deski rozdzielczej przez bezpieczne połączenie.

Przed skonfigurowaniem nowego potoku przejdź do „ Admin >> Server Configuration” z górnego paska nawigacyjnego.

Wprowadź adres URL do niezabezpieczonej witryny w polu „ Site URL” i zabezpieczonej witryny w polu „ Secure Site URL”.

Następnie podaj dane swojego serwera SMTP, aby wysyłać powiadomienia e-mail z GoCD.

Na koniec podaj ścieżkę do miejsca, w którym chcesz przechowywać artefakty. Jeśli zdecydowałeś się przechowywać artefakty na tym samym dysku co system operacyjny, wpisz /opt/artifacts; jeśli zdecydowałeś się dołączyć blokowy dysk pamięci, możesz wejść /mnt/artifacts.

Możesz także skonfigurować GoCD do automatycznego usuwania starych artefaktów. Skonfiguruj następną opcję zgodnie z rozmiarem dysku. Jednak opcja automatycznego usuwania nie wykonuje kopii zapasowej starych artefaktów. Aby ręcznie wykonać kopię zapasową, a następnie usunąć stare artefakty, wyłącz automatyczne usuwanie, wybierając Neveropcję „ ” dla opcji „ Auto delete old artifacts”.

Musisz zrestartować serwer GoCD, aby zastosować nowe zmiany.

sudo systemctl restart go-server

Skonfiguruj uwierzytelnianie

Domyślnie pulpit nawigacyjny GoCD nie jest skonfigurowany do korzystania z żadnego rodzaju uwierzytelniania, ale obsługuje uwierzytelnianie przy użyciu pliku haseł i protokołu LDAP. W tym samouczku skonfigurujemy uwierzytelnianie oparte na haśle.

Uwaga : konfiguracja uwierzytelniania jest opcjonalnym krokiem, ale jest zdecydowanie zalecana dla serwerów publicznych, takich jak Vultr.

Zainstaluj narzędzia Apache, abyśmy mogli użyć htpasswdpolecenia do utworzenia zaszyfrowanego pliku hasła.

sudo yum -y install httpd-tools

Utwórz plik hasła za pomocą htpasswdpolecenia przy użyciu szyfrowania Bcrypt.

sudo htpasswd -B -c /etc/go/passwd_auth goadmin

Podaj hasło dla użytkownika dwa razy. Zobaczysz następujące dane wyjściowe.

[user@vultr ~]$ sudo htpasswd -B -c /etc/go/passwd_auth goadmin
New password:
Re-type new password:
Adding password for user goadmin

Możesz dodać dowolną liczbę użytkowników, używając tego samego polecenia powyżej, ale usuwając tę -copcję. -cOpcja zastąpienia istniejącego pliku, zastępując stare użytkownikom nowego użytkownika.

sudo htpasswd -B /etc/go/passwd_auth gouser1

Ponieważ utworzyliśmy plik hasła, ponownie uzyskaj dostęp do pulpitu GoCD. Przejdź do „ Admin >> Security >> Authorization Configurations” z górnego paska nawigacyjnego. Kliknij Addprzycisk i podaj identyfikator. Wybierz „ Password File Authentication Plugin for GoCD” dla identyfikatora wtyczki i skieruj ścieżkę do pliku hasła. Teraz kliknij przycisk „ Check Connection”, aby sprawdzić, czy GoCD może użyć pliku hasła do uwierzytelnienia.

Na koniec zapisz metodę uwierzytelniania. Ponownie załaduj pulpit, a nastąpi automatyczne wylogowanie. Zobaczysz teraz ekran logowania. Zaloguj się przy użyciu wcześniej utworzonych poświadczeń.

Konieczne będzie ręczne wypromowanie administratora, w przeciwnym razie wszyscy użytkownicy będą mieli uprawnienia administratora. Przejdź do „ Admin >> User Summary” z górnego paska nawigacyjnego.

Teraz wybierz utworzonego użytkownika administratora i kliknij Rolesmenu rozwijane „ ”. Wypromuj użytkownika jako jedynego administratora, zaznaczając pole wyboru „ Go System Administrator”.

Aby dodać użytkowników w GoCD utworzonych w pliku haseł, kliknij przycisk „ ADD” i wyszukaj użytkownika, aby je dodać. Użytkownicy są również automatycznie dodawani do pulpitu GoCD przy pierwszym logowaniu. Oczywiście, aby użytkownicy mogli się zalogować, muszą zostać dodani do pliku hasła, który utworzyliśmy wcześniej.

Zabezpieczanie GoCD za pomocą Let's Encrypt SSL

Domyślnie GoCD nasłuchuje portów 8153i 8154bezpiecznych połączeń. Chociaż port 8154zapewnia bezpieczne połączenie z aplikacją, wyświetla również błędy przeglądarki, ponieważ używa certyfikatu z podpisem własnym. W tej części samouczka zainstalujemy i zabezpieczymy Nginx za pomocą darmowego certyfikatu SSL Let's Encrypt. Serwer WWW Nginx będzie działał jako odwrotny serwer proxy do przekazywania przychodzących żądań do HTTPpunktu końcowego GoCD .

Zainstaluj Nginx.

sudo yum -y install nginx

Uruchom Nginx i włącz automatyczne uruchamianie podczas uruchamiania.

sudo systemctl start nginx
sudo systemctl enable nginx

Zainstaluj Certbot, czyli aplikację kliencką Let's Encrypt CA.

sudo yum -y install certbot

Aby móc zażądać certyfikatów, musisz zezwolić na porty 80i 443/ lub standard HTTPi HTTPSusługi za pośrednictwem zapory. Usuń także port 8153, który nasłuchuje niezabezpieczonych połączeń.

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --zone=public --remove-port=8153/tcp --permanent
sudo firewall-cmd --reload

Uwaga : Aby uzyskać certyfikaty z Let's Encrypt CA, domena, dla której mają być generowane certyfikaty, musi być skierowana w stronę serwera. Jeśli nie, dokonaj niezbędnych zmian w rekordach DNS domeny i poczekaj na propagację DNS przed ponownym żądaniem certyfikatu. Certbot sprawdza urząd domeny przed podaniem certyfikatów.

Wygeneruj certyfikaty SSL.

sudo certbot certonly --webroot -w /usr/share/nginx/html -d gocd.example.com

Wygenerowane certyfikaty prawdopodobnie będą przechowywane /etc/letsencrypt/live/gocd.example.com/. Certyfikat SSL będzie przechowywany jako, fullchain.pema klucz prywatny będzie przechowywany jako privkey.pem.

Ważność certyfikatów Let's Encrypt wygasa za 90 dni, dlatego zaleca się skonfigurowanie automatycznego odnawiania certyfikatów za pomocą zadań cron.

Otwórz plik zadania cron.

sudo crontab -e

Dodaj następujący wiersz na końcu pliku.

30 5 * * * /usr/bin/certbot renew --quiet

Powyższe zadanie crona będzie uruchamiane codziennie o 5:30. Jeśli certyfikat wygasa, zostanie automatycznie odnowiony.

Teraz zmień domyślny plik konfiguracyjny Nginx, aby usunąć default_serverlinię.

sudo sed -i 's/default_server//g' /etc/nginx/nginx.conf

Utwórz nowy plik konfiguracyjny dla interfejsu internetowego GoCD.

sudo nano /etc/nginx/conf.d/gocd.conf

Wypełnij plik.

upstream gocd {
server 127.0.0.1:8153;
}

server {
    listen 80 default_server;
    server_name gocd.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 default_server;
    server_name gocd.example.com;

    ssl_certificate           /etc/letsencrypt/live/gocd.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/gocd.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log  /var/log/nginx/gocd.access.log;

location / {
        proxy_pass http://gocd;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_redirect off;
    }
location /go {
    proxy_pass http://gocd/go;
    proxy_http_version 1.1;
    proxy_set_header Upgrade websocket;
    proxy_set_header Connection upgrade;
    proxy_read_timeout 86400;
    }
  }

Sprawdź, czy nie ma błędów w nowym pliku konfiguracyjnym.

sudo nginx -t

Jeśli wyświetli się następujący wynik, konfiguracja jest wolna od błędów.

[user@vultr ~]$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Jeśli wystąpił jakiś błąd, sprawdź dokładnie ścieżkę do certyfikatów SSL. Uruchom ponownie serwer WWW Nginx, aby wprowadzić zmianę w konfiguracji.

sudo systemctl restart nginx

Teraz możesz uzyskać dostęp do pulpitu GoCD pod adresem https://gocd.example.com. Zaloguj się do pulpitu nawigacyjnego przy użyciu poświadczeń administratora i przejdź do „ Admin >> Server Configuration” z górnego paska nawigacyjnego.

Ustaw „ Site URL” i „ Secure Site URL” na https://gocd.example.com. Port 8154nadal musi być dostępny przez zaporę, aby zdalni agenci mogli połączyć się z serwerem za pośrednictwem portu 8154, na wypadek, gdyby nie byli w stanie połączyć się przez standardowy HTTPport.

Instalowanie agenta GoCD

W środowisku ciągłej integracji GoCD agenci GoCD są pracownikami odpowiedzialnymi za wykonanie wszystkich zadań. Po wykryciu zmiany w źródle potok jest uruchamiany, a zadania są przypisywane do dostępnych pracowników do wykonania. Następnie agent wykonuje zadanie i zgłasza ostateczny status po wykonaniu.

Aby uruchomić potok, należy skonfigurować co najmniej jednego agenta. Kontynuuj instalację agenta GoCD na serwerze GoCD.

Ponieważ zaimportowaliśmy już repozytorium GoCD na serwer, możemy bezpośrednio zainstalować Go Agent.

sudo yum install -y go-agent

Teraz uruchom serwer GoCD i włącz go, aby automatycznie uruchamiał się podczas uruchamiania.

sudo systemctl start go-agent
sudo systemctl enable go-agent

Agent GoCD działający na komputerze lokalnym jest automatycznie włączany po wykryciu.