アプリケーション開発

Cloud Build リポジトリ（第 2 世代）による GitLab リポジトリの CI / CD

2023年8月28日

Google Cloud Japan Team

※この投稿は米国時間 2023 年 8 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

あらゆる本番環境の基盤となるのはソース管理です。このため、Cloud Build を自動化ツールとしてソースリポジトリと統合することは、デリバリーを高速化し、最終的にパフォーマンスの高い組織に進化するうえで不可欠です。

今回のブログ記事では、最近リリースされた第 2 世代の Cloud Build リポジトリに追加された 2 つの魅力的な新機能について取り上げます。まず、Cloud Build が GitLab と GitLab Enterprise のソースコードリポジトリに接続できるようになりました。また、リポジトリの接続を Terraform で宣言的に管理できるようになりました。ここでは、両方の機能を具体的に説明するために、シンプルなエンドツーエンドのデモを行います。

GitLab 環境の準備

このデモでは、GitLab.com でホストされているプライベートリポジトリを使用します。すでに Cloud Build 構成の GitLab リポジトリがある場合は、GITLAB_REPO_URI 変数をリポジトリの HTTPS URI に設定してから次のセクションに進んでください。

Cloud Build で試す最小設定の GitLab リポジトリを作成するには、次の手順に沿って操作します。

GitLab.com にプライベートリポジトリを作成します。ここでは名前として「cloud-build-demo」を使用します。
レポジトリの URI を変数 GITLAB_REPO_URI として保存します。この例では GITLAB_REPO_URI='https://gitlab.com/<USER>/cloud-build-demo.git' となります（ワークステーションへのローカルクローンには SSH を使用できますが、以下の Cloud Build リポジトリには HTTPS を使用します）。
ターミナル（例: Cloud Shell またはローカル）で、次のように cloudbuild.yaml 構成を使用してリポジトリを初期化します。

読み込んでいます...

これで GitLab のウェブ UI にリポジトリの内容が表示されるようになります（この例では cloudbuild.yaml ファイルのみ）。

Google Cloud での準備

まず、Cloud Build に必要な API が Google Cloud プロジェクトに用意されていて、プロジェクトで Secret Manager が有効になっていることを確認する必要があります。この例では、2 つのサービスを Terraform 構成に追加するか、ターミナルで次のコマンドを実行する必要があります。

読み込んでいます...

Cloud Build リポジトリは、いわゆるホスト接続のレベルで認証されます。ホスト接続の認証プロセスはソースコードリポジトリに固有であり、GitLab と GitHub でわずかに異なります。GitLab のリポジトリにアクセスするためのホスト接続の場合、api と read-api 両方のスコープ用の個人用アクセストークンを発行する必要があります。詳細については、GitLab ホストに接続するをご覧ください。

トークンを発行したら、環境変数 GITLAB_API_TOKEN および GITLAB_READ_API_TOKEN として保存し、以下のコマンドを実行して Secret Manager でシークレットを作成できます。よく見ると、GitLab Webhook に必要なシークレットも作成されることがわかりますが、このデモでは使用しません。最後のステップで、Cloud Build サービスエージェントも、ここで作成したシークレットを使用してホスト接続を確立できるよう認可します。

注: Terraform でもこれらのシークレットを作成できますが、tfstate で書式なしテキスト値が表示されます。

読み込んでいます...

GITLAB_API_TOKEN='### SET TOKEN HERE ###'
GITLAB_READ_API_TOKEN='### SET TOKEN HERE ###'

gcloud secrets create gitlab-api-token \
    --replication-policy="automatic" --project=$PROJECT_ID
echo -n "$GITLAB_API_TOKEN" | \
    gcloud secrets versions add gitlab-api-token --project=$PROJECT_ID --data-file=-
GITLAB_API_TOKEN_SECRET_REF=$(gcloud secrets versions list gitlab-api-token --format json | jq -r '.[0].name')

gcloud secrets create gitlab-read-token \
    --replication-policy="automatic" --project=$PROJECT_ID
echo -n "$GITLAB_READ_API_TOKEN" | \
    gcloud secrets versions add gitlab-read-token --project=$PROJECT_ID --data-file=-
GITLAB_READ_API_TOKEN_SECRET_REF=$(gcloud secrets versions list gitlab-read-token --format json | jq -r '.[0].name')

gcloud secrets create gitlab-webhook-token \
    --replication-policy="automatic" --project=$PROJECT_ID
echo -n "not-used-here" | \
    gcloud secrets versions add gitlab-webhook-token --project=$PROJECT_ID --data-file=-
GITLAB_WEBHOOK_TOKEN_SECRET_REF=$(gcloud secrets versions list gitlab-webhook-token --format json | jq -r '.[0].name')

PROJECT_NUMBER="$(gcloud projects describe "$PROJECT_ID" --format="value(projectNumber)")"
CLOUD_BUILD_SA_MEMBER="serviceAccount:service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud secrets add-iam-policy-binding gitlab-api-token --member=$CLOUD_BUILD_SA_MEMBER --role=roles/secretmanager.secretAccessor --project=$PROJECT_ID
gcloud secrets add-iam-policy-binding gitlab-read-token --member=$CLOUD_BUILD_SA_MEMBER --role=roles/secretmanager.secretAccessor --project=$PROJECT_ID
gcloud secrets add-iam-policy-binding gitlab-webhook-token --member=$CLOUD_BUILD_SA_MEMBER --role=roles/secretmanager.secretAccessor --project=$PROJECT_ID

Terraform での Cloud Build リポジトリとトリガーの構成

Secret Manager で認証情報を構成できたら、Terraform の構成に移ります。わかりやすくするために、次のようにすべてを 1 つの main.tf ファイルに含めました。

読み込んでいます...

variable "project_id" {
  type = string
}

variable "gitlab_api_token_secret" {
  type = string
}

variable "gitlab_read_api_token_secret" {
    type = string
}

variable "gitlab_webhook_token_secret" {
  type = string
}

variable "gitlab_repo_uri" {
  type = string
}

variable "build_location" {
  type = string
  default = "europe-west1"
}

provider "google" {
  project = var.project_id
}

resource "google_cloudbuildv2_connection" "gitlab-connection" {
  location = var.build_location
  name = "gitlab-connection"

gitlab_config {
    authorizer_credential {
        user_token_secret_version = var.gitlab_api_token_secret
    }
    read_authorizer_credential {
        user_token_secret_version = var.gitlab_read_api_token_secret
    }
    webhook_secret_secret_version = var.gitlab_webhook_token_secret
  }
}

resource "google_cloudbuildv2_repository" "demo-repo" {
  name = "gitlab-demo-repo"
  location = var.build_location
  parent_connection = google_cloudbuildv2_connection.gitlab-connection.id
  remote_uri = var.gitlab_repo_uri
}

resource "google_cloudbuild_trigger" "demo-trigger" {
  location = var.build_location
  repository_event_config {
    repository = google_cloudbuildv2_repository.demo-repo.id
    push {
      branch = ".*"
    }
  }
  filename = "cloudbuild.yaml"
}

Google Cloud プロジェクト ID 用変数、Secret Manager の外部作成されたシークレットの参照用変数、Cloud Build リソースのオプションのロケーションオーバーライド用変数を指定します。

Cloud Build 固有の Terraform リソースは次のとおりです。

google_cloudbuildv2_connection: 名前、リージョン、認証情報を使ってホスト接続を指定します。ホスト接続は複数のリポジトリで使用できるため、認証情報を一元的に管理できます。
google_cloudbuildv2_repository: 使用する GitLab リポジトリを指定し、ホスト接続と関連付けます。このためには、ホスト接続の認証情報が remote_uri として指定されたリポジトリにアクセスできなければなりません。
google_cloudbuild_trigger: GitLab リポジトリのブランチで push イベントが発生した際に Cloud Build パイプラインを実行します。

Terraform 構成を適用するために、main.tf ファイルを含むフォルダ内から次の 2 つのコマンドを実行します。

読み込んでいます...

リソースが作成されると、Google Cloud コンソールの [Cloud Build] > [リポジトリ] に表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_repo-connection.max-1300x1300.png

シンプルなパイプラインとリポジトリのトリガーをテストするために、サンプルリポジトリに空の commit を push します。

読み込んでいます...

Google Cloud コンソールの Cloud Build ダッシュボードに、開始されたビルドが表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_build-result.max-900x900.png

同じ結果が GitLab UI の [Builds] > [Pipelines] に表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_gitlab-pipeline.max-500x500.png

次のステップ

Cloud Build リポジトリの詳細と、第 1 世代と第 2 世代のリポジトリの機能の比較については、公式の Cloud Build リポジトリに関するドキュメントをご覧ください。GitHub でホストされている Git リポジトリを Cloud Build で使用する場合は、こちらの手順に沿って Terraform を構成する必要があります。

- アプリケーションモダナイゼーション担当 EMEA ソリューションリード Daniel Strebel

投稿先