Automatiza las compilaciones en respuesta a eventos de webhook

Cloud Build te permite definir activadores de webhook, que pueden autenticar y aceptar eventos de webhook entrantes. Estos eventos, que se envían a una URL personalizada, te permiten conectar directamente sistemas externos sistemas de administración de código fuente, como Bitbucket.com, Bitbucket Server o GitLab, a Cloud Build mediante eventos de webhook

Con los activadores de webhook, puedes definir un archivo de configuración de compilación intercalado en lugar de especificar una fuente cuando creas el activador. La configuración de compilación intercalada te permite tener control sobre las operaciones de git y definir el resto de la compilación.

En esta página, se describe cómo puedes crear activadores de webhook para automatizar las compilaciones en respuesta a eventos de webhook.

Antes de comenzar

  • Enable the Cloud Build and Secret Manager APIs.

    Enable the APIs

  • Para usar los comandos de gcloud de esta página, instala Google Cloud CLI.

Crea activadores de webhook

Console

Para crear un activador de webhook con la consola de Google Cloud, sigue estos pasos:

  1. Abrir la página Activadores:

    Abrir la página Activadores de compilación

  2. Selecciona el proyecto en la parte superior de la página y haz clic en Abrir.

  3. Haz clic en Crear activador.

  4. Ingresa las siguientes opciones de configuración del activador:

    • Nombre: un nombre para tu activador
    • Región: Selecciona la región para tu activador.

      • Si el archivo de configuración de compilación asociado con el activador especifica un grupo privado, Cloud Build usa para ejecutar tu compilación. En este caso, la región que especifiques en el activador debe coincidir con la región en la que creaste tu grupo privado.
      • Si el archivo de configuración de compilación asociado con el activador no especifica un grupo privado, Cloud Build usa la configuración para ejecutar tu compilación en la misma región como detonante.
    • Descripción (opcional): Una descripción para tu activador

    • Evento: Selecciona Evento de webhook para configurar tu activador a fin de que inicie compilaciones en respuesta a eventos de webhook entrantes.

    • URL de webhook: Usa la URL de webhook para autenticar los eventos de webhook entrantes.

      • Secret: Necesitarás un secreto para autenticar los eventos de webhook entrantes. Puedes crear un secreto nuevo o usar uno existente. Esta es independiente del asociado a tu clave SSH.

        Para crear un secreto nuevo, haz lo siguiente:

        1. Selecciona Usar un secreto nuevo (generado por Cloud Build).
        2. Haz clic en Crear Secret.

          Verás la ventana emergente Crear un secreto de webhook.

        3. En el campo Nombre del secreto, ingresa un nombre para tu secreto.

        4. Haz clic en Crear secreto para guardar el secreto, que se creará y almacenará automáticamente en Secret Manager.

        Para usar un secreto existente, sigue estos pasos:

        1. Selecciona Usar un secreto existente o crear uno propio.
        2. En el campo Secreto, selecciona el nombre del secreto que deseas usar en el menú desplegable o sigue las instrucciones para agregar un secreto por ID de recurso.
        3. En el campo Versión del secreto, selecciona la versión del secreto en el menú desplegable.

        Si usas un secreto existente, es posible que debas otorgar de forma manual la función de descriptor de acceso a secretos de Secret Manager a tu cuenta de servicio de Cloud Build, service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com. Para obtener más información, consulta Otorga función de Secret Manager a la cuenta de servicio.

      Después de crear o seleccionar tu secreto, verás una vista previa de la URL de webhook. Tu URL contendrá una clave de API generada por Cloud Build y tu secreto. Si Cloud Build no puede recuperar tu clave de API, puedes agregar manualmente tu clave de API a la URL o bien aprender a obtener una clave de API si no la tienes. uno todavía.

      Puedes usar la URL para invocar un evento de webhook mediante una solicitud con el método POST.

      Usa el siguiente comando para invocar un evento de webhook:

      curl -X POST -H "Content-type: application/json" "https://cloudbuild.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/triggers/${TRIGGER_NAME}:webhook?key=${API_KEY}&secret=${SECRET_VALUE}&trigger=${TRIGGER_NAME}&projectId=${PROJECT_ID}" -d "{}"
      

      Después de completar estos pasos, el Secret Manager Acceso a Secrets se otorgará automáticamente a tu Agente de servicio de Cloud Build service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com Si no ves este rol que se agregó automáticamente a tu agente de servicio, completa los siguientes pasos que se describen en Otorga la función de Secret Manager a tu cuenta de servicio.

    • Fuente (opcional): Selecciona la fuente para compilar cuando se active el webhook o en cualquier plataforma que ejecute Knative. Si especificas una configuración de compilación intercalada, no es necesario que especifiques la siguiente fuente. Puedes especificar 1a generación o 2a generación como fuente Para obtener más información, consulta Repositorios de Cloud Build.

      • Repositorio: En la lista de repositorios disponibles, selecciona el que deseas.

      • Rama o Etiqueta: Especifica una expresión regular con la rama o el valor de la etiqueta que deben coincidir. Para obtener información acerca de la sintaxis de expresión regular aceptable, consulta Sintaxis RE2.

      • Control de comentarios: Si seleccionaste Solicitud de extracción (solo para la app de GitHub) como tu Evento, elige una de las siguientes opciones para controlar si el activador ejecutará una compilación de forma automática:

        • Es obligatorio excepto para los propietarios y colaboradores: Cuando un propietario o colaborador del repositorio crea o actualiza una solicitud de extracción, el activador ejecuta las compilaciones de forma automática. Si un colaborador externo inicia la acción, las compilaciones solo se ejecutarán después de que el propietario o colaborador comente /gcbrun en la solicitud de extracción.

        • Obligatorio: Cuando algún colaborador cree o actualice una solicitud de extracción, las compilaciones solo se ejecutarán después de que el propietario o el colaborador comente /gcbrun en la solicitud de extracción. Las compilaciones se ejecutan cada vez que se realiza un cambio en una solicitud de extracción.

        • No obligatorio: Cuando cualquier colaborador crea o actualiza una solicitud de extracción, las compilaciones se ejecutan de forma automática con activadores.

    • Configuración: Selecciona el archivo de configuración de compilación ubicado en tu repositorio remoto o crea un archivo de configuración de compilación intercalado para usarlo en tu compilación. Si no especificaste un repositorio de código fuente, debes seleccionar un archivo de configuración de compilación Inline como opción de configuración.

      • Tipo: Selecciona el tipo de configuración que usarás para la compilación.
        • Archivo de configuración de Cloud Build (YAML o JSON): Usa un archivo de configuración de compilación para la configuración.
        • Dockerfile: Usa Dockerfile para la configuración.
        • Paquetes de compilación: Usa paquetes de compilación para tu configuración.
      • Ubicación: Especifica la ubicación de tu configuración.

        • Repositorio: Si el archivo de configuración se encuentra en tu repositorio remoto, proporciona la ubicación de tu archivo de configuración de compilación, el Dockerfile de compilación o el directorio de paquetes de compilación. Si el tipo de configuración de compilación es Dockerfile o un paquete de compilación, deberás proporcionar un nombre para la imagen resultante y, de forma opcional, un tiempo de espera para tu compilación. Cuando proporciones el Dockerfile o el nombre de la imagen del paquete de compilación, verás una vista previa del comando docker build o pack que ejecutará tu compilación.
        • Variables de entorno de paquete de compilación (opcional): Si seleccionaste buildpacks como el tipo de configuración, haz clic en Agregar variable de entorno del paquete para especificar las variables de entorno y los valores del paquete de compilación. Para obtener más información sobre las variables de entorno del paquete de compilación, consulta Variables de entorno.
        • En línea: Si seleccionaste Archivo de configuración de Cloud Build (YAML o JSON) como tu opción de configuración, puedes especificar tu configuración de la compilación de forma intercalada. Haz clic en Abrir editor para escribir tu archivo de configuración de compilación en la consola de Google Cloud con la sintaxis de YAML o JSON. Haz clic en Listo para guardar la configuración de tu compilación.

      En el siguiente ejemplo, los registros del archivo de configuración de compilación intercalada ecoes “hello world”:

       steps:
       - name: 'ubuntu'
         args: ['echo', 'hello world']
      
    • Sustituciones (opcional): Si seleccionaste el archivo de configuración de compilación como tu opción de configuración de compilación o un archivo de configuración de compilación intercalado, puedes elegir para definir variables de sustitución específicas del activador con este campo. También puedes obtener datos mediante las vinculaciones de carga útil cuando definas valores de variables de sustitución.

    • Filtros (opcional): Puedes crear una regla dentro de un activador que determine si este ejecutará una compilación según tus variables de sustitución.

  5. Haz clic en Crear para crear el activador.

gcloud

(Opcional) Cómo obtener una clave de API

Para autenticar tu evento de webhook entrante, necesitas una clave de API.

Para obtener una clave de API, haz lo siguiente:

  1. Abre la página Credenciales en la consola de Google Cloud:

    Abre la página Credenciales.

  2. Haz clic en Crear credenciales.

  3. Haz clic en Clave de API.

    Verás un diálogo con tu clave de API creada. Anota tu clave de API.

  4. Si deseas restringir la clave para las aplicaciones de productos, haz clic en Restringir clave para completar los pasos adicionales que te permitirán protegerla. De lo contrario, haz clic en Cerrar.

    Para obtener información sobre cómo restringir tu clave, consulta Aplica restricciones de claves de API.

Otorga el rol de Secret Manager a tu cuenta de servicio (opcional)

Cloud Build otorga automáticamente el rol de descriptor de acceso a secretos de Secret Manager a las cuentas de servicio que lo requieren durante la configuración de secretos. Si no ves que este rol se otorgó automáticamente a la cuenta de servicio necesaria, completa los siguientes pasos para agregar el rol de forma manual, de modo que tu cuenta de servicio tenga acceso a tu secreto:

  1. Abre la página IAM en la consola de Google Cloud:

    Abrir la página IAM

  2. Opcional: Para ver las cuentas proporcionadas por Google, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

  3. Toma nota de la cuenta de servicio de compilación a la que deseas otorgar el rol.

  4. Abre la página Secret Manager en la consola de Google Cloud:

    Abrir la página Administrador de secretos

  5. Haga clic en el nombre de su secreto.

    Verás la página Secret details.

    1. Haz clic en la pestaña Permisos.

    2. Haz clic en Otorgar acceso.

      Verás el panel Otorgar acceso.

    3. En la sección Agregar principales, agrega el correo electrónico asociado con la cuenta de servicio de compilación.

    4. En la sección Asignar roles, selecciona Secret Manager > Administrador y descriptor de acceso a secretos.

    5. Haz clic en Guardar.

¿Qué sigue?