En esta página, se explica cómo conectar un host de Bitbucket Cloud a Cloud Build.
Antes de comenzar
-
Enable the Cloud Build, Secret Manager, and Compute Engine APIs.
- Asegúrate de que el código fuente esté en un repositorio de Bitbucket Cloud.
- Asegúrate de que el repositorio de código fuente de Bitbucket Cloud tenga un
Dockerfileo un archivo de configuración de Cloud Build. - Instala Google Cloud CLI para usar los comandos de
gcloud.
Permisos de IAM obligatorios
Para obtener los permisos que necesitas para conectarte,
pídele a tu administrador que te otorgue el rol de IAM de
administrador de conexiones de Cloud Build (cloudbuild.connectionAdmin)
en tu cuenta de usuario.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea tokens de acceso de Bitbucket Cloud
Crea los siguientes dos tokens de acceso en Bitbucket Cloud:
- Token de acceso de administrador para conectar y desconectar repositorios
- Token de acceso de lectura: Para permitir que Cloud Build acceda a tu código fuente.
Para crear estos tokens, sigue estos pasos:
Accede a Bitbucket Cloud.
Sigue las instrucciones de Bitbucket Cloud para crear tokens de acceso vinculados a tu repositorio, proyecto o lugar de trabajo.
Otorga los siguientes permisos:
Token de acceso de administrador:
- Repositorios: Leer y Administrador
- Solicitudes de extracción: Leer
- Webhooks: Lectura y escritura
Token de acceso de lectura:
- Repositorios: Leer
Copia tus tokens para usarlos en los siguientes procedimientos.
Cómo conectarse a un host de Bitbucket Cloud
Console
Para conectar Cloud Build a tu host de Bitbucket Cloud, completa los siguientes pasos:
Abre la página Repositorios en la consola de Google Cloud.
Verás la página Repositorios.
En el selector de proyectos, selecciona tu proyecto de Google Cloud.
En la parte superior de la página, selecciona la pestaña 2ª gen.
Haz clic en Crear conexión de host para conectar un host nuevo a Cloud Build.
Selecciona Bitbucket como tu proveedor de origen.
En la sección Configurar conexión, ingresa la siguiente información:
Región: Selecciona una región para tu conexión.
Nombre: Ingresa un nombre para tu conexión.
En la sección Detalles del host, selecciona Bitbucket Cloud como el tipo de host.
Workspace: Ingresa el ID de espacio de trabajo de tu repositorio de Bitbucket Cloud.
Token de acceso: Ingresa el token de acceso de administrador que creaste anteriormente.
Token de acceso de lectura: Ingresa el token de acceso de lectura que creaste anteriormente.
Haz clic en Conectar.
La conexión nueva aparecerá en la página Repositorios.
gcloud
Sigue estos pasos para almacenar tus credenciales:
Ejecuta los siguientes comandos para almacenar tus tokens de acceso en Secret Manager en tu proyectoGoogle Cloud :
echo -n ADMIN_TOKEN | gcloud secrets create ADMIN_SECRET_NAME --data-file=- echo -n READ_TOKEN | gcloud secrets create READ_SECRET_NAME --data-file=-Aquí:
- ADMIN_TOKEN es tu token de acceso de administrador.
- ADMIN_SECRET_NAME es el nombre que quieres asignar a tu secreto de token de acceso de administrador en Secret Manager.
- READ_TOKEN es tu token de acceso de lectura.
- READ_SECRET_NAME es el nombre que quieres darle a tu secreto de token de acceso de lectura en Secret Manager.
Para crear un secreto de webhook en Secret Manager, ejecuta el siguiente comando, en el que WEBHOOK_SECRET_NAME es el nombre que deseas asignar a tu secreto de webhook:
echo -n ${ex.(random-uuid)} | gcloud secrets create WEBHOOK_SECRET_NAME --data-file=-Si tus secretos no están todos en el mismo proyecto, otorga acceso a tu agente de servicio de Cloud Build ejecutando el siguiente comando:
PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") CLOUD_BUILD_SERVICE_ACCOUNT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com" gcloud secrets add-iam-policy-binding ADMIN_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding READ_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding WEBHOOK_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor"Aquí:
- PROJECT_ID es el Google Cloud ID de tu proyecto.
- ADMIN_SECRET_NAME es el nombre del secreto de token de administrador.
- READ_SECRET_NAME es el nombre de tu secreto de token de lectura.
- WEBHOOK_SECRET_NAME es el nombre del secreto del webhook.
Conecta Cloud Build a tu host de Bitbucket Cloud con el siguiente comando:
gcloud builds connections create bitbucket-cloud CONNECTION_NAME \ --workspace=WORKSPACE_ID \ --project=PROJECT_ID \ --region=REGION \ --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_SECRET_NAME/versions/latest \ --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_SECRET_NAME/versions/latest \ --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET_NAME/versions/1Aquí:
- CONNECTION_NAME es el nombre que quieres asignar a la conexión con tu host de Bitbucket Cloud.
- WORKSPACE_ID es el ID de Workspace de tu repositorio de Bitbucket Cloud.
- PROJECT_ID es el Google Cloud ID de tu proyecto.
- REGION es la región de la conexión del host.
- ADMIN_SECRET_NAME es el nombre del secreto de token de administrador.
- READ_SECRET_NAME es el nombre del secreto de tu token de acceso de lectura.
- WEBHOOK_SECRET_NAME es el nombre del secreto de tu webhook.
Terraform
Puedes conectar tu host de Bitbucket Cloud a Cloud Build con Terraform.
En el siguiente ejemplo, el fragmento de código hace lo siguiente:
- Configura el proveedor de Google de Terraform.
- Crea un secreto de Secret Manager para almacenar los tokens de Bitbucket.
- Otorga los permisos necesarios al agente de servicio de Cloud Build para acceder a los secretos.
Crea una conexión de Bitbucket Cloud.
// Configure the Terraform Google provider terraform { required_providers { google = {} } } provider "google" { project = "PROJECT_ID" region = "REGION" } // Create secrets and grant permissions to the Cloud Build service agent resource "google_secret_manager_secret" "admin-token-secret" { project = "PROJECT_ID" secret_id = "ADMIN_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "admin-token-secret-version" { secret = google_secret_manager_secret.admin-token-secret.id secret_data = "ADMIN_TOKEN_VALUE" } resource "google_secret_manager_secret" "read-token-secret" { project = "PROJECT_ID" secret_id = "READ_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "read-token-secret-version" { secret = google_secret_manager_secret.read-token-secret.id secret_data = "READ_TOKEN_VALUE" } resource "google_secret_manager_secret" "webhook-secret-secret" { project = "PROJECT_ID" secret_id = "WEBHOOK_SECRET_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "webhook-secret-secret-version" { secret = google_secret_manager_secret.webhook-secret-secret.id secret_data = "WEBHOOK_SECRET_VALUE" } data "google_iam_policy" "p4sa-secretAccessor" { binding { role = "roles/secretmanager.secretAccessor" members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"] } } resource "google_secret_manager_secret_iam_policy" "policy-pak" { project = google_secret_manager_secret.admin-token-secret.project secret_id = google_secret_manager_secret.admin-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-rpak" { project = google_secret_manager_secret.read-token-secret.project secret_id = google_secret_manager_secret.read-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-whs" { project = google_secret_manager_secret.webhook-secret-secret.project secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } // Create the connection and add the repository resource resource "google_cloudbuildv2_connection" "my-connection" { project = "PROJECT_ID" location = "REGION" name = "CONNECTION_NAME" bitbucket_cloud_config { workspace = "WORKSPACE_ID" authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id } read_authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id } webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id } depends_on = [ google_secret_manager_secret_iam_policy.policy-pak, google_secret_manager_secret_iam_policy.policy-rpak, google_secret_manager_secret_iam_policy.policy-whs ] }
Aquí:
- PROJECT_ID es el Google Cloud ID de tu proyecto.
- PROJECT_NUMBER es el Google Cloud número de proyecto.
- ADMIN_TOKEN_NAME es el nombre de tu token con acceso a los permisos de
webhook,repository,repository:adminypullrequest. - ADMIN_TOKEN_VALUE es el valor de tu ADMIN_TOKEN_NAME.
- READ_TOKEN_NAME es el nombre de tu token con el permiso
repository:read. - READ_TOKEN_VALUE es el valor de tu READ_TOKEN_NAME.
- WEBHOOK_SECRET_NAME es el nombre del secreto de tu webhook.
- WEBHOOK_SECRET_VALUE es el valor de tu WEBHOOK_SECRET_NAME.
- REGION es la región de tu conexión.
- CONNECTION_NAME es el nombre de tu conexión.
- WORKSPACE_ID es el ID de Workspace de tu repositorio de Bitbucket Cloud.
¿Qué sigue?
- Obtén más información para conectarte a un repositorio de Bitbucket Cloud.
- Aprende a ver resultados de compilación.
- Obtén información para realizar implementaciones azul-verde en Compute Engine.