이 페이지에서는 Bitbucket Cloud 호스트를 Cloud Build와 연결하는 방법을 설명합니다.
시작하기 전에
-
API Cloud Build, Secret Manager, and Compute Engine 사용 설정
- 소스 코드가 Bitbucket Cloud 저장소에 있는지 확인합니다.
- Bitbucket Cloud 소스 저장소에
Dockerfile또는 Cloud Build 구성 파일이 있는지 확인합니다. gcloud명령어를 사용하도록 Google Cloud CLI를 설치합니다.
필수 IAM 권한
연결에 필요한 권한을 얻으려면 관리자에게 사용자 계정에 대해 Cloud Build 연결 관리자(cloudbuild.connectionAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
Bitbucket Cloud 액세스 토큰 만들기
Bitbucket Cloud에서 다음 2개의 액세스 토큰을 만듭니다.
- 관리자 액세스 토큰 - 저장소 연결 및 연결 해제에 사용됩니다.
- 읽기 액세스 토큰 - Cloud Build가 소스 코드에 액세스하도록 허용합니다.
이러한 토큰을 만들려면 다음 단계를 수행합니다.
Bitbucket Cloud에 로그인합니다.
Bitbucket Cloud 안내에 따라 저장소, 프로젝트, 작업공간에 연결된 액세스 토큰을 만듭니다.
다음 권한을 부여합니다.
관리자 액세스 토큰:
- 저장소: 읽기 및 관리자
- pull 요청: 읽기
- 웹훅: 읽기 및 쓰기
읽기 액세스 토큰:
- 저장소: 읽기
다음 절차에서 사용할 토큰을 복사합니다.
Bitbucket Cloud 호스트에 연결
콘솔
다음 단계를 수행하여 Cloud Build를 Bitbucket Cloud 호스트에 연결합니다.
Google Cloud 콘솔에서 저장소 페이지를 엽니다.
저장소 페이지가 표시됩니다.
프로젝트 선택자에서 Google Cloud 프로젝트를 선택합니다.
페이지 상단에서 2세대 탭을 선택합니다.
호스트 연결 만들기를 클릭하여 새 호스트를 Cloud Build에 연결합니다.
Bitbucket을 소스 제공업체로 선택합니다.
연결 구성 섹션에서 다음 정보를 입력합니다.
연결을 클릭합니다.
새 연결이 저장소 페이지에 표시됩니다.
gcloud
다음 단계를 수행하여 사용자 인증 정보를 저장합니다.
다음 명령어를 실행하여 Google Cloud 프로젝트에 Secret Manager의 액세스 토큰을 저장합니다.
echo -n ADMIN_TOKEN | gcloud secrets create ADMIN_SECRET_NAME --data-file=- echo -n READ_TOKEN | gcloud secrets create READ_SECRET_NAME --data-file=-각 항목의 의미는 다음과 같습니다.
- ADMIN_TOKEN은 관리자 액세스 토큰입니다.
- ADMIN_SECRET_NAME: Secret Manager에서 관리자 액세스 토큰 보안 비밀에 지정할 이름입니다.
- READ_TOKEN: 읽기 액세스 토큰입니다.
- READ_SECRET_NAME: Secret Manager에서 읽기 액세스 토큰 보안 비밀에 지정할 이름입니다.
다음 명령어를 실행하여 Secret Manager에 웹훅 보안 비밀을 만듭니다. 여기서 WEBHOOK_SECRET_NAME은 웹훅 보안 비밀에 지정하려는 이름입니다.
echo -n ${ex.(random-uuid)} | gcloud secrets create WEBHOOK_SECRET_NAME --data-file=-보안 비밀이 동일한 프로젝트에 있지 않으면 다음을 실행하여 Cloud Build 서비스 계정에 액세스 권한을 부여합니다.
PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") CLOUD_BUILD_SERVICE_ACCOUNT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com" gcloud secrets add-iam-policy-binding ADMIN_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding READ_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding WEBHOOK_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor"각 항목의 의미는 다음과 같습니다.
- PROJECT_ID: Google Cloud 프로젝트 ID입니다.
- ADMIN_SECRET_NAME: 관리자 토큰 보안 비밀의 이름입니다.
- READ_SECRET_NAME: 읽기 토큰 보안 비밀의 이름입니다.
- WEBHOOK_SECRET_NAME: 웹훅 보안 비밀의 이름입니다.
다음 명령어를 사용하여 Cloud Build를 Bitbucket Cloud 호스트에 연결합니다.
gcloud builds connections create bitbucket-cloud CONNECTION_NAME \ --workspace=WORKSPACE_ID \ --project=PROJECT_ID \ --region=REGION \ --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_SECRET_NAME/versions/latest \ --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_SECRET_NAME/versions/latest \ --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET_NAME/versions/1각 항목의 의미는 다음과 같습니다.
- CONNECTION_NAME: Bitbucket Cloud 호스트 연결에 지정할 이름입니다.
- WORKSPACE_ID: Bitbucket Cloud 저장소의 작업공간 ID입니다.
- PROJECT_ID: Google Cloud 프로젝트 ID입니다.
- REGION: 호스트 연결의 리전입니다.
- ADMIN_SECRET_NAME: 관리자 토큰 보안 비밀의 이름입니다.
- READ_SECRET_NAME: 읽기 액세스 토큰 보안 비밀의 이름입니다.
- WEBHOOK_SECRET_NAME: 웹훅 보안 비밀의 이름입니다.
다음 단계
- Bitbucket Cloud 저장소에 연결하는 방법 알아보기
- 빌드 결과를 확인하는 방법 알아보기
- Compute Engine에서 블루/그린 배포 수행 방법 알아보기