Cette page explique comment connecter un hôte Bitbucket Cloud à Cloud Build.
Avant de commencer
-
Enable the Cloud Build, Secret Manager, and Compute Engine APIs.
- Assurez-vous que le code source se trouve dans un dépôt Bitbucket Cloud.
- Assurez-vous que le dépôt source Bitbucket Cloud contient un fichier
Dockerfileou un fichier de configuration Cloud Build. - Installez la Google Cloud CLI pour utiliser les commandes
gcloud.
Autorisations IAM requises
Pour obtenir les autorisations nécessaires pour vous connecter, demandez à votre administrateur de vous accorder le rôle IAM administrateur de la connexion Cloud Build (cloudbuild.connectionAdmin) sur votre compte utilisateur.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer des jetons d'accès Bitbucket Cloud
Créez les deux jetons d'accès suivants dans Bitbucket Cloud:
- Jeton d'accès administrateur : pour connecter et déconnecter des dépôts.
- Jeton d'accès en lecture : permet à Cloud Build d'accéder à votre code source.
Pour créer ces jetons, procédez comme suit:
Connectez-vous à Bitbucket Cloud.
Suivez les instructions de Bitbucket Cloud pour créer des jetons d'accès associés à votre dépôt, projet ou espace de travail.
Accordez les autorisations suivantes:
Jeton d'accès administrateur:
- Dépôts: Read (Accès en lecture) et Admin (Administrateur)
- Pull requests: Read
- Webhooks: lecture et écriture
Jeton d'accès en lecture:
- Dépôts: Lecture
Copiez vos jetons pour les utiliser dans les procédures suivantes.
Se connecter à un hôte Bitbucket Cloud
Console
Connectez Cloud Build à votre hôte Bitbucket Cloud en procédant comme suit:
Ouvrez la page Dépôts de la console Google Cloud.
La page Dépôts s'affiche.
Dans le sélecteur de projet, sélectionnez votre projet Google Cloud.
En haut de la page, sélectionnez l'onglet 2e génération.
Cliquez sur Créer une connexion hôte pour connecter un nouvel hôte à Cloud Build.
Sélectionnez Bitbucket comme fournisseur de source.
Dans la section Configurer la connexion, saisissez les informations suivantes:
Région: sélectionnez une région pour votre connexion.
Nom: saisissez un nom pour votre connexion.
Dans la section Détails de l'hôte, sélectionnez Bitbucket Cloud comme type d'hôte.
Espace de travail: saisissez l'ID de l'espace de travail de votre dépôt Bitbucket Cloud.
Jeton d'accès: saisissez le jeton d'accès administrateur que vous avez créé précédemment.
Jeton d'accès en lecture: saisissez le jeton d'accès en lecture que vous avez créé précédemment.
Cliquez sur Se connecter.
La nouvelle connexion s'affiche sur la page Dépôts.
gcloud
Pour stocker vos identifiants, procédez comme suit:
Stockez vos jetons d'accès dans Secret Manager dans votre projetGoogle Cloud en exécutant les commandes suivantes:
echo -n ADMIN_TOKEN | gcloud secrets create ADMIN_SECRET_NAME --data-file=- echo -n READ_TOKEN | gcloud secrets create READ_SECRET_NAME --data-file=-Où :
- ADMIN_TOKEN est votre jeton d'accès administrateur.
- ADMIN_SECRET_NAME est le nom que vous souhaitez donner au secret de jeton d'accès administrateur dans Secret Manager.
- READ_TOKEN est votre jeton d'accès en lecture.
- READ_SECRET_NAME est le nom que vous souhaitez donner au secret du jeton d'accès en lecture dans Secret Manager.
Créez un secret de webhook dans Secret Manager en exécutant la commande suivante, où WEBHOOK_SECRET_NAME correspond au nom que vous souhaitez donner à votre secret de webhook:
echo -n ${ex.(random-uuid)} | gcloud secrets create WEBHOOK_SECRET_NAME --data-file=-Si vos secrets ne se trouvent pas tous dans le même projet, accordez l'accès à votre agent de service Cloud Build en exécutant la commande suivante:
PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)") CLOUD_BUILD_SERVICE_ACCOUNT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com" gcloud secrets add-iam-policy-binding ADMIN_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding READ_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor" gcloud secrets add-iam-policy-binding WEBHOOK_SECRET_NAME \ --member="serviceAccount:${CLOUD_BUILD_SERVICE_ACCOUNT}" \ --role="roles/secretmanager.secretAccessor"Où :
- PROJECT_ID correspond à votre Google Cloud ID de projet.
- ADMIN_SECRET_NAME est le nom du secret de jeton administrateur.
- READ_SECRET_NAME est le nom du secret du jeton de lecture.
- WEBHOOK_SECRET_NAME est le nom du secret de votre webhook.
Connectez Cloud Build à votre hôte Bitbucket Cloud à l'aide de la commande suivante:
gcloud builds connections create bitbucket-cloud CONNECTION_NAME \ --workspace=WORKSPACE_ID \ --project=PROJECT_ID \ --region=REGION \ --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_SECRET_NAME/versions/latest \ --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_SECRET_NAME/versions/latest \ --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET_NAME/versions/1Où :
- CONNECTION_NAME est le nom que vous souhaitez attribuer à la connexion à votre hôte Bitbucket Cloud.
- WORKSPACE_ID est l'ID de l'espace de travail de votre dépôt Bitbucket Cloud.
- PROJECT_ID correspond à votre Google Cloud ID de projet.
- REGION est la région de votre connexion hôte.
- ADMIN_SECRET_NAME est le nom du secret de votre jeton administrateur.
- READ_SECRET_NAME est le nom du secret du jeton d'accès en lecture.
- WEBHOOK_SECRET_NAME est le nom du secret de votre webhook.
Terraform
Vous pouvez connecter votre hôte Bitbucket Cloud à Cloud Build à l'aide de Terraform.
Dans l'exemple suivant, l'extrait de code effectue les opérations suivantes:
- Configure le fournisseur Google Terraform.
- Crée un secret Secret Manager pour stocker les jetons Bitbucket.
- Accorde les autorisations nécessaires à l'agent de service Cloud Build pour accéder aux secrets.
Crée une connexion Bitbucket Cloud.
// Configure the Terraform Google provider terraform { required_providers { google = {} } } provider "google" { project = "PROJECT_ID" region = "REGION" } // Create secrets and grant permissions to the Cloud Build service agent resource "google_secret_manager_secret" "admin-token-secret" { project = "PROJECT_ID" secret_id = "ADMIN_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "admin-token-secret-version" { secret = google_secret_manager_secret.admin-token-secret.id secret_data = "ADMIN_TOKEN_VALUE" } resource "google_secret_manager_secret" "read-token-secret" { project = "PROJECT_ID" secret_id = "READ_TOKEN_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "read-token-secret-version" { secret = google_secret_manager_secret.read-token-secret.id secret_data = "READ_TOKEN_VALUE" } resource "google_secret_manager_secret" "webhook-secret-secret" { project = "PROJECT_ID" secret_id = "WEBHOOK_SECRET_NAME" replication { auto {} } } resource "google_secret_manager_secret_version" "webhook-secret-secret-version" { secret = google_secret_manager_secret.webhook-secret-secret.id secret_data = "WEBHOOK_SECRET_VALUE" } data "google_iam_policy" "p4sa-secretAccessor" { binding { role = "roles/secretmanager.secretAccessor" members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"] } } resource "google_secret_manager_secret_iam_policy" "policy-pak" { project = google_secret_manager_secret.admin-token-secret.project secret_id = google_secret_manager_secret.admin-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-rpak" { project = google_secret_manager_secret.read-token-secret.project secret_id = google_secret_manager_secret.read-token-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } resource "google_secret_manager_secret_iam_policy" "policy-whs" { project = google_secret_manager_secret.webhook-secret-secret.project secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data } // Create the connection and add the repository resource resource "google_cloudbuildv2_connection" "my-connection" { project = "PROJECT_ID" location = "REGION" name = "CONNECTION_NAME" bitbucket_cloud_config { workspace = "WORKSPACE_ID" authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id } read_authorizer_credential { user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id } webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id } depends_on = [ google_secret_manager_secret_iam_policy.policy-pak, google_secret_manager_secret_iam_policy.policy-rpak, google_secret_manager_secret_iam_policy.policy-whs ] }
Où :
- PROJECT_ID correspond à votre Google Cloud ID de projet.
- PROJECT_NUMBER est le numéro de votre Google Cloud projet.
- ADMIN_TOKEN_NAME est le nom de votre jeton avec un accès de portée
webhook,repository,repository:adminetpullrequest. - ADMIN_TOKEN_VALUE correspond à la valeur de votre ADMIN_TOKEN_NAME.
- READ_TOKEN_NAME est le nom de votre jeton avec une portée
repository:read. - READ_TOKEN_VALUE correspond à la valeur de votre READ_TOKEN_NAME.
- WEBHOOK_SECRET_NAME est le nom du secret de votre webhook.
- WEBHOOK_SECRET_VALUE correspond à la valeur de votre WEBHOOK_SECRET_NAME.
- REGION est la région de votre connexion.
- CONNECTION_NAME est le nom de votre connexion.
- WORKSPACE_ID est l'ID Workspace de votre dépôt Bitbucket Cloud.
Étape suivante
- Découvrez comment vous connecter à un dépôt Bitbucket Cloud.
- Découvrez comment afficher les résultats de la compilation.
- Découvrez comment effectuer des déploiements bleu-vert sur Compute Engine.