連線至 Bitbucket 資料中心主機

本頁說明如何將 Bitbucket Data Center 主機連線至 Cloud Build。

事前準備

  • Enable the Cloud Build and Secret Manager APIs.

    Enable the APIs

  • 在 Bitbucket 資料中心存放區中準備好原始碼。
  • 在 Bitbucket Data Center 來源存放區中,擁有 DockerfileCloud Build 設定檔
  • 如未安裝 Bitbucket Data Center 執行個體,請參閱「安裝 Bitbucket Data Center」一文的說明。

  • 如要在本頁面使用 gcloud 指令,請安裝 Google Cloud CLI

必要 IAM 權限

  • 如要取得連線至 Bitbucket Data Center 主機所需的權限,請要求管理員授予使用者帳戶「Cloud Build 連線管理員」(roles/cloudbuild.connectionAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

連結至 Bitbucket Data Center 主機

為 Bitbucket Data Center 執行個體建立主機連線前,請先在 Bitbucket Data Center 中建立個人存取權杖,方法如下:

  1. 登入 Bitbucket Data Center 執行個體。

  2. 按照操作說明為使用者帳戶建立 HTTP 存取權杖

    1. 建立具備存放區管理員範圍的存取權杖,用於連結及取消連結存放區。

    2. 建立具備「repository read」範圍的存取權杖,確保 Cloud Build 存放區可以存取存放區中的原始碼。

主控台

如要將 Bitbucket Data Center 主機連結至 Cloud Build,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中開啟「Repositories」(存放區) 頁面。

    開啟「Repositories」(存放區) 頁面

    畫面會顯示「Repositories」(存放區) 頁面。

  2. 選取頁面頂端的「第 2 代」分頁標籤。

  3. 在頂端列的專案選取器中,選取 Google Cloud 專案。

  4. 按一下「建立主機連線」,將新主機連結至 Cloud Build。

  5. 在左側面板中,選取「Bitbucket」Bitbucket做為來源供應商。

  6. 在「設定連線」部分,輸入下列資訊:

    1. 「Region」(區域):選取連線的區域。您必須指定區域。連結無法在全球通用。

    2. 名稱:輸入連線名稱。

  7. 在「主機詳細資料」部分,選取或輸入下列資訊:

    1. Bitbucket 主機:選取「Bitbucket Data Center」做為主機。

    2. 主機網址:輸入 Bitbucket Data Center 主機的網址

  8. 在「網路」部分中,選取下列其中一個選項:

    1. 公開網際網路:如果可透過公開網際網路存取執行個體,請選取這個選項。

    2. 私人網路:如果執行個體是託管在私人網路上,請選取這個選項。

      1. CA 憑證:自行簽署的憑證。按一下「瀏覽」,從本機開啟憑證。

        憑證大小不得超過 10 KB,且應採用 PEM 格式 (.pem.cer.crt)。如果將這個欄位留空,Cloud Build 會使用預設憑證集中的憑證。

      2. 在「Service Directory service」(服務目錄服務) 區段中,選取服務位置。您可以接受預先填入的專案 ID,或指定其他專案。

        1. 選取服務專案。您可以接受預先填入的專案,選擇「In another project」(在其他專案中) 瀏覽,或選擇「Enter manually」(手動輸入)

          如果選擇「輸入下列資訊」:

          • 專案:輸入或從下拉式選單中選取專案 ID。 Google Cloud

          • 「Region」(地區):這個欄位會預先選取連線的地區。服務指定的區域必須與連線關聯的區域相符。

        2. 命名空間:選取服務的命名空間。

        3. 服務:選取命名空間中的服務名稱。

  9. 在「HTTP access tokens」部分中,輸入下列資訊:

    1. 管理員存取權杖:輸入範圍為 repository admin 的權杖。這個權杖用於連結及取消連結存放區。

    2. 讀取存取權杖:輸入範圍為「repository read」的權杖。Cloud Build 觸發條件會使用這個權杖存取存放區中的原始碼。

  10. 按一下「連線」

    按一下「連線」按鈕後,您的個人存取權杖會安全地儲存在 Secret Manager 中。連線至 Bitbucket Data Center 主機後,Cloud Build 會代您建立 Webhook 密鑰。您可以在「Secret Manager」頁面查看及管理密鑰。

gcloud

  1. 將權杖儲存在 Secret Manager

  2. 執行下列指令,在 Secret Manager 中建立 Webhook 密鑰,其中 WEBHOOK_SECRET 是您要為 Webhook 密鑰指定的名稱:

      cat /proc/sys/kernel/random/uuid | tr -d '\n' | gcloud secrets create WEBHOOK_SECRET --data-file=-

  3. 如果您將密鑰儲存在與建立主機連線所用專案不同的 Google Cloud 專案中,請執行下列指令,授予專案 Cloud Build 服務代理的存取權:

    PN=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \ \
    --role="roles/secretmanager.admin"

    其中:

    • PROJECT_ID 是您的 Google Cloud 專案 ID。

現在可以繼續將 Bitbucket Data Center 主機連結至 Cloud Build。

  1. 執行下列指令,建立 Bitbucket Data Center 連線:

    gcloud builds connections create bitbucket-data-center CONNECTION_NAME \
    --host-uri=HOST_URI \
    --project=PROJECT_ID \
    --region=REGION \
    --authorizer-token-secret-version=projects/PROJECT_ID/secrets/ADMIN_TOKEN/versions/SECRET_VERSION \
    --read-authorizer-token-secret-version=projects/PROJECT_ID/secrets/READ_TOKEN/versions/SECRET_VERSION \
    --webhook-secret-secret-version=projects/PROJECT_ID/secrets/WEBHOOK_SECRET/versions/SECRET_VERSION
 ```

Where:
    • CONNECTION_NAME 是 Cloud Build 中 Bitbucket Data Center 主機連線的名稱。
    • HOST_URI 是 Bitbucket Data Center 執行個體的 URI。
    • PROJECT_ID 是您的 Google Cloud 專案 ID
    • REGION 是連線的區域
    • ADMIN_TOKEN 是範圍為「repository admin」的權杖名稱。
    • READ_TOKEN 是範圍為 repository read 的權杖名稱。
    • SECRET_VERSION 是密鑰的版本。
    • WEBHOOK_SECRET 是您的 Webhook 密鑰。

Terraform

您可以使用 Terraform,將 Bitbucket Data Center 主機連至 Cloud Build。

在以下範例中,程式碼片段會執行下列操作:

  • 設定 Terraform Google 供應商。
  • 建立 Secret Manager 密鑰,用於儲存 Bitbucket 權杖。
  • 將存取密鑰的必要權限授予 Cloud Build 服務代理。

  • 建立 Bitbucket Data Center 連線。

    // Configure the Terraform Google provider
terraform {
  required_providers {
    google = {}
  }
}

provider "google" {
  project = "PROJECT_ID"
  region = "REGION"
}

// Create secrets and grant permissions to the Cloud Build service agent
resource "google_secret_manager_secret" "admin-token-secret" {
    project = "PROJECT_ID"
    secret_id = "ADMIN_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "admin-token-secret-version" {
    secret = google_secret_manager_secret.admin-token-secret.id
    secret_data = "ADMIN_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "read-token-secret" {
    project = "PROJECT_ID"
    secret_id = "READ_TOKEN_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "read-token-secret-version" {
    secret = google_secret_manager_secret.read-token-secret.id
    secret_data = "READ_TOKEN_VALUE"
}

resource "google_secret_manager_secret" "webhook-secret-secret" {
    project = "PROJECT_ID"
    secret_id = "WEBHOOK_SECRET_NAME"

    replication {
        auto {}
    }
}

resource "google_secret_manager_secret_version" "webhook-secret-secret-version" {
    secret = google_secret_manager_secret.webhook-secret-secret.id
    secret_data = "WEBHOOK_SECRET_VALUE"
}

data "google_iam_policy" "p4sa-secretAccessor" {
    binding {
        role = "roles/secretmanager.secretAccessor"
        members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
    }
}

resource "google_secret_manager_secret_iam_policy" "policy-pak" {
  project = google_secret_manager_secret.admin-token-secret.project
  secret_id = google_secret_manager_secret.admin-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-rpak" {
  project = google_secret_manager_secret.read-token-secret.project
  secret_id = google_secret_manager_secret.read-token-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

resource "google_secret_manager_secret_iam_policy" "policy-whs" {
  project = google_secret_manager_secret.webhook-secret-secret.project
  secret_id = google_secret_manager_secret.webhook-secret-secret.secret_id
  policy_data = data.google_iam_policy.p4sa-secretAccessor.policy_data
}

// Create the connection resource
resource "google_cloudbuildv2_connection" "my-connection" {
    project = "PROJECT_ID"
    location = "REGION"
    name = "CONNECTION_NAME"

    bitbucket_data_center_config {
        host_uri = "BITBUCKET_URI"
        authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.admin-token-secret-version.id
        }
        read_authorizer_credential {
            user_token_secret_version = google_secret_manager_secret_version.read-token-secret-version.id
        }
        webhook_secret_secret_version = google_secret_manager_secret_version.webhook-secret-secret-version.id
    }

    depends_on = [
        google_secret_manager_secret_iam_policy.policy-pak,
        google_secret_manager_secret_iam_policy.policy-rpak,
        google_secret_manager_secret_iam_policy.policy-whs
    ]
}

其中:

  • PROJECT_ID 是您的 Google Cloud 專案 ID
  • PROJECT_NUMBER 是您的 Google Cloud 專案編號。
  • ADMIN_TOKEN_NAME 是具有 repository:admin 範圍的權杖名稱。
  • ADMIN_TOKEN_VALUEADMIN_TOKEN_NAME 的值。
  • READ_TOKEN_NAME 是具有 repository:read 範圍的權杖名稱。
  • READ_TOKEN_VALUEREAD_TOKEN_NAME 的值。
  • WEBHOOK_SECRET_NAME 是 Webhook 密鑰的名稱。
  • WEBHOOK_SECRET_VALUEWEBHOOK_SECRET_NAME 的值。
  • REGION 是連線的地區
  • CONNECTION_NAME 是 Cloud Build 中 Bitbucket Data Center 主機連線的名稱。
  • BITBUCKET_URI 是 Bitbucket Data Center 執行個體的 URI。

後續步驟