Se connecter à un hôte Bitbucket Server

Cette page explique comment connecter un hôte Bitbucket Server à Cloud Build.

Avant de commencer

  • Enable the Cloud Build, Secret Manager, and Compute Engine APIs.

    Enable the APIs

Configurer

Avant de connecter votre hôte Bitbucket Server, vous devez obtenir une clé API pour authentifier et accepter les événements entrants de Bitbucket Server. De plus, vous devez accorder les autorisations dans votre projet Google Cloud pour créer un accès personnel des jetons dans Bitbucket Server pour créer des webhooks et récupérer des données.

Obtenir une clé API

Pour connecter votre hôte et authentifier les événements de webhooks entrants, vous avez besoin d'une clé API.

Pour obtenir une clé API:

  1. Ouvrez la page Identifiants dans la console Google Cloud :

    Ouvrez la page Identifiants.

  2. Cliquez sur Créer des identifiants.

  3. Cliquez sur Clé API.

    Une boîte de dialogue contenant la clé API s'affiche. Prenez note de votre clé API.

  4. Si vous souhaitez limiter votre clé pour les applications de produits, cliquez sur Restreindre la clé pour effectuer les étapes supplémentaires permettant de sécuriser votre clé. Sinon, cliquez sur Fermer.

    Pour savoir comment restreindre votre clé, consultez la section Appliquer des restrictions de clé API.

Autorisations IAM requises

Pour connecter votre hôte Bitbucket Server, accordez le rôle Éditeur Cloud Build (roles/cloudbuild.builds.editor) et le rôle Rôle Propriétaire d'intégrations Cloud Build (cloudbuild.integrations.owner) à votre compte utilisateur.

Pour ajouter les rôles requis à votre compte utilisateur, consultez la page Configurer l'accès aux ressources Cloud Build. Pour en savoir plus sur les rôles IAM associés à Cloud Build, consultez la page Rôles et autorisations IAM.

Créer des jetons d'accès personnels

Vous devez créer deux jetons d'accès personnels dans Bitbucket Server pour effectuer les tâches suivantes:

Ces jetons d'accès personnels sont les autorisations minimales obligatoire. Vous devrez peut-être configurer des autorisations supplémentaires dans Bitbucket Server si nécessaire. Par exemple, vous pouvez sélectionner un compte de serveur Bitbucket n'ayant accès qu'à sous-ensemble des dépôts de votre serveur Bitbucket pour un contrôle plus précis des éléments est disponible dans Cloud Build.

Une fois que vous avez créé vos jetons d'accès personnels, enregistrez les valeurs de vos jetons de manière sécurisée pour vous connecter à votre dépôt Bitbucket Server.

Se connecter à un hôte Bitbucket Server

Console

Pour connecter votre hôte Bitbucket Server à Cloud Build à l'aide de la console Google Cloud :

  1. Ouvrez la page Dépôts dans la console Google Cloud :

    Ouvrir la page "Dépôts"

  2. En haut de la page, sélectionnez l'onglet 1re génération.

  3. Cliquez sur Connecter un hôte.

  4. Sélectionnez Serveur Bitbucket dans le menu déroulant.

    Le panneau Connecter un hôte s'affiche.

    Saisissez les informations suivantes pour connecter votre instance Bitbucket Server à Cloud Build :

    • Région : sélectionnez la région de votre connexion.

    • Nom : saisissez un nom pour votre connexion.

    1. URL de l'hôte : URL de l'hôte de votre instance Bitbucket Server. Exemple : https://bbs.example-test.com:7990.

    2. Clé API Google Cloud : clé API utilisée pour authentifier vos identifiants.

    3. Certificat CA : votre certificat autosigné. Votre certificat ne doit pas dépasse 10 Ko et doit être au format PEM (.pem, .cer ou .crt). Si cette section n'est pas renseignée, un ensemble de certificats par défaut est utilisé.

    4. Nom d'utilisateur : nom d'utilisateur de votre compte Bitbucket Server. Ce compte doit disposer d'un accès administrateur aux dépôts que vous souhaitez associer à Cloud Build.

    5. Jeton d'accès en lecture: le jeton d'accès personnel à votre compte Bitbucket Server avec des autorisations de lecture.

    6. Jeton d'accès administrateur : jeton d'accès personnel de votre compte Bitbucket Server avec des autorisations d'administrateur sur les projets et les dépôts.

    7. Sous Type de réseau, sélectionnez l'une des options suivantes:

      1. Internet public : sélectionnez cette option si votre instance est accessible via l'Internet public.

      2. Réseau privé : sélectionnez cette option si votre instance est hébergée sur un réseau privé.

        1. Project (Projet) : sélectionnez l'ID de votre projet Google Cloud.

        2. Réseau : sélectionnez votre réseau dans le menu déroulant. Si vous n'avez pas encore créé de réseau, consultez la section Créer et gérer des réseaux VPC pour savoir comment procéder.

        3. Plage d'adresses IP : saisissez la plage d'adresses IP internes pouvant être attribuée aux VM dans la plage allouée d'un réseau associé.

          Vous pouvez spécifier la plage à l'aide du format de routage CIDR (Classless Inter-Domain Routing) au format STARTING_IP/SUBNET_PREFIX_SIZE. Par exemple, 192.0.2.0/24 a une longueur de préfixe de 24. Les 24 premiers bits de la plage d'adresses IP sont utilisés comme masque de sous-réseau (192.0.2.0), tandis que les adresses d'hôtes possibles vont de 192.0.2.0 à 192.0.2.255.

          La valeur de votre longueur de préfixe ne doit pas dépasser /29. Si aucune valeur n'est spécifiée pour la plage, la valeur par défaut /24 est automatiquement attribuée. Si aucune valeur n'est spécifiée pour la longueur de préfixe, les adresses IP sont automatiquement attribuées au sein du réseau VPC appairé. Si aucune valeur n'est spécifiée pour l'adresse IP, une plage est automatiquement attribuée à l'adresse IP dans le réseau VPC associé.

  5. Cliquez sur Connecter un hôte.

    Si votre instance Bitbucket Server se trouve sur un réseau appairé, vous devez vous connecter votre hôte peut prendre plusieurs minutes.

    Vous êtes alors redirigé vers le panneau Connecter un dépôt.

    Une fois que vous avez créé une connexion hôte, vos jetons d'accès personnels et le secret du webhook sont stockés de manière sécurisée dans Secret Manager. Vous pouvez afficher et gérer vos secrets sur la page Secret Manager.

gcloud

Connecter votre hôte Bitbucket Server à Cloud Build à l'aide des commandes gcloud, vous devez exécuter gcloud alpha builds enterprise-config bitbucketserver create dans votre terminal. Contrairement à la connexion de votre hôte à l'aide du dans la console Google Cloud, vous devez stocker manuellement les jetons d'accès et le secret du webhook dans Secret Manager avant d'exécuter la commande suivante:

gcloud alpha builds enterprise-config bitbucketserver create
    --name=BITBUCKET_SERVER_CONFIG_NAME \
    --user-name=USERNAME \
    --host-uri=HOST_URI \
    --admin-access-token-secret-version=ADMIN_ACCESS_TOKEN_SECRET_VERSION \
    --read-access-token-secret-version=READ_ACCESS_TOKEN_SECRET_VERSION \
    --webhook-secret-secret-version=WEBHOOK_SECRET_SECRET_VERSION \
    --api-key=API_KEY \
    --peered-network=PEERED_NETWORK \
    --peered-network-ip-range=PEERED_NETWORK_IP_RANGE \
    --ssl-ca-file=SSL_CA_FILE

Où :

  • BITBUCKET_SERVER_CONFIG_NAME est le nom de votre Configuration de Bitbucket Server.
  • USERNAME est votre nom d'utilisateur Bitbucket Server.
  • HOST_URI est l'URI d'hôte de votre instance Bitbucket Server.
  • ADMIN_ACCESS_TOKEN_SECRET_VERSION est le nom de ressource de votre d'accès administrateur stocké dans Secret Manager. La format attendu pour les secrets stockés dans Secret Manager est projects/${PROJECT_ID}/secrets/${SECRET_NAME}/versions/${VERSION_NUMBER}. Vous pouvez spécifier latest comme version pour utiliser la dernière version de votre secret. Cela s'applique à chaque ressource stockée Secret Manager.
  • READ_ACCESS_TOKEN_SECRET_VERSION est le nom de la ressource de votre jeton d'accès en lecture stocké dans Secret Manager.
  • WEBHOOK_SECRET_SECRET_VERSION est le nom de la ressource de votre secret de webhook stocké dans Secret Manager.
  • API_KEY correspond à la clé API Google Cloud.
  • [Facultatif] PEERED_NETWORK est le réseau VPC auquel vous devez vous connecter pour vos instances Bitbucket Server sur site. Pour en savoir plus, consultez Créer des dépôts à partir de Bitbucket Server dans un réseau privé.

  • [Facultatif] PEERED_NETWORK_IP_RANGE est la plage d'adresses IP internes pouvant être attribuée aux VM dans la plage allouée d'un réseau appairé.

  • SSL_CA_FILE est le chemin d'accès à un fichier local contenant le certificat SSL à utiliser pour les requêtes vers Bitbucket Server. Le certificat doit être au format PEM.

API

Pour connecter votre hôte Bitbucket Server à Cloud Build à l'aide de l'API, utilisez le modèle JSON suivant. Contrairement à l'association de votre à l'aide de la console Google Cloud, vous devez stocker manuellement les jetons d'accès et le secret du webhook dans Secret Manager avant d'appeler l'API:

  {
      "hostUri": "HOST_URI",
      "username": "USERNAME",
      "apiKey": "API_KEY",
      "secrets": {
        "adminAccessTokenVersionName": "ADMIN_ACCESS_TOKEN_SECRET_VERSION",
        "readAccessTokenVersionName": "READ_ACCESS_TOKEN_SECRET_VERSION",
        "webhookSecretVersionName": "WEBHOOK_SECRET_SECRET_VERSION",
      },
      "peeredNetwork": "PEERED_NETWORK",
      "peeredNetworkIpRange": "PEERED_NETWORK_IP_RANGE",
      "sslCa": "SSL_CERTIFICATE"
  }

Où :

  • HOST_URI est l'URI de l'hôte de votre instance Bitbucket Server.
  • USERNAME est votre nom d'utilisateur Bitbucket Server.
  • API_KEY est la clé API Google Cloud.
  • ADMIN_ACCESS_TOKEN_SECRET_VERSION est le nom de la ressource de votre jeton d'accès administrateur stocké dans Secret Manager. Vous devrez peut-être attribuer le rôle Accesseur de secrets de Secret Manager à votre agent de service Cloud Build, service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com. À Pour en savoir plus, consultez la section Attribuer le rôle Secret Manager compte de service.

  • READ_ACCESS_TOKEN_SECRET_VERSION est le nom de ressource de votre d'accès en lecture stocké dans Secret Manager.

  • WEBHOOK_SECRET_SECRET_VERSION est le nom de la ressource de votre secret de webhook stocké dans Secret Manager.

  • [Facultatif] PEERED_NETWORK est le réseau VPC à mettre en pairage pour vos instances Bitbucket Server sur site.

    Vous pouvez spécifier la plage à l'aide du routage CIDR (Classless Inter-Domain Routing). au format STARTING_IP/SUBNET_PREFIX_SIZE. Par exemple : La longueur de préfixe de 192.0.2.0/24 est de 24. Les 24 premiers bits de la plage d'adresses IP sont utilisés comme masque de sous-réseau (192.0.2.0), tandis que les adresses des hôtes possibles compris entre 192.0.2.0 et 192.0.2.225.

  • [Facultatif] PEERED_NETWORK_IP_RANGE est l'adresse IP interne. à laquelle les VM peuvent être attribuées dans la plage allouée d'un réseau appairé.

  • [Facultatif] SSL_CERTIFICATE est le certificat SSL utilisé pour vos instances Bitbucket Server sur site.

Saisissez la commande curl suivante dans votre terminal:

  curl -X POST -H "Authorization: Bearer "$(gcloud auth print-access-token) -H "Content-Type: application/json; charset=utf-8"  -H "x-goog-user-project: PROJECT_NUMBER" https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/bitbucketServerConfigs/?bitbucketServerConfigId=BITBUCKET_SERVER_CONFIG_NAME -d @config.json

Où :

  • PROJECT_NUMBER est le numéro de votre projet Cloud.
  • PROJECT_ID est votre ID de projet cloud.
  • REGION correspond à la région associée à votre configuration Bitbucket Server.
  • BITBUCKET_SERVER_CONFIG_NAME est le nom de votre configuration Bitbucket Server.

Si la requête aboutit, le corps de la réponse contient une nouvelle instance de Operation.

Saisissez la commande curl suivante dans votre terminal:

  curl -X GET -H "Authorization: Bearer "$(gcloud auth print-access-token) -H "Content-Type: application/json; charset=utf-8"  -H "x-goog-user-project: PROJECT_NUMBER" https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/operations/OPERATION_ID

Où :

  • PROJECT_NUMBER est le numéro de votre projet Cloud.
  • PROJECT_ID est votre ID de projet cloud.
  • REGION est la région associée à votre configuration Bitbucket Server.
  • OPERATION_ID est l'ID de votre opération de création de configuration Bitbucket Server.

Vous devrez peut-être continuer à exécuter la commande d'API GetOperation jusqu'à ce que la réponse contienne done: true, ce qui indique que l'opération est terminée. Si la configuration de Bitbucket Server a bien été créée, vous pouvez la voir dans le champ response.value. Sinon, consultez le champ error pour obtenir un rapport d'erreur détaillé.

Étape suivante