웹훅 트리거 만들기

Cloud Build를 사용하면 수신 웹훅 이벤트를 인증하고 수락할 수 있는 웹훅 트리거를 정의할 수 있습니다. 커스텀 URL로 전송되는 이러한 이벤트를 이용하면 Bitbucket.com, Bitbucket 서버, GitLab과 같은 외부 소스 코드 관리 시스템과 외부 이벤트를 웹훅 이벤트를 통해 Cloud Build에 직접 연결할 수 있습니다.

웹훅 트리거를 사용하면 트리거를 만들 때 소스를 지정하는 대신 인라인 빌드 구성 파일을 정의할 수 있습니다. 인라인 빌드 구성을 사용하면 Git 작업을 제어하고 나머지 빌드를 정의할 수 있습니다.

이 페이지에서는 웹훅 트리거를 만드는 방법을 간략히 설명합니다.

시작하기 전에

  • Cloud Build and Secret Manager API를 사용 설정합니다.

    API 사용 설정

  • 이 페이지에서 gcloud 명령어를 사용하려면 Cloud SDK를 설치합니다.

웹훅 트리거 만들기

Console

Google Cloud Console을 사용하여 웹훅 트리거를 만들려면 다음 안내를 따르세요.

  1. 트리거 페이지 열기:

    빌드 트리거 페이지 열기

  2. 페이지 상단에서 프로젝트를 선택하고 열기를 클릭합니다.

  3. 트리거 만들기를 클릭합니다.

  4. 다음 트리거 설정을 입력합니다.

    • 이름: 트리거의 이름입니다.
    • 설명(선택사항): 트리거에 대한 설명입니다.
    • 이벤트: 웹훅 이벤트를 선택하여 수신 웹훅 이벤트에 대한 응답으로 빌드를 시작하도록 트리거를 설정합니다.
    • 웹훅 URL: 웹훅 URL을 사용하여 수신 웹훅 이벤트를 인증합니다.

      • 보안 비밀: 수신 웹훅 이벤트를 인증하려면 보안 비밀이 필요합니다. 새 보안 비밀을 만들거나 기존 보안 비밀을 사용할 수 있습니다.

        새 보안 비밀을 만들려면 다음 안내를 따르세요.

        1. 새로 만들기를 선택합니다.
        2. 보안 비밀 만들기를 클릭합니다.

          웹훅 보안 비밀 만들기 팝업 상자가 표시됩니다.

        3. 보안 비밀 이름 필드에 보안 비밀의 이름을 입력합니다.

        4. 보안 비밀 만들기를 클릭하여 보안 비밀을 저장합니다. 이 보안 비밀은 Secret Manager에 자동으로 생성되고 저장됩니다.

        기존 보안 비밀을 사용하려면 다음 안내를 따르세요.

        1. 기존 항목 사용을 선택합니다.
        2. 보안 비밀 필드의 드롭다운 메뉴에서 사용하려는 보안 비밀의 이름을 선택하거나 안내에 따라 리소스 ID로 보안 비밀을 추가합니다.
        3. 보안 비밀 버전 필드의 드롭다운 메뉴에서 보안 비밀 버전을 선택합니다.

      보안 비밀을 만들거나 선택하면 웹훅 URL 미리보기가 표시됩니다. URL에는 Cloud Build에서 생성한 API 키와 보안 비밀이 포함됩니다. Cloud Build에서 API 키를 검색할 수 없는 경우 API 키를 URL에 수동으로 추가하거나, 아직 키가 없는 경우 API 키를 가져오는 방법을 알아보세요.

      POST 메서드를 사용해서 HTTP 요청을 수행하여 URL을 사용하여 웹훅 이벤트를 호출할 수 있습니다.

       curl -X POST -H "application/json" "https://cloudbuild.googleapis.com/v1/projects/${PROJECT_NAME}/triggers/${TRIGGER_NAME}:webhook?key=${API_KEY}&secret=${SECRET_VALUE}" -d "{}"
      

      이 단계를 완료하면 Secret Manager 보안 비밀 접근자 역할이 Cloud Build 서비스 계정인 service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com에 자동으로 부여됩니다. 이 역할이 서비스 계정에 자동으로 추가되지 않으면 서비스 계정에 Secret Manager 역할 부여에 설명된 다음 단계를 완료합니다.

    • 소스(선택사항): 웹훅 트리거가 실행될 때 빌드할 저장소를 선택합니다. 인라인 빌드 구성을 지정하는 경우 다음 소스를 지정할 필요가 없습니다.

    • 버전(선택사항): 웹훅 트리거가 실행될 때 빌드할 분기 또는 태그를 선택합니다. 인라인 빌드 구성을 지정하는 경우 다음 버전을 지정할 필요가 없습니다.

      • 분기: 이 분기에서 빌드할 트리거를 설정합니다. 리터럴 값을 지정해야 합니다. 정규 표현식은 지원되지 않습니다.
      • 태그(선택사항): 이 태그에 빌드할 트리거를 설정합니다. 리터럴 값을 지정해야 합니다. 정규 표현식은 지원되지 않습니다.
    • 구성: 원격 저장소에 있는 빌드 구성 파일을 선택하거나 빌드에 사용할 인라인 빌드 구성 파일을 만듭니다. 소스 저장소를 지정하지 않은 경우, 인라인 빌드 구성 파일을 구성 옵션으로 선택해야 합니다.

      • 유형: 빌드에 사용할 구성의 유형을 선택합니다.
        • Cloud Build 구성 파일(yaml 또는 json): 구성에 대해 빌드 구성 파일을 사용합니다.
        • Dockerfile: 해당 구성에 Dockerfile을 사용합니다.
        • 빌드팩: 구성에 빌드팩을 사용합니다.
      • 위치: 구성의 위치를 지정합니다.

        • 저장소: 구성 파일이 원격 저장소에 있으면 빌드 구성 파일의 위치, Dockerfile 디렉터리 또는 빌드팩 디렉터리를 제공합니다. 빌드 구성 유형이 Dockerfile 또는 빌드팩이면 결과 이미지의 이름을 제공하고, 선택적으로 빌드의 제한 시간을 제공해야 합니다. Dockerfile 또는 빌드팩 이미지 이름을 제공한 경우 빌드가 실행할 docker build 또는 pack 명령어의 미리보기가 표시됩니다.
        • 빌드팩 환경 변수(선택사항): buildpacks를 구성 유형으로 선택한 경우 팩 환경 변수 추가를 클릭하여 빌드팩 환경 변수 및 값을 지정합니다. 빌드팩 환경 변수에 대해 자세히 알아보려면 환경 변수를 참조하세요.
        • 인라인: Cloud Build 구성 파일(yaml 또는 json)을 구성 옵션으로 선택한 경우 빌드 구성을 인라인으로 지정할 수 있습니다. YAML 또는 JSON 구문을 사용하여 Google Cloud Console에서 빌드 구성 파일을 작성하려면 편집기 열기를 클릭합니다. 빌드 구성을 저장하려면 완료를 클릭합니다.

      다음 예시에서는 인라인 빌드 구성 파일 로그가 'hello world'를 반영합니다.

       steps:
       - name: 'ubuntu'
         args: ['echo', 'hello world']
      
    • 대체(선택사항): 빌드 구성 파일을 빌드 구성 옵션으로 선택하거나 인라인 빌드 구성 파일을 생성한 경우 이 필드를 사용하여 트리거별 대체 변수를 정의하도록 선택할 수 있습니다. 대체 변수 값을 정의할 때 페이로드 바인딩을 사용하여 데이터를 가져올 수도 있습니다.

    • 필터(선택사항): 트리거가 대체 변수를 기반으로 빌드를 실행할지 여부를 결정하는 트리거 내에서 규칙을 만들 수 있습니다.

      웹훅 트리거에 적용할 수 있는 필터링의 예시 구문을 보려면 CEL을 사용하여 빌드 이벤트 필터링을 참조하세요.

  5. 만들기를 클릭하여 빌드 트리거를 만듭니다.

gcloud

웹훅 트리거를 만들려면 다음 안내를 따르세요.

gcloud alpha builds triggers create webhook \
  --name=TRIGGER_NAME \
  --repo=PATH_TO_REPO \
  --secret=PATH_TO_SECRET \
  --substitutions=_SUB_ONE='$(body.message.test)',_SUB_TWO='$(body.message.output)' \
  --filter='_SUB_ONE == "prod"' \
  --inline-config=PATH_TO_INLINE_BUILD_CONFIG \
  --tag=TAG_NAME
  # --build-config=PATH_TO_BUILD_CONFIG \
  # --branch=BRANCH_NAME

각 항목의 의미는 다음과 같습니다.

  • TRIGGER_NAME은 트리거의 이름입니다.
  • PATH_TO_REPO는 빌드를 호출할 저장소의 경로입니다. 예를 들면 https://www.github.com/owner/repo입니다.
  • PATH_TO_SECRET은 Secret Manager에 저장된 보안 비밀의 경로입니다. 예: projects/my-project/secrets/my-secret/versions/2
  • PATH_TO_INLINE_BUILD_CONFIG--inline-config를 사용하는 경우 인라인 빌드 구성 파일의 경로입니다.
  • TAG_NAME는 태그에서 빌드할 트리거를 설정하려는 경우 태그의 이름입니다.
  • PATH_TO_BUILD_CONFIG--build-config를 사용하는 경우 빌드 구성 파일의 경로입니다.
  • BRANCH_NAME은 분기에서 빌드할 트리거를 설정하려는 경우 분기의 이름입니다.

(선택사항) API 키 가져오기

수신되는 웹훅 이벤트를 인증하려면 API 키가 필요합니다.

API 키를 가져오려면 다음 안내를 따르세요.

  1. Google Cloud Console의 사용자 인증 정보 페이지를 엽니다.

    사용자 인증 정보 페이지 열기

  2. 사용자 인증 정보 만들기를 클릭합니다.

  3. API 키를 클릭합니다.

    API 키가 생성된 대화상자가 표시됩니다. API 키를 기록해 둡니다.

  4. 제품 애플리케이션에 대해 키를 제한하려면 키 제한을 클릭하여 키 보호를 위한 추가 단계를 완료합니다. 그렇지 않으면 닫기를 클릭합니다.

    키를 제한하는 방법을 알아보려면 API 키 제한 적용을 참조하세요.

(선택사항) 서비스 계정에 Secret Manager 역할 부여

Cloud Build는 보안 비밀 구성 중 역할이 필요한 서비스 계정에 Secret Manager 보안 비밀 접근자 역할을 자동으로 부여합니다. 필요한 서비스 계정에 이 역할이 자동으로 부여된 것이 표시되지 않으면 다음 단계를 완료하여 서비스 계정에서 보안 비밀에 액세스할 수 있도록 역할을 직접 추가합니다.

  1. Cloud Console에서 IAM 페이지를 엽니다.

    IAM 페이지 열기

  2. 역할을 부여할 Cloud Build 서비스 계정을 기록해 둡니다.

  3. Cloud Console에서 Secret Manager 페이지를 엽니다.

    보안 비밀 페이지 열기

  4. 보안 비밀 이름을 클릭합니다.

    보안 비밀 세부정보 페이지가 표시됩니다.

    1. 오른쪽 정보 패널에 있는 권한 탭을 클릭합니다.

    2. 주 구성원 추가를 클릭합니다.

    3. 새 주 구성원 섹션에서 Cloud Build 서비스 계정과 연결된 이메일을 추가합니다.

    4. 역할 선택 섹션에서 Secret Manager > Secret Manager 보안 비밀 접근자를 선택합니다.

    5. 추가를 클릭합니다.

CEL을 사용하여 빌드 이벤트 필터링

Cloud Build는 트리거 ID, 이미지 목록 또는 대체 값과 같은 빌드 이벤트와 연결된 필드에 액세스하기 위해 빌드 리소스에 나열된 필드에서 build 변수로 CEL을 사용합니다. filter 문자열을 사용하여 빌드 리소스에 나열된 필드를 사용해서 빌드 구성 파일의 빌드 이벤트를 필터링할 수 있습니다. 필드와 연결된 정확한 구문을 찾으려면 cloudbuild.proto 파일을 참조하세요.

트리거 ID로 필터링

트리거 ID로 필터링하려면 build.build_trigger_id를 사용하여 filter 필드에 트리거 ID 값을 지정합니다. 여기서 trigger-id는 문자열인 트리거 ID입니다.

filter: build.build_trigger_id == trigger-id

상태별 필터링

상태를 기준으로 필터링하려면 build.status를 사용하여 filter 필드에서 필터링할 빌드 상태를 지정합니다.

다음 예시는 filter 필드를 사용하여 SUCCESS 상태인 빌드 이벤트를 필터링하는 방법을 보여줍니다.

filter: build.status == Build.Status.SUCCESS

또한 여러 상태로 빌드를 필터링할 수 있습니다. 다음 예시에서는 filter 필드를 사용하여 SUCCESS, FAILURE, TIMEOUT 상태의 빌드 이벤트를 필터링하는 방법을 보여줍니다.

filter: build.status in [Build.Status.SUCCESS, Build.Status.FAILURE, Build.Status.TIMEOUT]

필터링할 수 있는 추가 상태 값을 보려면 빌드 리소스 참조 아래에서 상태를 참조하세요.

태그 기준 필터링

태그를 필터링하려면 build.tags를 사용하여 filter 필드에 태그 값을 지정합니다. 여기서 tag-name은 태그의 이름입니다.

filter: tag-name in build.tags

size를 사용하여 빌드 이벤트에 지정된 태그 수에 따라 필터링할 수 있습니다. 다음 예시에서 filter 필드는 v1로 지정된 한 개의 태그를 사용하여 정확히 지정된 태그 2개가 있는 빌드 이벤트를 필터링합니다.

filter: size(build.tags) == 2 && "v1" in build.tags

이미지로 필터링

이미지로 필터링하려면 build.images를 사용하여 filter 필드에 이미지 값을 지정합니다. 여기서 image-name은 Container Registry에 나열된 이미지의 전체 이름입니다(예: gcr.io/example/image-one)

filter: image-name in build.images

다음 예시에서 filter는 이미지 이름으로 gcr.io/example/image-one 또는 gcr.io/example/image-two가 지정된 빌드 이벤트를 필터링합니다.

filter: "gcr.io/example/image-one" in build.images || "gcr.io/example/image-two" in build.images

시간별 필터링

filter 필드에 build.create_time, build.start_time 또는 build.finish_time 옵션 중 하나를 지정하여 빌드의 생성 시간, 시작 시간 또는 종료 시간을 기준으로 빌드 이벤트를 필터링할 수 있습니다.

다음 예시에서 filtertimestamp를 사용하여 빌드 만들기 요청 시간이 2020년 7월 20일 오전 6:00인 빌드 이벤트를 필터링합니다.

filter: build.create_time == timestamp("2020-07-20:T06:00:00Z")

또한 시간 비교로 빌드 이벤트를 필터링할 수도 있습니다. 다음 예시에서 filter 필드는 timestamp를 사용하여 시작 시간이 2020년 7월 20일 오전 6:00부터 2020년 7월 30일 오전 6:00 사이인 빌드 이벤트를 필터링합니다.

filter: timestamp("2020-07-20:T06:00:00Z") >= build.start_time && build.start_time <= timestamp("2020-07-30:T06:00:00Z")

CEL에서 시간대가 표현되는 방식을 자세히 알아보려면 시간대의 언어 정의를 참조하세요.

빌드 기간을 기준으로 필터링하려면 duration을 사용하여 타임스탬프를 비교할 수 있습니다. 다음 예시에서 filter 필드는 duration을 사용하여 최소 5분 동안 실행되는 빌드가 있는 빌드 이벤트를 필터링합니다.

filter: build.finish_time - build.start_time >= duration("5m")

대체 항목 기준 필터링

build.substitutions를 사용해서 filter 필드에 대체 변수를 지정하여 대체 항목으로 필터링할 수 있습니다. 다음 예시에서 filter 필드는 대체 변수 substitution-variable이 포함된 빌드를 나열하고 substitution-variable이 지정된 substitution-value와 일치하는지 확인합니다.

filter: build.substitutions[substitution-variable] == substitution-value

각 항목의 의미는 다음과 같습니다.

  • substitution-variable은 대체 변수의 이름입니다.
  • substitution-value는 대체 값의 이름입니다.

또한 기본 대체 변수 값으로 필터링할 수 있습니다. 다음 예시에서 filter 필드에는 분기 이름이 master인 빌드와 저장소 이름이 github.com/user/my-example-repo인 빌드가 나열됩니다. 기본 대체 변수 BRANCH_NAMEREPO_NAMEbuild.substitutions에 키로 전달됩니다.

filter: build.substitutions["BRANCH_NAME"] == "master" && build.substitutions["REPO_NAME"] == "github.com/user/my-example-repo"

정규 표현식을 사용하여 문자열로 필터링하려면 기본 제공되는 matches 함수를 사용할 수 있습니다. 아래 예시에서 filter 필드는 상태가 FAILURE 또는 TIMEOUT이고 v{DIGIT}.{DIGIT}.{3 DIGITS}) 정규 표현식과 일치하는 값으로 빌드 대체 변수가 TAG_NAME인 빌드를 필터링합니다.

filter: build.status in [Build.Status.FAILURE, Build.Status.TIMEOUT] && build.substitutions["TAG_NAME"].matches("^v\\d{1}\\.\\d{1}\\.\\d{3}$")`

기본 대체 값 목록을 보려면 기본 대체 항목 사용을 참조하세요.

다음 단계