Automatizar builds em resposta a eventos de webhook

O Cloud Build permite definir gatilhos de webhook, que podem autenticar e aceitar eventos de webhook de entrada. Esses eventos, enviados para um URL personalizado, permitem conectar diretamente sistemas externos e de gerenciamento de código-fonte externo, como Bitbucket.com, Bitbucket Server ou GitLab, ao Cloud Build por meio de eventos do webhook.

Com os gatilhos de webhook, você pode definir um arquivo de configuração do build inline em vez de especificar uma origem ao criar seu gatilho. A configuração do build inline permite que você tenha controle sobre as operações do git e defina o restante do build.

Nesta página, descrevemos como criar gatilhos de webhook para automatizar builds em resposta a eventos de webhook.

Observação: se você estiver criando um gatilho que automatiza builds em eventos de repositório, recomendamos usar gatilhos de repositório do Cloud Build. Os gatilhos de repositório que usam repositórios do Cloud Build (2a geração) podem ser configurados de maneira programática e integrados de maneira nativa aos provedores de origem, atualmente com suporte ao GitHub e ao GitLab. Os repositórios do Cloud Build (2a geração) também gerenciam tokens de autenticação e informações em seu nome usando o Secret Manager. Os gatilhos de repositório permitem facilitar a filtragem de eventos de entrada e postar o status de build de volta para o provedor de origem, e também podem ser configurados para funcionar com uma rede privada. Para saber mais, consulte a página Visão geral dos repositórios.

Antes de começar

Ative as APIs Cloud Build and Secret Manager.
Ative as APIs

Para usar os comandos gcloud nesta página, instale a Google Cloud CLI.

Observação :se você instalou a CLI gcloud anteriormente, verifique se tem a versão mais recente disponível executando gcloud components update.

Como criar gatilhos de webhook

Console

Para criar um gatilho de webhook usando o console do Google Cloud:

Acesse a página Gatilhos:

Abrir a página “Gatilhos de compilação”
Selecione seu projeto na parte superior da página e clique em Abrir.
Clique em Criar gatilho.
Preencha as configurações de gatilho a seguir:
- Nome: nome do gatilho.
- Região: selecione a região do gatilho.
  - Se o arquivo de configuração da versão associado ao acionador especificar um pool particular, o Cloud Build usa esse pool para executar a versão. Nesse caso, a região especificada no gatilho precisa corresponder à região em que você criou o pool privado.
  - Se o arquivo de configuração da versão associado ao acionador não especificar um pool particular, o Cloud Build usará o pool padrão para executar a versão na mesma região que o acionador.
- Descrição (opcional): uma descrição do gatilho.
- Evento: selecione Evento de webhook para configurar o gatilho para iniciar builds em resposta a eventos de webhook recebidos.
- URL do webhook: use o URL do webhook para autenticar eventos de webhook recebidos.
  - Secret: você precisará de um secret para autenticar eventos de webhook recebidos. É possível criar um novo secret ou usar um existente. Esse secret é separado do associado à sua chave SSH.
    
    Para criar um novo secret:
    1. Selecione Usar um novo secret (gerado pelo Cloud Build).
    2. Clique em Criar secret.
      
      Você verá a caixa pop-up Criar um secret do webhook.
    3. No campo Nome do secret, insira um nome para o secret.
    4. Clique em Criar secret para salvar seu secret, que será criado e armazenado automaticamente para você no Secret Manager.
    Para usar um secret existente:
    1. Selecione Usar um secret existente ou criar um próprio.
    2. No campo Secret, selecione o nome do secret que você quer usar no menu suspenso ou siga as instruções para adicionar um secret por ID do recurso.
    3. No campo Versão do secret, selecione sua versão do secret no menu suspenso.
    Se você usar um secret existente, talvez seja necessário conceder manualmente o papel de acessador do secret do Secret Manager à sua conta de serviço do Cloud Build, service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com. Para saber mais, consulte Como conceder o papel de Secret Manager à conta de serviço.
  Depois de criar ou selecionar o secret, você verá uma visualização do URL do webhook. O URL vai conter uma chave de API gerada pelo Cloud Build e o secret. Se o Cloud Build for incapaz de recuperar a chave de API, será possível adicioná-la manualmente ao URL ou aprender a conseguir uma chave de API se você não tiver uma ainda.
  
  É possível usar o URL para invocar um evento de webhook fazendo uma solicitação HTTP com o método POST.
  
  Use o seguinte comando para invocar um evento do webhook:
```
curl -X POST -H "Content-type: application/json" "https://cloudbuild.googleapis.com/v1/projects/${PROJECT_ID}/locations/${REGION}/triggers/${TRIGGER_NAME}:webhook?key=${API_KEY}&secret=${SECRET_VALUE}&trigger=${TRIGGER_NAME}&projectId=${PROJECT_ID}" -d "{}"
```
  Depois de concluir essas etapas, o papel Acessador do secret do Secret Manager será concedido automaticamente à sua conta de serviço do Cloud Build, service-${PROJECT_NUMBER}@gcp-sa-cloudbuild.iam.gserviceaccount.com. Se você não vir esse papel automaticamente adicionado na sua conta de serviço, conclua as etapas a seguir descritas em Como conceder o papel de Secret Manager à sua conta de serviço.
- Origem (opcional): selecione a origem a ser criada quando o acionador do webhook for executado. Se você estiver especificando uma configuração do build inline, não será necessário especificar a origem a seguir. É possível especificar a 1a geração ou a 2a geração como sua origem. Para saber mais, consulte os repositórios do Cloud Build.
  
  Observação :a região do seu repositório precisa corresponder à do seu gatilho.
  - Repositório: na lista de repositórios disponíveis, selecione o repositório que você quer.
  - Ramificação ou Tag: especifique uma expressão regular correspondente ao valor da ramificação ou da tag. Para ver informações sobre a sintaxe aceitável de expressões regulares, consulte Sintaxe de RE2 (em inglês).
  - Controle de comentários: se você selecionou Solicitação de envio (somente aplicativo GitHub) como seu Evento, escolha uma das seguintes opções para controlar se um build será executado automaticamente pelo gatilho:
    
    Aviso :qualquer usuário com acesso de leitura ao repositório pode enviar uma solicitação de envio, que pode executar um build que inclui alterações no código-fonte na solicitação de envio. Para desativar esse comportamento, recomendamos o uso de aprovações manuais para bloquear builds ao fazer solicitações de envio em repositórios públicos. Para mais informações sobre os privilégios de tempo de compilação dos gatilhos, consulte gatilhos de compilação e conta de serviço do Cloud Build.
    - Obrigatório, exceto para proprietários e colaboradores: quando uma solicitação de envio for criada ou atualizada por um proprietário ou colaborador de repositório, os builds são executados automaticamente pelo gatilho. Se um colaborador externo iniciar a ação, os builds serão executadas somente depois que um proprietário ou colaborador comentar a /gcbrun na solicitação de envio.
    - Obrigatório: quando uma solicitação de envio é criada ou atualizada por qualquer colaborador, os builds só serão executados depois que um proprietário ou colaborador comentar /gcbrun na solicitação de envio. As versões são executadas sempre que uma alteração em uma solicitação de envio é feita.
    - Não necessário: quando uma solicitação de envio é criada ou atualizada por qualquer colaborador, os builds são executados automaticamente por gatilhos.
- Configuração: selecione o arquivo de configuração do build localizado no seu repositório remoto ou crie um arquivo de configuração do build inline para usar no build. Se você não tiver especificado um repositório de origem, será necessário selecionar um arquivo de configuração do build Inline como opção de configuração.
  - Tipo: selecione o tipo de configuração para usar no seu build.
    - Arquivo de configuração do Cloud Build (yaml ou json): use um arquivo de configuração do build na sua configuração.
    - Dockerfile: use um Dockerfile para sua configuração.
    - Buildpacks: use os buildpacks na sua configuração.
  - Local: especifique o local de configuração.
    - Repositório: se o arquivo de configuração estiver no repositório remoto, forneça o local do arquivo de configuração do build, do diretório Dockerfile ou do buildpacks. Se o tipo de configuração do build for um Dockerfile ou um buildpack, você precisará fornecer um nome para a imagem resultante e, opcionalmente, um tempo limite para o seu build. Depois de fornecer o nome da imagem Dockerfile ou do buildpack, você verá uma visualização do comando docker build ou pack que seu build executará.
    - Variáveis de ambiente de pacote (opcional): se você tiver selecionado buildpacks como tipo de configuração, clique em Adicionar variável de ambiente de pacote para especificar os valores e variáveis de ambiente do buildpack. Para saber mais sobre as variáveis de ambiente de buildpack, consulte Variáveis de ambiente.
    - Inline: se você selecionou o arquivo de configuração do Cloud Build (yaml ou json) como opção de configuração, pode especificar a configuração do build inline. Clique em Abrir Editor para gravar seu arquivo de configuração do build no Console do Google Cloud usando a sintaxe YAML ou JSON. Clique em Concluído para salvar a configuração do build.
      
      Observação: a compatibilidade com a configuração do build inline não está disponível para Dockerfile ou pacotes de criação.
  No exemplo a seguir, os logs do arquivo de configuração do build inline ecoam "hello world":
```
 steps:
 - name: 'ubuntu'
   args: ['echo', 'hello world']
```
- Substituições (opcional): se você tiver selecionado o arquivo de configuração do build como sua opção de configuração do build ou criado um arquivo de configuração do build inline, será possível definir as variáveis de substituição específicas do gatilho usando este campo. Também é possível obter dados usando vinculações de payload ao definir valores de variáveis de substituição.
- Filtros (opcional): é possível criar uma regra em um gatilho que determina se o gatilho executará ou não um build com base nas variáveis de substituição.
Clique em Criar para criar seu gatilho de compilação.

gcloud

(Opcional) Como receber uma chave de API

Para autenticar o evento de webhook de entrada, você precisa de uma chave de API.

Para gerar uma chave de API:

Abra a página Credenciais no Console do Google Cloud:

Abra a página Credenciais
Clique em Criar credenciais.
Clique em Chave de API.

Você vai ver uma caixa de diálogo com a chave de API criada. Anote a sua chave de API.
Se quiser restringir a chave para aplicativos de produto, clique em Restringir chave para concluir as etapas adicionais para protegê-la. Caso contrário, clique em Fechar.

Para saber como restringir sua chave, consulte Como aplicar restrições de chave de API.

(Opcional) Como conceder o papel de Secret Manager à conta de serviço

O Cloud Build concede automaticamente o papel de Acessador de secret do Secret Manager às contas de serviço que exigem esse papel durante a configuração do secret. Se esse papel não for concedido automaticamente à conta de serviço necessária, conclua as etapas a seguir para adicioná-lo manualmente para que sua conta de serviço tenha acesso ao secret:

Abra a página do IAM no console do Google Cloud:

Abrir a página do IAM
Anote a conta de serviço do Cloud Build à qual você quer conceder o papel.
Abra a página Secret Manager no console do Google Cloud:

Abrir a página "Gerenciador de secrets"
Clique no nome do secret.

Você verá a página Detalhes do secret.
1. Clique na guia Permissões.
2. Clique em Conceder acesso.
  
  O painel Conceder acesso vai aparecer.
3. Na seção Adicionar principais, adicione o e-mail associado à sua conta de serviço do Cloud Build.
4. Na seção Atribuir papéis, selecione Secret Manager > Acessador de secrets do Secret Manager.
5. Clique em Save.

A seguir

Saiba como criar e gerenciar gatilhos.
Saiba como criar repositórios hospedados no Bitbucket Server.
Saiba como iniciar versões manualmente.
Saiba como ver os resultados da build.
Saiba como resolver erros de build.