Connettiti a un repository GitHub

Questa pagina spiega come connettere un repository GitHub a Cloud Build. Per scoprire di più sui repository Cloud Build, consulta Repository Cloud Build.

Prima di iniziare

  • Enable the Cloud Build and Secret Manager APIs.

    Enable the APIs

  • Prepara il codice sorgente in un repository GitHub.
  • Avere un file Dockerfile o un file di configurazione Cloud Build nel tuo repository di origine GitHub.
  • Se per la prima volta stai connettendo il repository a Cloud Build, assicurati di disporre di autorizzazioni a livello di amministratore per il repository. Per scoprire di più sulle autorizzazioni dei repository GitHub, consulta la sezione Livelli di autorizzazione del repository per un'organizzazione.
  • Per utilizzare i comandi gcloud in questa pagina, installa Google Cloud CLI.

Autorizzazioni IAM richieste

Per connettere l'host GitHub, concedi al tuo account utente il ruolo Amministratore connessione Cloud Build (roles/cloudbuild.connectionAdmin).

Per aggiungere i ruoli richiesti al tuo account utente, vedi Configurazione dell'accesso alle risorse Cloud Build. A Per saperne di più sui ruoli IAM associati a Cloud Build, consulta Ruoli e autorizzazioni IAM.

Per creare connessioni utilizzando gcloud passaggi di installazione, concedi la Ruolo Amministratore Secret Manager (roles/secretmanager.admin) per l'agente di servizio Cloud Build eseguendo questo comando Progetto Google Cloud:

PN=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")
CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding ${PROJECT_ID} \
  --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
  --role="roles/secretmanager.admin"

Connessione di un host GitHub

Console

Per connettere il tuo repository GitHub a Cloud Build:

  1. Apri la pagina Repositori nella console Google Cloud.

    Apri la pagina Repositori

    Viene visualizzata la pagina Repositori.

  2. Nel selettore di progetti nella barra superiore, seleziona il tuo progetto Google Cloud.

  3. Nella parte superiore della pagina, seleziona la scheda 2ª gen..

  4. Fai clic su Crea connessione host per collegare un nuovo host a Cloud Build.

  5. Nel riquadro a sinistra, seleziona GitHub come fornitore di origine.

  6. Nella sezione Configura connessione, inserisci le seguenti informazioni:

    1. Regione: seleziona una regione per la connessione.

    2. Nome: inserisci un nome per la connessione.

  7. Fai clic su Connetti.

    Dopo aver fatto clic sul pulsante Connetti, ti verrà chiesto di autorizzare l'app GitHub di Cloud Build ad accedere al tuo account GitHub. Puoi revocare l'accesso all'app disinstallando o eliminandola da l'host in qualsiasi momento.

    Cloud Build richiede l'autorizzazione del tuo account utente GitHub e archivia il token di autorizzazione risultante come secret in Secret Manager nel tuo progetto. Il token di autorizzazione viene utilizzato per convalidare l'accesso del tuo account utente per l'installazione dell'app GitHub Cloud Build e ai repository collegati. L'account Agente servizio Cloud Build (service-{projectNumber}@gcp-sa-cloudbuild.iam.gserviceaccount.com) viene utilizzato per accedere al tuo segreto. Per visualizzare il tuo secret, consulta Elenca i secret e visualizza i dettagli dei secret.

    Dopo aver autorizzato l'app GitHub di Cloud Build, verrà eseguito il reindirizzamento alla pagina Repository di Cloud Build.

Hai creato una connessione GitHub.

gcloud

Per connettere il tuo host GitHub utilizzando gcloud, completa i seguenti passaggi:

  1. Inserisci il seguente comando per avviare una connessione al tuo repository GitHub:

     gcloud builds connections create github CONNECTION_NAME --region=REGION
    

    Dove:

    • CONNECTION_NAME è il nome della connessione.
    • REGION è la regione per l'attivatore.

    Dopo aver eseguito il comando gcloud builds connections, vedrai un link per autorizzare l'app GitHub di Cloud Build.

  2. Accedi al tuo account github.com.

  3. Segui il link per autorizzare l'app GitHub di Cloud Build.

    Dopo aver autorizzato l'app, Cloud Build archivia un modello come secret in Secret Manager nel tuo account Google Cloud progetto. Puoi visualizzare i tuoi secret in Secret Manager .

  4. Installa l'app GitHub di Cloud Build nel tuo account o in un'organizzazione di tua proprietà.

    Consenti l'installazione utilizzando il tuo account GitHub e seleziona il repository quando richiesto.

  5. Verifica l'installazione della connessione GitHub eseguendo il seguente comando:

     gcloud builds connections describe CONNECTION_NAME --region=REGION
    

    Dove:

    • CONNECTION_NAME è il nome della connessione.
    • REGION è la regione per il tuo trigger.

    Se il campo installationState è impostato su COMPLETE, hai installato correttamente la connessione. In caso contrario, il campo installationState fornisce un link per i passaggi aggiuntivi richiesti.

Hai creato una connessione a GitHub.

Connessione di un host GitHub in modo programmatico

Terraform

Puoi connettere il tuo host GitHub a Cloud Build utilizzando completando i seguenti passaggi per il provider Google Terraform:

  1. Installa l'app GitHub di Cloud Build sul tuo account GitHub o in un'organizzazione di tua proprietà.

  2. Crea un token di accesso personale.

    Assicurati di impostare il token in modo che non abbia una data di scadenza e seleziona le seguenti autorizzazioni quando ti viene richiesto in GitHub: repo e read:user. Se la tua app è installata in un'organizzazione, assicurati di selezionare anche l'autorizzazione read:org.

    Dopo aver generato il token di accesso personale, salva il token generato in un luogo sicuro. Utilizzerai il token generato i seguenti passaggi.

Nell'esempio riportato di seguito, lo snippet di codice esegue le seguenti operazioni:

  • Configura il provider Google Terraform

  • Crea un secret per archiviare i token di accesso personale di GitHub per concedere le autorizzazioni al Agente di servizio Cloud Build per accedere al secret

  • Crea una connessione a GitHub

    // Configure the terraform google provider
    terraform {
      required_providers {
        google = {}
       }
    }
    
    // Create a secret containing the personal access token and grant permissions to the Service Agent
    resource "google_secret_manager_secret" "github_token_secret" {
        project =  PROJECT_ID
        secret_id = SECRET_ID
    
        replication {
            auto {}
        }
    }
    
    resource "google_secret_manager_secret_version" "github_token_secret_version" {
        secret = google_secret_manager_secret.github_token_secret.id
        secret_data = GITHUB_PAT
    }
    
    data "google_iam_policy" "serviceagent_secretAccessor" {
        binding {
            role = "roles/secretmanager.secretAccessor"
            members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
        }
    }
    
    resource "google_secret_manager_secret_iam_policy" "policy" {
      project = google_secret_manager_secret.github_token_secret.project
      secret_id = google_secret_manager_secret.github_token_secret.secret_id
      policy_data = data.google_iam_policy.serviceagent_secretAccessor.policy_data
    }
    
    // Create the GitHub connection
    resource "google_cloudbuildv2_connection" "my_connection" {
        project = PROJECT_ID
        location = REGION
        name = CONNECTION_NAME
    
        github_config {
            app_installation_id = INSTALLATION_ID
            authorizer_credential {
                oauth_token_secret_version = google_secret_manager_secret_version.github_token_secret_version.id
            }
        }
        depends_on = [google_secret_manager_secret_iam_policy.policy]
    }
    

Dove:

  • PROJECT_NUMBER è il numero del tuo progetto Google Cloud.
  • SECRET_ID è l'ID del token o del secret in Secret Manager.
  • GITHUB_PAT è l'ID del tuo token di accesso personale in GitHub.
  • PROJECT_ID è l'ID del tuo progetto Google Cloud.
  • REGION è la regione per la tua connessione.
  • CONNECTION_NAME è il nome della tua connessione GitHub.
  • INSTALLATION_ID è l'ID di installazione dell'app GitHub di Cloud Build. Il tuo disponibile nell'URL di Cloud Build App GitHub. Al seguente URL, https://github.com/settings/installations/1234567, l'ID installazione è il valore numerico 1234567.

Hai creato una connessione a GitHub.

gcloud

connetti il tuo host GitHub utilizzando un token e un ID di installazione esistenti. ottenuti da una connessione precedente, completa i seguenti passaggi:

  1. Installa l'app GitHub di Cloud Build nel tuo account GitHub o in un'organizzazione di tua proprietà.

  2. Crea un token di accesso personale.

    Assicurati di impostare il token in modo che non abbia una data di scadenza e seleziona il le seguenti autorizzazioni quando richiesto in GitHub: repo e read:user. Se la tua app è installata in un'organizzazione, assicurati di selezionare anche l'autorizzazione read:org.

    Dopo aver generato il token di accesso personale, salva il token generato in un luogo sicuro. Utilizzerai il token generato i seguenti passaggi.

  3. Memorizza il token in Secret Manager nel tuo progetto Google Cloud eseguendo il seguente comando:

        echo -n TOKEN | gcloud secrets create SECRET_NAME --data-file=-
    

    Dove:

    • TOKEN è il tuo token di accesso personale.
    • SECRET_NAME è il nome che vuoi assegnare al tuo in Secret Manager.
  4. Concedi l'accesso all'agente di servizio Cloud Build al secret, dove SECRET_NAME è il nome del secret archiviato in Secret Manager:

      PROJECT_ID=$(gcloud config list --format="value(core.project)")
      PN=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")
      CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
      gcloud secrets add-iam-policy-binding SECRET_NAME \
        --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
        --role="roles/secretmanager.secretAccessor"
    
  5. Crea la tua connessione GitHub:

      gcloud builds connections create github CONNECTION_NAME \
        --authorizer-token-secret-version=projects/PROJECT_ID/secrets/SECRET_NAME/versions/1  \
        --app-installation-id=INSTALLATION_ID --region=REGION
    

    Dove:

    • CONNECTION_NAME è il nome della connessione.
    • PROJECT_ID è l'ID del tuo progetto Google Cloud.
    • SECRET_NAME è il nome del tuo secret archiviato in Secret Manager.
    • INSTALLATION_ID è l'ID installazione della tua app GitHub. Puoi trovare l'ID installazione nell'URL della tua app GitHub di Cloud Build. Nel seguente URL, https://github.com/settings/installations/1234567, l'ID installazione è il valore numerico 1234567.
    • REGION è la regione per la tua connessione.

Hai creato una connessione GitHub.

Connessione di un repository GitHub

Console

Per connettere un repository GitHub a una connessione host, completa i seguenti passaggi:

  1. Apri la pagina Repository nella console Google Cloud.

    Apri la pagina Repository

    Viene visualizzata la pagina Repositori.

  2. Nella parte superiore della pagina, seleziona la scheda 2ª gen..

  3. Fai clic su Collega repository per collegare i repository dalla connessione.

    Viene visualizzato il riquadro Connetti repository.

  4. Nel riquadro Connect Repositories, inserisci le seguenti informazioni:

    1. Connessione: seleziona una connessione dal menu a discesa.
    2. Repository: seleziona un repository da collegare alla connessione.

    3. Nome repository: inserisci un nome per il repository.

      1. Generato: seleziona questa opzione per consentire a Cloud Build di generare automaticamente i nomi dei repository per tuo conto per i repository selezionati.
      2. Manuale: seleziona questa opzione per specificare manualmente i nomi del tuo repository selezionati.

        Se selezioni Manuale, puoi modificare i nomi dei repository selezionati nella sezione Nomi dei repository.

  5. Fai clic su Collega per collegare il repository alla connessione.

Hai collegato correttamente il tuo repository GitHub alla connessione.

gcloud

Per aggiungere un repository GitHub alla connessione, inserisci il seguente comando:

   gcloud builds repositories create REPO_NAME \
     --remote-uri=REPO_URI \
     --connection=CONNECTION_NAME --region=REGION

Dove:

  • REPO_NAME è il nome del tuo repository.
  • REPO_URI è il link al tuo repository GitHub. Ad esempio, https://github.com/cloud-build/test-repo.git.
  • CONNECTION_NAME è il nome della connessione.
  • REGION è la regione della tua connessione.

Ora hai collegato un repository alla tua connessione GitHub.

Terraform

Per aggiungere un repository GitHub alla tua connessione, aggiungi quanto segue snippet di codice alla tua configurazione Terraform:

    resource "google_cloudbuildv2_repository" "my_repository" {
      project = "PROJECT_ID"
      location = "REGION"
      name = "REPO_NAME"
      parent_connection = google_cloudbuildv2_connection.my_connection.name
      remote_uri = "URI"
  }

Dove:

  • PROJECT_ID è l'ID del tuo progetto Google Cloud.
  • REPO_NAME è il nome del tuo repository GitHub.
  • REGION è la regione per la tua connessione.
  • URI è l'URI dell'host del repository. Ad esempio: https://github.com/myuser/myrepo.git.

Ora hai collegato un repository alla tua connessione GitHub.

Passaggi successivi