Se connecter à un dépôt GitHub

Cette page explique comment connecter un dépôt GitHub à Cloud Build. Pour en savoir plus sur les dépôts Cloud Build, consultez la page Dépôts Cloud Build.

Avant de commencer

  • Activer les API Cloud Build and Secret Manager.

    Activer les API

  • Préparez votre code source dans un dépôt GitHub.
  • Vous devez disposer d'un fichier de configuration Dockerfile ou Cloud Build dans votre dépôt source GitHub.
  • Si vous connectez initialement votre dépôt à Cloud Build, assurez-vous de disposer d'autorisations de niveau administrateur sur votre dépôt. Pour en savoir plus sur les autorisations associées aux dépôts GitHub, consultez la section Niveaux d'autorisation des dépôts pour une organisation.

  • Pour utiliser les commandes gcloud sur cette page, installez la Google Cloud CLI.

Connecter un hôte GitHub

Console

Pour connecter votre dépôt GitHub à Cloud Build, procédez comme suit:

  1. Ouvrez la page Dépôts de la console Google Cloud.

    Ouvrir la page "Dépôts"

    La page Dépôts s'affiche.

  2. Dans le sélecteur de projet de la barre supérieure, sélectionnez votre projet Google Cloud.

  3. En haut de la page, sélectionnez l'onglet 2nd gen (2e génération).

  4. Cliquez sur Créer une connexion hôte pour connecter un nouvel hôte à Cloud Build.

  5. Dans le panneau de gauche, sélectionnez GitHub comme fournisseur source.

  6. Dans la section Configure Connection (Configurer la connexion), saisissez les informations suivantes:

    1. Région: sélectionnez une région pour votre connexion.

    2. Name (Nom) : saisissez le nom de votre connexion.

  7. Cliquez sur Connect (Se connecter).

    Après avoir cliqué sur le bouton Connecter, vous serez invité à autoriser l'application GitHub Cloud Build à accéder à votre compte GitHub. Vous pouvez révoquer l'accès à l'application en la désinstallant ou en la supprimant de votre hôte à tout moment.

    Cloud Build demande l'autorisation de votre compte utilisateur GitHub et stocke le jeton d'autorisation obtenu en tant que secret dans Secret Manager de votre projet. Ce jeton permet de valider l'accès de votre compte utilisateur à l'installation de l'application GitHub Cloud Build et aux dépôts associés. Le compte d'agent de service Cloud Build (service-{projectNumber}@gcp-sa-cloudbuild.iam.gserviceaccount.com) permet d'accéder à votre secret. Pour afficher le secret, consultez la section Répertorier les secrets et afficher les détails du secret.

    Après avoir autorisé l'application GitHub Cloud Build, vous serez redirigé vers la page Dépôts de Cloud Build.

La connexion GitHub a bien été créée.

gcloud

Pour connecter votre hôte GitHub à l'aide de gcloud, procédez comme suit:

  1. Saisissez la commande suivante pour établir une connexion à votre dépôt GitHub:

     gcloud builds connections create github CONNECTION_NAME --region=REGION

    Où :

    • CONNECTION_NAME est le nom de votre connexion.

    • REGION est la région de votre déclencheur.

    Après avoir exécuté la commande gcloud builds connections, vous verrez un lien pour autoriser l'application GitHub Cloud Build.

  2. Connectez-vous à votre compte github.com.

  3. Cliquez sur le lien pour autoriser l'application GitHub Cloud Build.

    Après avoir autorisé l'application, Cloud Build stocke un jeton d'authentification en tant que secret dans Secret Manager de votre projet Google Cloud. Vous pouvez afficher vos secrets sur la page Secret Manager.

  4. Installez l'application GitHub Cloud Build dans votre compte ou dans une organisation que vous possédez.

    Autorisez l'installation à l'aide de votre compte GitHub et sélectionnez les autorisations de dépôt lorsque vous y êtes invité.

  5. Vérifiez l'installation de votre connexion GitHub en exécutant la commande suivante:

     gcloud builds connections describe CONNECTION_NAME --region=REGION

    Où :

    • CONNECTION_NAME est le nom de votre connexion.
    • REGION est la région de votre déclencheur.

    Si le champ installationState est défini sur COMPLETE, la connexion a bien été installée. Sinon, le champ installationState fournit un lien vers les étapes supplémentaires requises.

La connexion GitHub a bien été créée.

Connecter un hôte GitHub de manière programmatique

Terraform

Pour connecter votre hôte GitHub à Cloud Build à l'aide du fournisseur Google Terraform, procédez comme suit:

  1. Installez l'application GitHub Cloud Build sur votre compte GitHub ou dans une organisation que vous possédez.

  2. Créez un jeton d'accès personnel.

    Assurez-vous de définir votre jeton pour qu'il n'ait pas de date d'expiration et sélectionnez les autorisations suivantes lorsque vous y êtes invité dans GitHub: repo et read:user. Si votre application est installée dans une organisation, veillez également à sélectionner l'autorisation read:org.

    Après avoir généré votre jeton d'accès personnel, enregistrez-le dans un endroit sécurisé. Vous utiliserez le jeton généré dans les étapes suivantes.

Dans l'exemple suivant, l'extrait de code effectue les opérations suivantes:

  • Il configure le fournisseur Terraform pour Google

  • Crée un secret pour stocker des jetons d'accès personnels GitHub afin d'accorder des autorisations à l'agent de service Cloud Build pour accéder au secret

  • Crée une connexion GitHub

    // Configure the terraform google provider
terraform {
  required_providers {
    google = {}
   }
}

// Create a secret containing the personal access token and grant permissions to the Service Agent
resource "google_secret_manager_secret" "github_token_secret" {
    project =  PROJECT_ID
    secret_id = SECRET_ID

    replication {
        automatic = true
    }
}

resource "google_secret_manager_secret_version" "github_token_secret_version" {
    secret = google_secret_manager_secret.github_token_secret.id
    secret_data = GITHUB_PAT
}

data "google_iam_policy" "serviceagent_secretAccessor" {
    binding {
        role = "roles/secretmanager.secretAccessor"
        members = ["serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"]
    }
}

resource "google_secret_manager_secret_iam_policy" "policy" {
  project = google_secret_manager_secret.github_token_secret.project
  secret_id = google_secret_manager_secret.github_token_secret.secret_id
  policy_data = data.google_iam_policy.serviceagent_secretAccessor.policy_data
}

// Create the GitHub connection
resource "google_cloudbuildv2_connection" "my_connection" {
    project = PROJECT_ID
    location = REGION
    name = CONNECTION_NAME

    github_config {
        app_installation_id = INSTALLATION_ID
        authorizer_credential {
            oauth_token_secret_version = google_secret_manager_secret_version.github_token_secret_version.id
        }
    }
    depends_on = [google_secret_manager_secret_iam_policy.policy]
}

Où :

  • PROJECT_NUMBER est le numéro de votre projet Google Cloud.
  • SECRET_ID est l'ID de votre jeton ou de votre secret dans Secret Manager.
  • GITHUB_PAT est l'ID de votre jeton d'accès personnel dans GitHub.
  • PROJECT_ID correspond à votre ID de projet Google Cloud.
  • REGION est la région de votre connexion.
  • CONNECTION_NAME est le nom de votre connexion GitHub.
  • INSTALLATION_ID est l'ID d'installation de votre application GitHub Cloud Build. Votre ID d'installation se trouve dans l'URL de votre application GitHub Cloud Build. Dans l'URL suivante, https://github.com/settings/installations/1234567, l'ID d'installation correspond à la valeur numérique 1234567.

La connexion GitHub a bien été créée.

gcloud

Pour connecter votre hôte GitHub à l'aide d'un jeton et d'un ID d'installation obtenus lors d'une connexion précédente, procédez comme suit:

  1. Installez l'application GitHub Cloud Build sur votre compte GitHub ou dans une organisation que vous possédez.

  2. Créez un jeton d'accès personnel.

    Assurez-vous de définir votre jeton pour qu'il n'ait pas de date d'expiration et sélectionnez les autorisations suivantes lorsque vous y êtes invité dans GitHub: repo et read:user. Si votre application est installée dans une organisation, veillez également à sélectionner l'autorisation read:org.

    Après avoir généré votre jeton d'accès personnel, enregistrez-le dans un endroit sécurisé. Vous utiliserez le jeton généré dans les étapes suivantes.

  3. Stockez votre jeton dans Secret Manager de votre projet Google Cloud en exécutant la commande suivante:

        echo -n TOKEN | gcloud secrets create SECRET_NAME --data-file=-

    Où :

    • TOKEN est votre jeton d'accès personnel.
    • SECRET_NAME est le nom que vous souhaitez attribuer à votre secret dans Secret Manager.

  4. Accordez l'accès à l'agent de service Cloud Build sur le secret, où SECRET_NAME est le nom de votre secret tel qu'il est stocké dans Secret Manager:

      PROJECT_ID=$(gcloud config list --format="value(core.project)")
  PN=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")
  CLOUD_BUILD_SERVICE_AGENT="service-${PN}@gcp-sa-cloudbuild.iam.gserviceaccount.com"
  gcloud secrets add-iam-policy-binding SECRET_NAME \
    --member="serviceAccount:${CLOUD_BUILD_SERVICE_AGENT}" \
    --role="roles/secretmanager.secretAccessor"

  5. Créez votre connexion GitHub:

      gcloud builds connections create github CONNECTION_NAME \
    --authorizer-token-secret-version=projects/PROJECT_ID/secrets/SECRET_NAME/versions/1  \
    --app-installation-id=INSTALLATION_ID --region=REGION

    Où :

    • CONNECTION_NAME est le nom de votre connexion.
    • PROJECT_ID correspond à votre ID de projet Google Cloud.
    • SECRET_NAME est le nom de votre secret tel qu'il est stocké dans Secret Manager.
    • INSTALLATION_ID est l'ID d'installation de votre application GitHub. Vous le trouverez dans l'URL de votre application GitHub Cloud Build. Dans l'URL suivante, https://github.com/settings/installations/1234567, l'ID d'installation correspond à la valeur numérique 1234567.
    • REGION est la région de votre connexion.

La connexion GitHub a bien été créée.

Se connecter à un dépôt GitHub

Console

Pour connecter un dépôt GitHub à une connexion hôte, procédez comme suit:

  1. Ouvrez la page Dépôts de la console Google Cloud.

    Ouvrir la page "Dépôts"

    La page Dépôts s'affiche.

  2. En haut de la page, sélectionnez l'onglet 2nd gen (2e génération).

  3. Cliquez sur Link Repositories (Associer des dépôts) pour associer des dépôts à partir de votre connexion.

    Le panneau Connecter des dépôts s'affiche.

  4. Dans le panneau Connecter des dépôts, saisissez les informations suivantes:

    1. Connexion: sélectionnez une connexion dans le menu déroulant.

    2. Repository (Dépôt) : sélectionnez un dépôt à associer à votre connexion.

    3. Repository Name (Nom du dépôt) : saisissez le nom de votre dépôt.

      1. Generated (Généré) : sélectionnez cette option pour que Cloud Build génère automatiquement des noms de dépôt en votre nom pour les dépôts sélectionnés.

      2. Manuel: sélectionnez cette option pour spécifier manuellement les noms des dépôts sélectionnés.

        Si vous sélectionnez Manuel, vous pouvez modifier les noms des dépôts sélectionnés dans la section Noms des dépôts.

  5. Cliquez sur Link (Associer) pour associer votre dépôt à votre connexion.

Votre dépôt GitHub a bien été associé à votre connexion.

gcloud

Pour ajouter un dépôt GitHub à votre connexion, saisissez la commande suivante:

   gcloud builds repositories create REPO_NAME \
     --remote-uri=REPO_URI \
     --connection=CONNECTION_NAME --region=REGION

Où :

  • REPO_NAME est le nom du dépôt.
  • REPO_URI est le lien vers votre dépôt GitHub. Exemple : https://github.com/cloud-build/test-repo.git.
  • CONNECTION_NAME est le nom de votre connexion.
  • REGION est la région de votre connexion.

Vous avez maintenant associé un dépôt à votre connexion GitHub.

Terraform

Pour ajouter un dépôt GitHub à votre connexion, ajoutez l'extrait de code suivant à votre configuration Terraform:

    resource "google_cloudbuildv2_repository" "my_repository" {
      project = "PROJECT_ID"
      location = "REGION"
      name = "REPO_NAME"
      parent_connection = google_cloudbuildv2_connection.my_connection.name
      remote_uri = "URI"
  }

Où :

  • PROJECT_ID correspond à votre ID de projet Google Cloud.
  • REPO_NAME est le nom de votre dépôt GitHub.
  • REGION est la région de votre connexion.
  • URI est l'URI hôte de votre dépôt. Exemple : https://github.com/myuser/myrepo.git.

Vous avez maintenant associé un dépôt à votre connexion GitHub.

Étapes suivantes