Créer des dépôts à partir de GitLab Enterprise Edition dans un réseau privé

Cloud Build vous permet de créer des déclencheurs pour compiler à partir de dépôts hébergés sur GitLab Enterprise Edition. Vous pouvez ainsi exécuter des compilations en réponse à des événements tels que des transferts de commits ou des demandes de fusion associés à votre dépôt GitLab Enterprise Edition.

Cette page explique comment activer la fonctionnalité de déclencheur sur une instance GitLab Enterprise Edition si votre instance est hébergée dans un réseau privé.

Avant de commencer

• Enable the Cloud Build, Secret Manager, Compute Engine, and Service Networking APIs.

  Enable the APIs

• Suivez les instructions pour connecter un hôte GitLab Enterprise Edition.
• Suivez les instructions pour connecter un dépôt GitLab Enterprise Edition.

Créer des dépôts à partir de GitLab Enterprise Edition dans un réseau privé

Si votre instance GitLab Enterprise Edition n'est accessible que dans un réseau VPC, vous devez configurer un service Annuaire des services et compiler à l'aide de pools privés. Le projet contenant votre réseau VPC peut exister dans un projet différent de celui contenant votre service Annuaire des services. Suivez les instructions ci-dessous pour vous assurer que votre instance est accessible avant de créer des déclencheurs :

1. Activez l'API Service Directory.

2. Assurez-vous que le rôle Administrateur de projet IAM vous a été attribué dans le projetGoogle Cloud dans lequel vous souhaitez créer votre service Annuaire des services. Pour savoir comment attribuer des rôles IAM, consultez Configurer l'accès aux ressources Cloud Build.

3. Configurez un service Annuaire des services en procédant comme suit :

   1. Configurez un espace de noms pour votre projet Google Cloud .

      La région que vous spécifiez dans votre espace de noms doit correspondre à celle que vous spécifiez dans votre connexion hôte Cloud Build.

   2. Configurez un service dans votre espace de noms.

   3. Configurez un point de terminaison pour votre service enregistré.

      Lorsque vous configurez un point de terminaison, vous devez utiliser une adresse IP interne et spécifier un numéro de port HTTPS pour que Cloud Build puisse accéder à votre service.

   Pour en savoir plus sur la configuration de l'accès au réseau privé, consultez Configurer l'accès au réseau privé. L'Annuaire des services s'intègre également à des services tels que les équilibreurs de charge et Google Kubernetes Engine (GKE). Pour en savoir plus, consultez Présentation de l'annuaire des services et de l'équilibrage de charge ou Présentation de l'annuaire des services pour GKE.

4. Accordez à l'agent de service Cloud Build l'accès à Service Directory :

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding  PROJECT_ID_CONTAINING_SERVICE_DIRECTORY \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.viewer"
   

   Remplacez les éléments suivants :

   • PROJECT_ID est l'ID de votre projet Cloud Build.
   • PROJECT_ID_CONTAINING_SERVICE_DIRECTORY est l'ID de votre projetGoogle Cloud contenant votre Annuaire des services.

5. Accordez l'accès aux ressources du réseau VPC à l'agent de service Cloud Build :

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding PROJECT_ID_CONTAINING_NETWORK_RESOURCE \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.pscAuthorizedService"
   

   Remplacez les éléments suivants :

   • PROJECT_ID est l'ID de votre projet Cloud Build.
   • PROJECT_ID_CONTAINING_NETWORK_RESOURCE est l'ID de votre projetGoogle Cloud contenant votre ressource réseau.

6. Utilisez des pools privés pour exécuter vos compilations. Si vous n'avez pas créé de pool privé, consultez Créer un pool privé.

7. Suivez les instructions pour créer un déclencheur GitLab Enterprise Edition afin de compiler les dépôts hébergés sur une instance GitLab Enterprise Edition.

   Si vous incluez un certificat autosigné ou privé lorsque vous connectez votre hôte GitLab Enterprise Edition à Cloud Build, vous devez définir l'URI de l'hôte comme nom alternatif de sujet (SAN) de votre certificat.

Votre déclencheur GitLab Enterprise Edition appelle désormais automatiquement les compilations sur votre instance GitLab Enterprise Edition en fonction de votre configuration.

Utiliser l'Annuaire des services pour accéder aux hôtes en dehors de Google Cloud

Annuaire des services utilise la plage d'adresses IP 35.199.192.0/19 pour connecter votre hôte en dehors de Google Cloud. Vous devez ajouter cette plage à une liste d'autorisation dans votre pare-feu. De plus, votre réseau privé doit être configuré pour acheminer cette plage via la connexion Cloud VPN ou Cloud Interconnect.

Si votre connexion utilise Cloud Router, vous pouvez la configurer pour communiquer la plage à votre réseau privé.

Pour en savoir plus, consultez Configurer l'accès à un réseau privé.

Utiliser Cloud Load Balancing pour accéder à des hôtes en dehors de Google Cloud

Si la configuration de votre réseau ne vous permet pas de router la plage d'adresses IP Service Directory 35.199.192.0/19 vers Cloud VPN ou Cloud Interconnect, vous pouvez créer un équilibreur de charge à l'aide de Cloud Load Balancing, qui redirige le trafic vers votre hôte.

Lorsque vous créez le point de terminaison Annuaire des services, veillez à utiliser l'adresse IP de la règle de transfert de l'équilibreur de charge au lieu de l'adresse IP de votre hôte. Vous pouvez utiliser un équilibreur de charge HTTPS interne ou un équilibreur de charge TCP (Transmission Control Protocol) interne lorsque vous créez votre point de terminaison.

Lorsque vous créez votre équilibreur de charge TCP, tenez compte des points suivants :

• Seul un groupe de points de terminaison du réseau (NEG) de connectivité hybride est nécessaire pour accéder à votre hôte.
• L'équilibreur de charge TCP ne nécessite pas la clé privée non chiffrée de votre certificat SSL.
• Votre configuration Cloud VPN doit utiliser Cloud Router avec le routage dynamique mondial. Si votre Cloud VPN utilise le routage statique, vous pouvez utiliser un proxy qui utilise Cloud Service Mesh à la place. Pour en savoir plus, consultez Configurer des services de périphérie réseau pour les déploiements hybrides.

Pour savoir comment créer un équilibreur de charge HTTPS, consultez Configurer un équilibreur de charge d'application interne avec une connectivité hybride. Pour en savoir plus sur la création d'un équilibreur de charge TCP, consultez Configurer un équilibreur de charge réseau proxy interne régional avec une connectivité hybride.

Partage des données

Les données envoyées à GitLab Enterprise Edition depuis Cloud Build vous aident à identifier les déclencheurs par nom et à afficher les résultats de compilation dans vos dépôts GitLab Enterprise Edition.

Les données suivantes sont partagées entre Cloud Build et GitLab Enterprise Edition :

• ID du projet :Google Cloud
• Nom du déclencheur

Étapes suivantes

• Découvrez comment gérer les déclencheurs de compilation.
• Découvrez comment effectuer des déploiements bleu-vert sur Compute Engine.