Questa pagina è stata tradotta dall'API Cloud Translation.

Accesso a GitHub da una build tramite chiavi SSH

Questo tutorial mostra come utilizzare Secret Manager con Cloud Build per accedere ai repository privati GitHub da una build. Secret Manager è un servizio che archivia in modo sicuro chiavi API, password e altri dati sensibili. Google Cloud

Obiettivi

Configura una chiave SSH di GitHub.
Aggiungi la chiave SSH pubblica alle chiavi di deployment di un repository privato.
Archivia la chiave SSH privata in Secret Manager.
Invia una build che accede alla chiave da Secret Manager e la utilizza per accedere al repository privato.

Costi

In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:

Secret Manager
Cloud Build

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi.

I nuovi Google Cloud utenti potrebbero avere diritto a una prova gratuita.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud Build and Secret Manager APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud Build and Secret Manager APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Facoltativo. Completa la guida rapida di Secret Manager per acquisire familiarità con questo prodotto.

Crea una chiave SSH

Apri una finestra del terminale.
Crea una nuova directory denominata workingdir e accedi alla directory:
```
mkdir workingdir
cd workingdir
```
Crea una nuova chiave SSH GitHub, dove github-email è il tuo indirizzo email GitHub:
```
ssh-keygen -t rsa -b 4096 -N '' -f id_github -C github-email
```
Questo comando crea una nuova chiave SSH workingdir/id_github senza passphrase. Cloud Build non può utilizzare la tua chiave SSH se è protetta da una passphrase.

Archivia la chiave SSH privata in Secret Manager

Quando crei una chiave SSH, nel tuo ambiente viene creato un file id_github. Poiché chiunque può autenticarsi al tuo account con questo file, devi archiviarlo in Secret Manager prima di utilizzarlo in una build.

Per archiviare la chiave SSH in Secret Manager:
1. Vai alla pagina Secret Manager nella console Google Cloud :
  
  Vai alla pagina Secret Manager
2. Nella pagina Secret Manager, fai clic su Crea secret.
3. Nella pagina Crea secret, in Nome, inserisci un nome per il secret.
4. Nel campo Valore secret, fai clic su Carica e carica il file workingdir/id_github.
5. Lascia invariata la sezione Regioni.
6. Fai clic sul pulsante Crea secret.

Il file id_github verrà caricato in Secret Manager.

Aggiungi la chiave SSH pubblica alle chiavi di deployment del repository privato

Accedi a GitHub.
Nell'angolo in alto a destra, fai clic sulla tua foto del profilo, quindi fai clic su Il tuo profilo.
Nella pagina del tuo profilo, fai clic su Repository, poi sul nome del tuo repository.
Nel repository, fai clic su Impostazioni.
Nella barra laterale, fai clic su Deploy Keys (Chiavi di deployment), quindi su Add deploy key (Aggiungi chiave di deployment).
Fornisci un titolo e incolla la chiave SSH pubblica da workingdir/id_github.pub.
Seleziona Consenti accesso in scrittura se vuoi che questa chiave abbia accesso in scrittura al repository. Una chiave di deployment con accesso in scrittura consente a un deployment di eseguire il push nel repository.
Fai clic su Aggiungi chiave.
Elimina la chiave SSH dal disco:
```
rm id_github*
```

Concedi le autorizzazioni

Devi concedere l'autorizzazione per accedere a Secret Manager al service account che utilizzi per la build.

Apri la pagina Impostazioni di Cloud Build:

Apri la pagina Impostazioni di Cloud Build
Dall'elenco a discesa, seleziona il account di servizio di cui vuoi modificare i ruoli.
Imposta lo stato del ruolo Secret Manager Secret Accessor su Abilita.

Aggiungi la chiave SSH pubblica agli host noti

La maggior parte delle macchine contiene un file denominato known_hosts, che contiene chiavi note per host remoti. Le chiavi vengono spesso raccolte dagli host remoti quando ci si connette per la prima volta, ma possono anche essere aggiunte manualmente. Le chiavi in questo file vengono utilizzate per verificare l'identità dell'host remoto e proteggere dal furto di identità.

Affinché Cloud Build si connetta a GitHub, devi aggiungere la chiave SSH pubblica al file known_hosts nell'ambiente di build di Cloud Build. Puoi farlo aggiungendo la chiave a un file known_hosts.github temporaneo e poi copiando i contenuti di known_hosts.github nel file known_hosts nell'ambiente di build di Cloud Build.

Nella directory workingdir, crea un file denominato known_hosts.github e aggiungi la chiave SSH pubblica a questo file:

ssh-keyscan -t rsa github.com > known_hosts.github

Nella sezione successiva, quando configuri la build, aggiungerai istruzioni nel file di configurazione di Cloud Build per copiare i contenuti di known_hosts.github nel file known_hosts nell'ambiente di build di Cloud Build.

Configurare la build

Per configurare la build:

Crea un file di configurazione della build denominato cloudbuild.yaml con due passaggi: il primo passaggio gcloud accede alla chiave SSH in Secret Manager e la salva come id_rsa in un volume denominato ssh, insieme a una copia di known_hosts.github. Il volume viene utilizzato per rendere persistenti i file durante i passaggi di build. Il secondo passaggio git utilizza la chiave in id_rsa per connettersi al repository all'indirizzo git@github.com:git-username/git-repository.

# Access the id_github file from Secret Manager, and setup SSH
steps:
- name: 'gcr.io/cloud-builders/git'
  secretEnv: ['SSH_KEY']
  entrypoint: 'bash'
  args:
  - -c
  - |
    echo "$$SSH_KEY" >> /root/.ssh/id_rsa
    chmod 400 /root/.ssh/id_rsa
    cp known_hosts.github /root/.ssh/known_hosts
  volumes:
  - name: 'ssh'
    path: /root/.ssh

# Clone the repository
- name: 'gcr.io/cloud-builders/git'
  args:
  - clone
  - --recurse-submodules
  - git@github.com:GIT_USERNAME/GIT_REPOSITORY
  volumes:
  - name: 'ssh'
    path: /root/.ssh

availableSecrets:
  secretManager:
  - versionName: projects/PROJECT_ID/secrets/SECRET_NAME/versions/latest
    env: 'SSH_KEY'

Sostituisci i valori segnaposto nei comandi precedenti con i seguenti:

GIT_USERNAME: il nome utente GitHub del proprietario del repository.
GIT_REPOSITORY: il nome del repository GitHub a cui vuoi accedere.
PROJECT_ID: l'ID del progetto Google Cloud in cui hai archiviato i tuoi secret.
SECRET_NAME: il nome del secret che hai creato in Secret Manager.

Per informazioni sulle stringhe multiline YAML utilizzate nello snippet precedente, consulta YAML multiline.

Invia la build

Per inviare la build, esegui questo comando:

gcloud builds submit --config=cloudbuild.yaml .

L'output è simile al seguente:

Creating temporary tarball archive of 3 file(s) totalling 4.1 KiB before compression.
Uploading tarball of [.] to [gs://[PROJECT-ID]_cloudbuild/source/1504288639.02---.tgz]
Created [https://cloudbuild.googleapis.com/v1/projects/[PROJECT-ID]/builds/871b68bc---].
Logs are available at [https://console.cloud.google.com/cloud-build/builds/871b68bc---?project=[PROJECT-ID]].
----------------------------- REMOTE BUILD OUTPUT ------------------------------
starting build "871b68bc-cefc-4411-856c-2a2b7c7d2487"

FETCHSOURCE
Fetching storage object: gs://[PROJECT-ID]_cloudbuild/source/1504288639.02---.tgz#1504288640827178
Copying gs://[PROJECT-ID]_cloudbuild/source/1504288639.02---.tgz#1504288640827178...
/ [1 files][  3.9 KiB/  3.9 KiB]
Operation completed over 1 objects/3.9 KiB.
BUILD
Step #0: Already have image (with digest): gcr.io/cloud-builders/gcloud
Starting Step #0
Finished Step #0
Step #1: Already have image (with digest): gcr.io/cloud-builders/git
Starting Step #1
Step #1: # github.com SSH-2.0-libssh_0.7.0
Finished Step #1
Step #2: Already have image (with digest): gcr.io/cloud-builders/git
Starting Step #2
Step #2: Cloning into '[REPOSITORY-NAME]'...
Step #2: Warning: Permanently added the RSA host key for IP address 'XXX.XXX.XXX.XXX' to the list of known hosts.
Finished Step #2
PUSH
DONE
-----------------------------------------------------------------------------------------------------------------

ID                                    CREATE_TIME                DURATION  SOURCE                                                                              IMAGES  STATUS
871b68bc-cefc-4411-856c-2a2b7c7d2487  XXXX-XX-XXT17:57:21+00:00  13S       gs://[PROJECT-ID]_cloudbuild/source/1504288639.02---.tgz  -                                 SUCCESS

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina il progetto

Il modo più semplice per eliminare la fatturazione è quello di eliminare il progetto creato per il tutorial.

Per eliminare il progetto:

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività descritte in questo documento, quando lo elimini, elimini anche tutto il lavoro che hai svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un URL appspot.com, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, puoi riutilizzare i progetti ed evitare così di superare i limiti di quota.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Elimina la chiave di deployment dal repository

Su GitHub, vai alla pagina principale del repository.
Sotto il nome del repository, fai clic su Impostazioni.
Nella barra laterale sinistra, fai clic su Deploy keys.
Nella pagina Deploy keys, cerca le chiavi di deployment associate al tuo repository e fai clic su Elimina.

Passaggi successivi

Scopri come creare trigger GitHub.
Scopri di più sull'utilizzo delle risorse criptate in Cloud Build.
Scopri di più su Secret Manager.