Criar repositórios do GitLab Enterprise Edition em uma rede privada

O Cloud Build permite criar gatilhos para criar repositórios hospedados no GitLab Enterprise Edition, permitindo executar builds em resposta a eventos como pushes de commit ou solicitações de mesclagem associadas ao repositório do GitLab Enterprise Edition.

Nesta página, explicamos como ativar a funcionalidade de gatilho em uma instância do GitLab Enterprise Edition se ela estiver hospedada em uma rede particular.

Antes de começar

• Enable the Cloud Build, Secret Manager, Compute Engine, and Service Networking APIs.

  Enable the APIs

• Siga as instruções para conectar um host do GitLab Enterprise Edition.
• Siga as instruções para conectar um repositório do GitLab Enterprise Edition.

Criar repositórios do GitLab Enterprise Edition em uma rede particular

Se a instância do GitLab Enterprise Edition só estiver acessível em uma rede VPC, configure um serviço do Diretório de serviços e crie usando pools particulares. O projeto que contém sua rede VPC pode estar em um projeto diferente daquele que contém seu serviço do Diretório de serviços. Use as instruções a seguir para garantir que a instância esteja acessível antes de criar gatilhos:

1. Ative a API Service Directory.

2. Confirme se você tem o papel Administrador do IAM do projeto concedido ao projetoGoogle Cloud em que pretende criar o serviço do Diretório de serviços. Para saber como conceder papéis do IAM, consulte Configurar o acesso aos recursos do Cloud Build.

3. Configure um serviço do Diretório de serviços concluindo as seguintes etapas:

   1. Configure um namespace para o projeto Google Cloud .

      A região especificada no namespace precisa corresponder à região especificada na conexão do host do Cloud Build.

   2. Configure um serviço no seu namespace.

   3. Configure um endpoint para o serviço registrado.

      Ao configurar um endpoint, é obrigatório usar um endereço IP interno e especificar um número de porta HTTPS para que o Cloud Build alcance seu serviço.

   Para saber mais sobre a configuração do acesso à rede particular, consulte Configurar o acesso à rede particular. Diretório de serviços também oferece integração com serviços como balanceadores de carga e o Google Kubernetes Engine (GKE). Para saber mais, consulte Visão geral do Diretório de serviços e do balanceamento de carga ou Visão geral do Diretório de serviços para o GKE.

4. Conceda ao agente de serviço do Cloud Build acesso ao Service Directory:

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding  PROJECT_ID_CONTAINING_SERVICE_DIRECTORY \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.viewer"
   

   Substitua:

   • PROJECT_ID é o ID do projeto do Cloud Build.
   • PROJECT_ID_CONTAINING_SERVICE_DIRECTORY é o ID do seu projetoGoogle Cloud que contém o Diretório de serviços.

5. Conceda acesso do recurso de rede VPC ao agente de serviço do Cloud Build:

   export PROJECT_NUMBER=$(gcloud projects describe PROJECT_ID --format="value(projectNumber)")
   export CLOUD_BUILD_SERVICE_AGENT="service-$PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   gcloud projects add-iam-policy-binding PROJECT_ID_CONTAINING_NETWORK_RESOURCE \
      --member="serviceAccount:$CLOUD_BUILD_SERVICE_AGENT" \
      --role="roles/servicedirectory.pscAuthorizedService"
   

   Substitua:

   • PROJECT_ID é o ID do projeto do Cloud Build.
   • PROJECT_ID_CONTAINING_NETWORK_RESOURCE é o ID do seu projetoGoogle Cloud que contém o recurso de rede.

6. Use pools particulares para executar seus builds. Se você não tiver criado um pool particular, consulte criar um novo pool particular.

7. Siga as instruções para criar um gatilho do GitLab Enterprise Edition para criar repositórios hospedados em uma instância do GitLab Enterprise Edition.

   Se você incluir um certificado autoassinados ou particular ao conectar seu host do GitLab Enterprise Edition ao Cloud Build, defina o URI do host como o nome alternativo do assunto (SAN) do seu certificado.

Agora, o gatilho do GitLab Enterprise Edition invocará automaticamente os builds na instância do GitLab Enterprise Edition baseada na sua configuração.

Usar o Diretório de serviços para alcançar hosts fora do Google Cloud

O Diretório de serviços usa o intervalo de endereços IP 35.199.192.0/19 para conectar seu host fora de Google Cloud. Adicione esse intervalo a uma lista de permissões no firewall. Além disso, sua rede particular precisa ser configurada para rotear esse intervalo pela conexão do Cloud VPN ou do Cloud Interconnect.

Se a conexão usar um Cloud Router, configure-a para comunicar o intervalo à rede particular.

Para saber mais, consulte Configurar o acesso à rede particular.

Usar o Cloud Load Balancing para alcançar hosts fora de Google Cloud

Se a configuração da rede não permitir rotear o intervalo de endereços IP do Service Directory 35.199.192.0/19 para o Cloud VPN ou o Cloud Interconnect, crie um balanceador de carga usando o Cloud Load Balancing, que direciona o tráfego para seu host.

Ao criar o endpoint do Diretório de serviços, use o endereço IP da regra de encaminhamento do balanceador de carga em vez do endereço IP do host. É possível usar um balanceador de carga HTTPS interno ou um balanceador de carga interno do protocolo de controle de transmissão (TCP) ao criar o endpoint.

Ao criar seu balanceador de carga TCP, considere o seguinte:

• Apenas um grupo de endpoints de rede (NEG) de conectividade híbrida é necessário para acessar seu host.
• O balanceador de carga TCP não exige a chave privada não criptografada para seu certificado SSL.
• A configuração do Cloud VPN precisa usar o Cloud Router com roteamento dinâmico global. Se o Cloud VPN usar roteamento estático, use um proxy que use o Cloud Service Mesh. Para saber mais, consulte Configurar serviços de borda de rede para implantações híbridas.

Para saber mais sobre como criar um balanceador de carga HTTPS, consulte Configurar um balanceador de carga de aplicativo interno com conectividade híbrida. Para saber mais sobre como criar um balanceador de carga TCP, consulte Configurar um balanceador de carga de rede de proxy interno regional com conectividade híbrida.

Compartilhamento de dados

Os dados enviados ao GitLab Enterprise Edition pelo Cloud Build ajudam a identificar gatilhos por nome e ver os resultados da versão nos repositórios do GitLab Enterprise Edition.

Os seguintes dados são compartilhados entre o Cloud Build e o GitLab Enterprise Edition:

• ID do projetoGoogle Cloud
• Nome do gatilho

A seguir

• Saiba como gerenciar gatilhos de build.
• Saiba como fazer implantações azul-verde no Compute Engine.