Tagged: gitlab

03/02/2024

Gitlab, Helm Chart CI 구축

Gitlab 은 Package Registry 라고 Helm 저장소를 지원한다. Helm Chart 를 만들고 이를 자동으로 빌드해서 Helm 저장소로 Push 하도록 만들어 보자.

Gitlab-runner

Gitlab 은 빌드를 위해서 Runner 라는 별도의 패키지를 소프트웨어를 제공한다. 이렇게 하면 서버를 여러대 둘 수 있고 각 빌드별 특성에 맞는 설정을 가진 Runner 를 셋업할 수 있다.

Helm 을 위해서는 당연히 helm 명령어가 설치되어 있어야 Runner 가 Helm 을 만들때 이용할 수 있다.

]$ curl -fsSLO https://get.helm.sh/helm-v3.14.2-linux-amd64.tar.gz
]$ tar xvzf helm-v3.14.2-linux-amd64.tar.gz 
]$ sudo mv helm /usr/local/bin/; sudo chmod +x /usr/local/bin/helm

]$ curl -fsSLO https://get.helm.sh/helm-v3.14.2-linux-amd64.tar.gz

]$ tar xvzf helm-v3.14.2-linux-amd64.tar.gz

]$ sudo mv helm /usr/local/bin/; sudo chmod +x /usr/local/bin/helm

gitlab-ci.yml

Gitlab 은 CI 를 위해서 gitlab-ci.yml 파일을 이용한다. 이 파일이 있으면 자동으로 인식해 CI 를 실행해 준다. 이 파일에서 해줘야 할 것은 다음과 같다.

git 소스코드 clone
helm package 제작
gitlab 의 package registry 에 push

여기서 한가지 짚고 넘어가야하는 것이 Gitlab-Runner 는 Gitlab 에 이름으로 등록을 하게 된다. 이것을 이용하기 위해서는 gitlab-ci.yml 에서 지정을 해줘야 한다. 뼈대는 대략 다음과 같다.

stages:
  - package
  - registry

helm-package:
  stage: package
  scripts:
    - ""
  artifacts:
    paths:
      - "*.tgz"
  after_script:
    - echo 'build success!'
  tags:
    - java-runner
  only:
    - main

helm-registry:
  stage: registry
  dependencies: 
    - helm-package
  scripts:
    - ""
  tags:
    - java-runner
  only:
    - main

stages:

- package

- registry

helm-package:

stage: package

scripts:

- ""

artifacts:

paths:

- "*.tgz"

after_script:

- echo 'build success!'

tags:

- java-runner

only:

- main

helm-registry:

stage: registry

dependencies:

- helm-package

scripts:

- ""

tags:

- java-runner

only:

- main

기본적인 틀은 위와 같다. only 는 git 브랜치가 main 을 대상으로 한다는 것을 지정한다. tags 는 Gitlab-Runner 를 말한다. 어떤 Runner 를 사용할지는 빌드환경에 따라 다르다. 위의 경우에는 java-runner 인데, Runner 의 타입이 shell 로 되어 있다. 그래서 앞에서 helm 명령어를 설치해줬다.

이제 stage:package 를 완성해야 한다. 다음과 같이 한다.

helm-package:
  stage: package
  script:
    - "/usr/local/bin/helm package ."
  artifacts:
    paths:
      - "*.tgz"
  after_script:
    - echo 'build success!'
  tags:
    - java-runner
  only:
    - main

helm-package:

stage: package

script:

- "/usr/local/bin/helm package ."

artifacts:

paths:

- "*.tgz"

after_script:

- echo 'build success!'

tags:

- java-runner

only:

- main

기본뼈대에서 script 부분에 helm 을 패키징하기 위한 명령어를 넣으면 끝난다.

다음으로 stage:registry 부분은 다음과 같다.

helm-registry:
  stage: registry
  dependencies: 
    - helm-package
  before_script:
    - PACKAGE=`ls *.tgz`
  script:
    - 'curl --request POST --form "chart=@${PACKAGE}" --user gitlab-ci-token:$CI_JOB_TOKEN "${CI_API_V4_URL}/projects/${CI_PROJECT_ID}/packages/helm/api/stable/charts"'
  tags:
    - java-runner
  only:
    - main

helm-registry:

stage: registry

dependencies:

- helm-package

before_script:

- PACKAGE=`ls *.tgz`

script:

- 'curl --request POST --form "chart=@${PACKAGE}" --user gitlab-ci-token:$CI_JOB_TOKEN "${CI_API_V4_URL}/projects/${CI_PROJECT_ID}/packages/helm/api/stable/charts"'

tags:

- java-runner

only:

- main

package 를 하고 난후에 패키징된 파일의 확장자는 tgz 이다. 이것을 Shell 환경변수로 만들고 script 명령어에서 사용할 수 있다. curl 명령어중에서 –user 부분에 gitlab-ci-token 과 $CI_JOB_TOKEN 은 이미 정의된 사용자와 변수다. 이것은 Gitlab 에서 별도로 생성하지 않는다. 이미 있는 것이다. URL 에 있는 CI_API_V4_URL 과 CI_PROJECT_ID 도 이미 정의된 변수다. 알아서 맞게 파싱을 해준다.

02/18/2024

Gitlab, Helm 저장소 사용하기

Gitlab 은 아주 좋은 툴이다. 단순하게 git 저장소 뿐만 아니라 Container 저장소, Package 저장소를 제공한다. 여기서 Package 저장소가 Helm chart 저장소이다. 이 문서는 Gitlab 에서 Helm 저장소를 이용하는 방법에 대해서 다룬다.

Project

Gitlab 은 기본적으로 소스코드를 저장하기 위한 카테고리로 Project 를 만든다. 이렇게 하는 이유는 Gitlab 은 다양한 저장소 타입을 제공하기 때문에 딱히 Git 저장소 라고 불리기도 애매하기 때문이다. Gitlab 은 Git 명령어를 이용하지만 저장소는 Git, Container, Package, Terraform states, Terraform modules 등을 제공한다.

여기서 Helm 저장소를 Package Registry 로 부른다. 한가지 짚고 넘어가야하는 것은 Package Registry 는 소스코드를 저장하는 것이 아닌 Helm 의 Package 형태를 그대로 저장하는 것이다. Helm Package 라는 것이 Helm template 의 텍스트 파일을 압축한 형태의 결과물이고 이를 수정하기 위해서는 Helm chart 의 소스코드 형태로 가지고 있어야 한다.

Gitlab 은 텍스트 형태의 Git 저장소, Package Registry 를 하나의 프로젝트에서 관리할 수 있기 때문에 Helm Chart 를 위한 저장소 두개를 한꺼번에 운영할 수 있게 된다.

helm-employee-role 프로젝트

예를들어 설명하겠다. Gitlab 에서 helm-employee-role 이라는 프로젝트를 생성한다. 그리고 helm chart template 을 Git 코드 저장소에 저장을 한다. 이렇게 되면 다음과 같이 보인다.

Code Repository 에는 Helm Chart 의 텍스트를 저장하게 된다. 이것은 Helm Chart 의 소스코드라고 부르는 형태로 Package Registry 와는 다른 것이다.

이제 Package Registry 를 사용해 보자.

Personal Access Token

Gitlab 에는 Access Token 이 존재한다. 이는 Personal, Project, CI/CD Access Token 으로 세가지 형태가 있다. 각 Access Token 은 용도에 맞게 사용하게 되는데, 아무래도 Personal Access Token 이 권한 제약이 많다. 꼭 필요한 권한만을 가지고 있는 것이고, 보안상 최소한의 권한만을 부여한다는 방침을 따른다면 Personal Access Token 이 제일 적합하다.

Gitlab 에 로그인하고 ‘User settings -> Access Tokens’ 에서 토큰을 발행할 수 있다. 이때 스코프(Scope) 라고해서 Token 의 권한을 부여해야하는데, api 만 체크해주면 된다.

Publish a package

Gitlab 공식문서에는 Package Registry 에 Helm 을 올리는 것을 Publish 라고 표현하고 있다. 다음과 같은 방법으로 publish 한다.

]$ curl --request POST \
     --form 'chart=@employee-role-0.1.0.tgz' \
     --user systemv:glpat--W9yNk-99PLCrE8vrgSx \
     https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/api/stable/charts
{"message":"201 Created"}

]$ curl --request POST \

--form 'chart=@employee-role-0.1.0.tgz' \

--user systemv:glpat--W9yNk-99PLCrE8vrgSx \

https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/api/stable/charts

{"message":"201 Created"}

결과가 성공적으로 생성이되었음을 알려주고 있다. 실제로 잘 되었는지를 Gitlab 웹 화면을 통해서 보면 다음과 같다.

위와 같이 나온다. 클릭해서 들어가면 다음과 같이 보인다.

아직 처음이라 별 내용은 보이지 않는다. 한가지, 저장되는 형태가 helm package 형태라는 것.

Gitlab 에 Helm 저장소 사용하기

Gitlab 의 Package Registry 에 Publish 가 되었으니 이제, 이것을 Helm 에서 사용해 봐야 한다.

]$ helm repo add --username systemv --password glpat--W9yNk-99PLCrE8vrgSx helm-employee-role https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/stable
"helm-employee-role" has been added to your repositories
]$ helm repo list
NAME                    URL                                                                                                            
helm-employee-role      https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/stable
]$ helm search repo helm
NAME                                    CHART VERSION   APP VERSION     DESCRIPTION                
helm-employee-role/employee-role        0.1.0           1.16.0          A Helm chart for Kubernetes
]$ helm install employee-role helm-employee-role/employee-role --version 0.1.0
NAME: employee-role
LAST DEPLOYED: Sun Feb 18 22:32:50 2024
NAMESPACE: default
STATUS: deployed
REVISION: 1
TEST SUITE: None
]$ helm list
NAME            NAMESPACE       REVISION        UPDATED                                 STATUS          CHART                   APP VERSION
employee-role   default         1               2024-02-18 22:32:50.463004041 +0900 KST deployed        employee-role-0.1.0     1.16.0

]$ helm repo add --username systemv --password glpat--W9yNk-99PLCrE8vrgSx helm-employee-role https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/stable

"helm-employee-role" has been added to your repositories

]$ helm repo list

NAME URL

helm-employee-role https://gitlab.systemv.local:8001/api/v4/projects/23/packages/helm/stable

]$ helm search repo helm

NAME CHART VERSION APP VERSION DESCRIPTION

helm-employee-role/employee-role 0.1.0 1.16.0 A Helm chart for Kubernetes

]$ helm install employee-role helm-employee-role/employee-role --version 0.1.0

NAME: employee-role

LAST DEPLOYED: Sun Feb 18 22:32:50 2024

NAMESPACE: default

STATUS: deployed

REVISION: 1

TEST SUITE: None

]$ helm list

NAME NAMESPACE REVISION UPDATED STATUS CHART APP VERSION

employee-role default 1 2024-02-18 22:32:50.463004041 +0900 KST deployed employee-role-0.1.0 1.16.0

위와같이 helm 을 사용할때에 Gitlab 저장소를 이용할 수 있다.

여기서 한가지 더, Gitlab 의 Package Registry 는 OCI 타입의 저장소가 아니다. 최근의 Harbor 의 경우, Helm Chart 저장소는 OCI 타입을 지원한다. OCI 타입을 Helm 에서 사용할 경우에 helm repo 명령어를 사용하지 않는다.

12/30/2023

Gitlab, CI/CD 변수가 사용되지 않을때

Gitlab 에서 Settings -> CI/CD -> Variables 에서 CI/CD 에서 사용가능한 변수를 지정할 수 있다. 여기서 지정한 변수는 CI/CD 에서 활용되며 CI/CD 진행할때 운영체제의 환경변수로 자동 지정된다. 따라서 빌드시에 운영체제에 환경변수를 활용하고자 한다면 여기서 변수를 설정하면 된다.

AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY 등은 운영체제 환경변수로 지정하면 AWS API 통신이 가능해진다. 소스코드에 하드코딩하는 것보다야 낫다.

Merge Request Pipeline 에서 변수가 활용 불가 문제

그런데, Merge Request Pipeline 에서는 이 변수가 적용되지 않았다. TF_USERNAME 이 적용되어야 하는데, 적용되지 않았다.

이는 CI/CD 변수의 Protect 기능 때문이다. 위에 스크린샷을 보면 변수 아래에 Protected 라고 적혀 있다. Gitlab 문서에는 다음과 같이 기술 되어 있다.

Protect a CI/CD variable

You can configure a project, group, or instance CI/CD variable to be available only to pipelines that run on protected branches or protected tags.

Merged results pipelines, which run on a temporary merge commit, not a branch or tag, do not have access to these variables.
Merge request pipelines, which do not use a temporary merge commit, can access these variables if the branch is a protected branch.

이런 제약을 없애기 위해서는 Protect 를 해제 하면 되는데, 변수 설정에서 체크 박스를 해제하면 된다. 기본값은 체크박스 체크된 상태이다.

“Protect variabe” 체크를 해제해주면 된다. 이렇게 되면 protected branches, protected tags 가 아니여도 변수가 적용된다.

12/30/2023

Gitlab, Docker 빌드시 x509: certificate signed by unknown authority 오류 해결

Gitlab 은 CI/CD 를 내장하고 있다. 이는 Gitlab-runner 를 통해서 이루어진다. gitlab-ci.yaml 파일을 이용해 CI/CD 명세를 작성하면 Gitlab-Runner 가 이 파일을 읽어 실행해 준다. Gitlab-Runner 에는 타입이 존재하는데, docker 로 할 경우에 Docker 를 이용해서 CI/CD 를 진행하게 된다. 다시말해서, Docker 를 이용해서 Container 안에서 빌드, 테스트, 배포가 이루어진다는 것이다.

Private Certificate

문제는 사설 인증서다. Docker 컨테이너내에서 외부 접속을 하기 위해서 HTTPS 통신이 필요한데, 하필이면 HTTPS 가 사설 인증서를 사용한 것이라면 다음과 같은 오류가 발생한다.

$ gitlab-terraform validate
Error refreshing state: Failed to get state: GET https://gitlab.systemv.local:8001/api/v4/projects/21/terraform/state/default giving up after 1 attempt(s): Get "https://gitlab.systemv.local:8001/api/v4/projects/21/terraform/state/default": x509: certificate signed by unknown authority

$ gitlab-terraform validate

Error refreshing state: Failed to get state: GET https://gitlab.systemv.local:8001/api/v4/projects/21/terraform/state/default giving up after 1 attempt(s): Get "https://gitlab.systemv.local:8001/api/v4/projects/21/terraform/state/default": x509: certificate signed by unknown authority

Docker 컨테이너 안이라 사설 인증서에 대한 인증서를 붙여놔야 하는데, 어떻게 해야하는 문제가 있다.

Self-signed certificates or custom Certification Authorities

다음의 Gitlab 문서에 이에 대한 내용이 나와 있다.

Self-signed certificates or custom Certification Authorities

문서가 조금 부족한 감이 있는데, 두가지 절차가 필요하다.

Gitlab-Runner 에 볼륨 마운트

Pipeline 에서 사용할 Gitlab-Runner 에서, 당연히 Docker 타입, 볼륨 마운트 설정을 해준다. 이 설정은 Docker 명령어의 -v 옵션과 동일하다. 볼륨 마운트를 할때에 ca.crt (Root CA 인증서) 파일을 마운트 해준다.

  [runners.docker]
    tls_verify = false
    image = "maven:3.8.4-openjdk-8-slim"
    privileged = false
    disable_entrypoint_overwrite = false
    oom_kill_disable = false
    disable_cache = false
    volumes = ["/etc/docker/certs.d/regi.gitlab.systemv.local/ca.crt:/tmp/ca.crt","/cache"]

[runners.docker]

tls_verify = false

image = "maven:3.8.4-openjdk-8-slim"

privileged = false

disable_entrypoint_overwrite = false

oom_kill_disable = false

disable_cache = false

volumes = ["/etc/docker/certs.d/regi.gitlab.systemv.local/ca.crt:/tmp/ca.crt","/cache"]

Pipeline 이 실행되고 Docker 컨테이너가 시작되면 설정한 볼륨을 마운트 해준다. 그러면 Docker 컨테이너 내에 /tmp/ca.crt 파일이 존재하게 된다.

이제 Docker 컨테이너에 ca.crt 파일을 설치해주면 된다.

gitlab-ci.yaml 에 job 내에 ca.crt 설치

이제 gitlab-ci.yaml 파일에 job 내에 ca.crt 를 설치해 준다. 다음과 같다.

build:
  before_script:
    - apk update >/dev/null
    - apk add ca-certificates > /dev/null
    - rm -rf /var/cache/apk/*

    # The trick is the following: 
    - cp /tmp/ca.crt /usr/local/share/ca-certificates/ca.crt
    - update-ca-certificates --fresh > /dev/null

build:

before_script:

- apk update >/dev/null

- apk add ca-certificates > /dev/null

- rm -rf /var/cache/apk/*

# The trick is the following:

- cp /tmp/ca.crt /usr/local/share/ca-certificates/ca.crt

- update-ca-certificates --fresh > /dev/null

위 내용은 Alpine 이미지를 사용할 경우, ca.crt 파일을 설치하는 방법을 기술한 것이다. 아래 두번째에 보면 Gitlab-Runner 설정에서 마운트 되었던, /tmp/ca.crt 파일을 Alpine 이 CA 설정 디렉토리로 복사해주고 있다.

이렇게 하면 build 단계에서 인증서를 설치하게 된다.

결론

Gitlab-Runner 를 사용하다보면 대부분 Docker 기반으로 빌드,테스트,배포를 하게 된다. Shell 타입도 Docker 기반일 경우에 별도의 프로그램 설치와 설정이 필요 없기 때문이다. 하지만 사설 인증서를 사용할 경우에 통신이 되지 않을 수도 있는데, 위와 같은 방법으로 해결 할 수 있다.

12/29/2023

Git 브랜치 목록 동기화

Git 를 사용할때에 원격과 로컬의 브랜치를 동기화되서 동작한다. 그런데, 원격 브랜치를 삭제하고 난후에 로컬 브랜치를 보면 동기화 되지 않는다.

$ git branch -a
* main
  remotes/origin/1-git-ignore
  remotes/origin/HEAD -> origin/main
  remotes/origin/docker-ci
  remotes/origin/main
$ git branch -r
  origin/1-git-ignore
  origin/HEAD -> origin/main
  origin/docker-ci
  origin/main

$ git branch -a

* main

remotes/origin/1-git-ignore

remotes/origin/HEAD -> origin/main

remotes/origin/docker-ci

remotes/origin/main

$ git branch -r

origin/1-git-ignore

origin/HEAD -> origin/main

origin/docker-ci

origin/main

위 예제를 보면 원격 브랜치가 여러개 보인다. 하지만 실제 원격 브랜치를 보면 main 빼고는 전부 삭제된 상태 이다. 이럴때는 다음과 같이 하면 된다.

$ git fetch -p
Username for 'https://gitlab.systemv.local:8001': systemv
Password for 'https://systemv@gitlab.systemv.local:8001': 
From https://gitlab.systemv.local:8001/infrateam/terraform_state
 - [deleted]         (none)     -> origin/1-git-ignore
 - [deleted]         (none)     -> origin/docker-ci

$ git fetch -p

Username for 'https://gitlab.systemv.local:8001': systemv

Password for 'https://systemv@gitlab.systemv.local:8001':

From https://gitlab.systemv.local:8001/infrateam/terraform_state

- [deleted] (none) -> origin/1-git-ignore

- [deleted] (none) -> origin/docker-ci

위와같이 로컬에 원격 브랜치 목록이 실제 원격 브랜치 목록과 동기화 되었다.

12/29/2023

GitLab, Merge Request 일때만 Auto DevOps 되도록 하기

Gitlab 은 매우 강력한 툴이다. 이거 하나면 다 된다. 문제는 다루기가 여간 쉽지가 않다는데 있다. 많은 것을 알고 있는 상태라면 Gitlab 을 손댈 필요가 없지만 그것을 몰랐을 때에는 예기치 않은 반응과 결과를 보게 된다.

Gitlab 은 CI/CD Pipeline 을 지원하는데, 이에 대한 설정은 Auto DevOps 에서 하게 된다. 정확하게 말하면 CI/CD Pipeline 을 Auto DevOps 라고 부른다고 이해해도 된다. 각 프로젝트 마다 Auto DevOps 설정이 존재한다. 이 설정의 기본은 다음과 같다.

“Default Auto DevOps pipeline” 이 체크되어 있는데, 아래 설명에 따라 별도의 CI 설정이 없을 경우에 Auto DevOps 를 실행한다는 의미다. 이 말은 저장소에 .gitlab-ci.yaml 파일이 존재할 경우에 무조건 실행 된다는 것을 의미한다.

이렇게 되면 CI/CD 를 실행하는데 있어서 조건을 달 수가 없다. 그래서 많은 사람들이 별도의 메뉴로 존재하는 줄 알고 열심히 찾아보지만 그런거 없다. 그러다보니 Gitlab 을 사용하면서 당황하게 된다. “나는 main(혹은 master) 브랜치를 기반으로 배포를 하고 싶은데, Gitlab 은 그냥 아무 브랜치에 push 만 되면 그냥 실행 된다… 별로 안좋네..” 이런 식으로 결론이 난다.

workflow

Gitlab 은 Auto DevOps (혹은 CI/CD) 관련해서는 .gitlab-ci.yaml 파일에서 모두 처리할 수 있도록 했다. 특정 조건에 맞게 실행되도록 workflow 라는 문법을 지원 한다. 예를들면 다음과 같다.

workflow:
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_COMMIT_BRANCH && $CI_OPEN_MERGE_REQUESTS
      when: never
    - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH

workflow:

rules:

- if: $CI_PIPELINE_SOURCE == "merge_request_event"

- if: $CI_COMMIT_BRANCH && $CI_OPEN_MERGE_REQUESTS

when: never

- if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH

위 예제는 merge request 가 발생하거나 기본 브랜치에 push 가 발생하면 동작하도록 규칙(rule)를 정의한다. 위 예제 내용을 .gitlab-ci.yaml 맨 위에 적어놓게 되면 된다.

아니면 다음과 같은 예제도 있다.

workflow:  
    rules:
      - if: $CI_COMMIT_BRANCH != "main" && $CI_PIPELINE_SOURCE != "merge_request_event"
        when: never
      - when: always

workflow:

rules:

- if: $CI_COMMIT_BRANCH != "main" && $CI_PIPELINE_SOURCE != "merge_request_event"

when: never

- when: always

commit branch 가 main (main 은 Gitlab 의 기본 브랜치) 도 아니고 파이프라인 소스가 merge request 도 아니면 CI/CD 를 실행하지 말라는 예제다.

rules

여기서 한가지 짚고 넘어가면, rules 다. rules 는 반드시 workflow 에서만 사용되는게 아니다. 각 stage 마다 사용 될 수 있다. 다음의 예제입니다.

.terraform:fmt:
  stage: validate
  script:
    - gitlab-terraform fmt
  allow_failure: true
  rules:
    - if: $CI_PIPELINE_SOURCE == "merge_request_event"
    - if: $CI_OPEN_MERGE_REQUESTS  # Don't add it to a *branch* pipeline if it's already in a merge request pipeline.
      when: never
    - if: $CI_COMMIT_BRANCH        # If there's no open merge request, add it to a *branch* pipeline instead.

.terraform:fmt:

stage: validate

script:

- gitlab-terraform fmt

allow_failure: true

rules:

- if: $CI_PIPELINE_SOURCE == "merge_request_event"

- if: $CI_OPEN_MERGE_REQUESTS # Don't add it to a *branch* pipeline if it's already in a merge request pipeline.

when: never

- if: $CI_COMMIT_BRANCH # If there's no open merge request, add it to a *branch* pipeline instead.

terraform 를 위한 gitlab-ci 예제 중 일부 입니다. stage 단계에서 rules 를 설정해서 사용하고 있다는 것을 알 수 있습니다.

12/28/2023

Gitlab 으로 terraform 상태(state) 관리하기

Terraform 을 여러명이 사용할때에 필요한 것이 Terraform 의 상태를 변경하지 못하도록 하는 것이다. terraform 을 실행할때마다 상태(state) 파일이 갱신되는데, 여러사람이 같이 일을 할때에는 이 파일을 공유해서 사용해야 한다.

대부분이 terraform state 파일을 AWS S3 저장소와 Dynamo DB 를 이용해 lock 을 거는 방식이 많이 거론된다. 이 방법은 AWS 클라우드를 사용해야 한다는 강제가 필요한데, 물론 Terraform 이 클라우드를 빠르게 코드로 만들도록 도와주기 때문에 어짜피 AWS 클라우드 인프라를 구성할 거면 S3 를 사용하는 것이 문제가 되지 않는다.

또, 인터넷상에 보면 Gitlab 을 이용한 상태관리 관련한 문서, 심지여 Gitlab 의 공식문서조차도 잘못된 내용이 있어 이 글을 작성한다.

하지만 꼭 AWS S3와 DynamoDB 를 이용해야만 가능하냐 하는 질문에는 그렇지 않다는 답이 존재한다. 이 문서는 AWS 클라우드 서비스를 이용하지 않고 Gitlab 을 이용해 Terraform 의 상태(state) 파일을 관리하는 방법에 대해서 알아 본다.

GitLab

매우 훌륭한 시스템이다. 소스코드 저장소는 물론이고 Container Registry, Terraform state 저장소, CI/CD, Wiki, Ticket 시스템등 거의 모든 IT 업무를 한곳에서 수행할 수 있게 해준다.

Terraform state 파일 저장소를 네이티브 기능으로 사용할 수 있도록 만들어져 있어서 이걸 이용하면 클라우드 저장소의 도움 없이도 Terraform 의 상태 파일을 관리 할 수 있다.

저장소 생성하기

Terraform 상태 파일 저장을 위한 저장소를 만들어 준다.

Gitlab 에서 저장소 생성은 단순한 절차임으로 큰 어려움 없이 생성이 된다.

Terraform 파일 작성

간단하게 Terraform 파일을 작성해 보자. provider 와 backend, 그리고 AWS Resource 중에 Security Group 하나를 만들어 보자. 파일은 main.tf 와 backend.tf 두개로 작성 됐다.

main.tf

provider "aws" {
  access_key = ""
  secret_key = ""
  alias = "seoul"
  region = "ap-northeast-2"
}

resource "aws_security_group" "terraform-example-sg" {

  provider = aws.seoul

  name = "terraform-example-sg"

  ingress {
    from_port   = 80
    to_port     = 80
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]
  }

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }

}

provider "aws" {

access_key = ""

secret_key = ""

alias = "seoul"

region = "ap-northeast-2"

}

resource "aws_security_group" "terraform-example-sg" {

provider = aws.seoul

name = "terraform-example-sg"

ingress {

from_port = 80

to_port = 80

protocol = "tcp"

cidr_blocks = ["0.0.0.0/0"]

}

egress {

from_port = 0

to_port = 0

protocol = "-1"

cidr_blocks = ["0.0.0.0/0"]

}

backend.tf

terraform {

  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
  
  backend "http" {}
}

terraform {

required_providers {

aws = {

source = "hashicorp/aws"

version = "~> 5.0"

}

backend "http" {}

}

위 코드를 보면 변수 3개가 보인다. $PROJECT_ID 는 Gitlab 에 프로젝트 Settings -> General 을 보면 번호가 부여된 Project ID 를 알 수 있다.

API 통신을 위해서 인증 토큰이 필요하다. 공식문서에는 사용자 계정 토큰을 발행하라고 되어 있다. 사용자 계정 토큰은 사용자 Profile -> Access Tokens 에서 생성이 가능하다.

하지만, 여기서 한가지 주의해야 할게 있다. 인터넷을 검색해보면 개인 토큰으로는 인증 실패가 발생한다고 하는데, API 통신을 위해서는 Maintainer 권한을 필요로 한다. 그러니까 계정의 권한이 Maintainer 를 가지고 있지 않는다면 토큰을 발행이 되어도 인증에 실패하게 된다.

Gitlab 에서 API 통신을 위해서는 적절한 권한을 필요로하게 되는데, Maintainer 권한이 필요하게 된다. 이 말은 Access Tokens 은 Maintainer 권한만 있다면 사용자 구분 없이 사용이 가능하게 된다.

그러면, 프로젝트 Access Tokens 을 이용할 수 있지 않을까? 당연히 가능 하다. 앞서 생성한 프로젝트 -> Settings -> Access tokens 에서 토큰 발생이 가능하다. 프로젝트 토큰 발생은 사용자도 함게 생성되는데, 그 사용자는 bot 이다.

한가지 주의해야 할 것은 프로젝트 access token 을 생성할때에 권한(role) 을 Maintainer 권한으로 해야 한다. 그리고 이렇게 생성을 하게 되면 bot 계정이 생성이 되는데, 이 계정이 access token 소유자가 된다.

이 계정의 Id 는 @ 로 시작하는 문자열이다.

어떤 Access Tokens 을 사용해도 상관은 없다. 핵심은 권한(Role) 이다. 반드시 Maintainer 권한이 있어야 한다.

Terraform init

이제 Terraform 을 초기화 한. 초기화는 다음과 같은 명령어를 사용 한다.

export TF_USERNAME=project_21_bot_213a2c1faa436d68d8984837afaa3460
export TF_PASSWORD=glpat-92txtMPCAK-gnbWvrC7C
export TF_STATE_NAME=default
export PROJECT_ID="21"
export TF_ADDRESS="https://gitlab.systemv.local:8001/api/v4/projects/${PROJECT_ID}/terraform/state/${TF_STATE_NAME}"

terraform init \
    -backend-config="address=${TF_ADDRESS}" \
    -backend-config="lock_address=${TF_ADDRESS}/lock" \
    -backend-config="unlock_address=${TF_ADDRESS}/lock" \
    -backend-config="username=$TF_USERNAME" \
    -backend-config="password=$TF_PASSWORD" \
    -backend-config="lock_method=POST" \
    -backend-config="unlock_method=DELETE" \
    -backend-config="retry_wait_min=5"

export TF_USERNAME=project_21_bot_213a2c1faa436d68d8984837afaa3460

export TF_PASSWORD=glpat-92txtMPCAK-gnbWvrC7C

export TF_STATE_NAME=default

export PROJECT_ID="21"

export TF_ADDRESS="https://gitlab.systemv.local:8001/api/v4/projects/${PROJECT_ID}/terraform/state/${TF_STATE_NAME}"

terraform init \

-backend-config="address=${TF_ADDRESS}" \

-backend-config="lock_address=${TF_ADDRESS}/lock" \

-backend-config="unlock_address=${TF_ADDRESS}/lock" \

-backend-config="username=$TF_USERNAME" \

-backend-config="password=$TF_PASSWORD" \

-backend-config="lock_method=POST" \

-backend-config="unlock_method=DELETE" \

-backend-config="retry_wait_min=5"

TF_USERNAME 은 Project Access Token 소유자인 bot 이고 TF_PASSWORD 는 Project Access Token 이다.

terraform plan

이 명령어를 실행하면 드디어 Gitlab 저장소에 Terraform state 에 상태 파일이 생성된다. Operate -> Terraform states 에서 확인이 가능하다.

결론

인터넷을 살펴보면 Gitlab 을 이용한 Terraform state 관련 내용에서 Personal Access Token 으로 되지 않는다는 내용이 많다. 핵심은 Access Token 의 권한이다. 반드시 Maintainer 권한이 있어야 하며 이 권한만 있다면 Personal 이던 Project 이던 상관이 없다.

02/01/2023

Gitlab 백업/복원

Gitlab 을 업데이트 하면서 보여지는 백업 메시지들은 다음과 같다.

## Databse Backup

gitlab preinstall: Automatically backing up only the GitLab SQL database (excluding everything else!)
2023-02-01 10:36:44 UTC -- Dumping main_database ... 
Dumping PostgreSQL database gitlabhq_production ... [DONE]
2023-02-01 10:36:46 UTC -- Dumping main_database ... done
2023-02-01 10:36:46 UTC -- Dumping ci_database ... [DISABLED]
2023-02-01 10:36:46 UTC -- Dumping repositories ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping uploads ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping builds ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping artifacts ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping pages ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping lfs objects ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping terraform states ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping container registry images ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Dumping packages ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Creating backup archive: 1675247804_2023_02_01_15.8.0_gitlab_backup.tar ... 
2023-02-01 10:36:46 UTC -- Creating backup archive: 1675247804_2023_02_01_15.8.0_gitlab_backup.tar ... done
2023-02-01 10:36:46 UTC -- Uploading backup archive to remote storage  ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Deleting old backups ... [SKIPPED]
2023-02-01 10:36:46 UTC -- Deleting tar staging files ... 
2023-02-01 10:36:46 UTC -- Cleaning up /var/opt/gitlab/backups/backup_information.yml
2023-02-01 10:36:46 UTC -- Cleaning up /var/opt/gitlab/backups/db
2023-02-01 10:36:46 UTC -- Deleting tar staging files ... done
2023-02-01 10:36:46 UTC -- Deleting backups/tmp ... 
2023-02-01 10:36:46 UTC -- Deleting backups/tmp ... done

### Backup Config
gitlab preinstall: Automatically backing up /etc/gitlab
Running configuration backup
Creating configuration backup archive: gitlab_config_1675247806_2023_02_01.tar
/etc/gitlab/
/etc/gitlab/gitlab-secrets.json
/etc/gitlab/gitlab.rb
/etc/gitlab/trusted-certs/
/etc/gitlab/ssl/
/etc/gitlab/ssl/root-ca.crt
/etc/gitlab/ssl/regi.gitlab.systemv.local.key
/etc/gitlab/ssl/regi.gitlab.systemv.local.crt
/etc/gitlab/ssl/gitlab.systemv.local.key
/etc/gitlab/ssl/gitlab.systemv.local.crt
/etc/gitlab/ssl/root-ca.key
Configuration backup archive complete: /etc/gitlab/config_backup/gitlab_config_1675247806_2023_02_01.tar

## Databse Backup

gitlab preinstall: Automatically backing up only the GitLab SQL database (excluding everything else!)

2023-02-01 10:36:44 UTC -- Dumping main_database ...

Dumping PostgreSQL database gitlabhq_production ... [DONE]

2023-02-01 10:36:46 UTC -- Dumping main_database ... done

2023-02-01 10:36:46 UTC -- Dumping ci_database ... [DISABLED]

2023-02-01 10:36:46 UTC -- Dumping repositories ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping uploads ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping builds ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping artifacts ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping pages ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping lfs objects ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping terraform states ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping container registry images ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Dumping packages ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Creating backup archive: 1675247804_2023_02_01_15.8.0_gitlab_backup.tar ...

2023-02-01 10:36:46 UTC -- Creating backup archive: 1675247804_2023_02_01_15.8.0_gitlab_backup.tar ... done

2023-02-01 10:36:46 UTC -- Uploading backup archive to remote storage ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Deleting old backups ... [SKIPPED]

2023-02-01 10:36:46 UTC -- Deleting tar staging files ...

2023-02-01 10:36:46 UTC -- Cleaning up /var/opt/gitlab/backups/backup_information.yml

2023-02-01 10:36:46 UTC -- Cleaning up /var/opt/gitlab/backups/db

2023-02-01 10:36:46 UTC -- Deleting tar staging files ... done

2023-02-01 10:36:46 UTC -- Deleting backups/tmp ...

2023-02-01 10:36:46 UTC -- Deleting backups/tmp ... done

### Backup Config

gitlab preinstall: Automatically backing up /etc/gitlab

Running configuration backup

Creating configuration backup archive: gitlab_config_1675247806_2023_02_01.tar

/etc/gitlab/

/etc/gitlab/gitlab-secrets.json

/etc/gitlab/gitlab.rb

/etc/gitlab/trusted-certs/

/etc/gitlab/ssl/

/etc/gitlab/ssl/root-ca.crt

/etc/gitlab/ssl/regi.gitlab.systemv.local.key

/etc/gitlab/ssl/regi.gitlab.systemv.local.crt

/etc/gitlab/ssl/gitlab.systemv.local.key

/etc/gitlab/ssl/gitlab.systemv.local.crt

/etc/gitlab/ssl/root-ca.key

Configuration backup archive complete: /etc/gitlab/config_backup/gitlab_config_1675247806_2023_02_01.tar

업데이트를 하기전에 데이터베이스와 설정 파일들을 백업하고 있다.

만일 전체 백업을 하고 싶다면 다음과 같이 명령어를 이용할 수 있다.

]# gitlab-backup create

.....
2023-02-01 11:04:33 UTC -- Creating backup archive: 1675249277_2023_02_01_15.8.1_gitlab_backup.tar ... 

2023-02-01 11:06:29 UTC -- Creating backup archive: 1675249277_2023_02_01_15.8.1_gitlab_backup.tar ... done
2023-02-01 11:06:29 UTC -- Uploading backup archive to remote storage  ... [SKIPPED]
2023-02-01 11:06:29 UTC -- Deleting old backups ... [SKIPPED]
2023-02-01 11:06:29 UTC -- Deleting tar staging files ... 
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/backup_information.yml
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/db
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/repositories
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/uploads.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/builds.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/artifacts.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/pages.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/lfs.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/terraform_state.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/registry.tar.gz
2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/packages.tar.gz
2023-02-01 11:06:29 UTC -- Deleting tar staging files ... done
2023-02-01 11:06:29 UTC -- Deleting backups/tmp ... 
2023-02-01 11:06:29 UTC -- Deleting backups/tmp ... done
2023-02-01 11:06:29 UTC -- Warning: Your gitlab.rb and gitlab-secrets.json files contain sensitive data 
and are not included in this backup. You will need these files to restore a backup.
Please back them up manually.
2023-02-01 11:06:29 UTC -- Backup 1675249277_2023_02_01_15.8.1 is done.
2023-02-01 20:06:29 +0900 -- Deleting backup and restore lock file

]# gitlab-backup create

.....

2023-02-01 11:04:33 UTC -- Creating backup archive: 1675249277_2023_02_01_15.8.1_gitlab_backup.tar ...

2023-02-01 11:06:29 UTC -- Creating backup archive: 1675249277_2023_02_01_15.8.1_gitlab_backup.tar ... done

2023-02-01 11:06:29 UTC -- Uploading backup archive to remote storage ... [SKIPPED]

2023-02-01 11:06:29 UTC -- Deleting old backups ... [SKIPPED]

2023-02-01 11:06:29 UTC -- Deleting tar staging files ...

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/backup_information.yml

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/db

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/repositories

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/uploads.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/builds.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/artifacts.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/pages.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/lfs.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/terraform_state.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/registry.tar.gz

2023-02-01 11:06:29 UTC -- Cleaning up /var/opt/gitlab/backups/packages.tar.gz

2023-02-01 11:06:29 UTC -- Deleting tar staging files ... done

2023-02-01 11:06:29 UTC -- Deleting backups/tmp ...

2023-02-01 11:06:29 UTC -- Deleting backups/tmp ... done

2023-02-01 11:06:29 UTC -- Warning: Your gitlab.rb and gitlab-secrets.json files contain sensitive data

and are not included in this backup. You will need these files to restore a backup.

Please back them up manually.

2023-02-01 11:06:29 UTC -- Backup 1675249277_2023_02_01_15.8.1 is done.

2023-02-01 20:06:29 +0900 -- Deleting backup and restore lock file

수행후 생성된 백업 파일은 /var/opt/gitlab/backups 디렉토리에 만들어 진다.

만일 복원을 해야 한다면 백업 디렉토리에 백업한 파일을 올려놓고 다음과 같이 하면 된다.

## 프로세스 중지
]# gitlab-ctl stop puma
]# gitlab-ctl stop sidekiq
## 복원
]# gitlab-backup restore BACKUP=11493107454_2018_04_25_10.6.4-ce

## 프로세스 중지

]# gitlab-ctl stop puma

]# gitlab-ctl stop sidekiq

## 복원

]# gitlab-backup restore BACKUP=11493107454_2018_04_25_10.6.4-ce

08/02/2020

GitLab-Runner 설치

이 문서는 GitLab-Runner 설치 에 대한 것이다. GitLab 은 CI/CD 를 위해 외부 프로그램을 사용하는데, 이것이 바로 GitLab-Runner 이다. 외부 프로그램을 사용하기 때문에 반드시 GitLab 과 함께 있어야 하는것도 아니고 독립적으로 다양한 플랫폼에 설치해도 된다.

설치

설치는 아주 간단하다. 각 배포판, 플랫폼마다 패키지를 제공한다. 나는 Ubuntu 20.04 에 그것도 GitLab 서버에 설치할 예정이다. 다른 서버에 설치를 해도 되지만 테스트 삼아 설치하는 것이여서 이렇게 진행했다.

$ sudo apt install git # 의존성 설치
$ curl -LJO https://gitlab-runner-downloads.s3.amazonaws.com/latest/deb/gitlab-runner_amd64.deb
$ sudo dpkg -i gitlab-runner_amd64.deb

$ sudo apt install git # 의존성 설치

$ curl -LJO https://gitlab-runner-downloads.s3.amazonaws.com/latest/deb/gitlab-runner_amd64.deb

$ sudo dpkg -i gitlab-runner_amd64.deb

이렇게 설치를 하고 나면 /home/gitlab-runner 계정이 생성되며 systemd 에 gitlab-runner 서비스가 등록이되며 자동으로 실행이 된다.

$ ls /home/
gitlab-runner
$ systemctl status gitlab-runner
● gitlab-runner.service - GitLab Runner
     Loaded: loaded (/etc/systemd/system/gitlab-runner.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2020-08-01 22:49:15 KST; 1min 2s ago
   Main PID: 9245 (gitlab-runner)
      Tasks: 12 (limit: 9487)
     Memory: 5.5M
     CGroup: /system.slice/gitlab-runner.service
             └─9245 /usr/lib/gitlab-runner/gitlab-runner run --working-directory /home/gitlab-runner --config /etc/gitlab-runner/config.toml --service gitlab-runner --syslo>

Aug 01 22:49:15 gitlab gitlab-runner[9245]: Running in system-mode.
Aug 01 22:49:15 gitlab gitlab-runner[9245]: Running in system-mode.
Aug 01 22:49:15 gitlab gitlab-runner[9245]:
Aug 01 22:49:15 gitlab gitlab-runner[9245]:
Aug 01 22:49:15 gitlab gitlab-runner[9245]: Configuration loaded                                builds=0
Aug 01 22:49:15 gitlab gitlab-runner[9245]: Configuration loaded                                builds=0
Aug 01 22:49:15 gitlab gitlab-runner[9245]: listen_address not defined, metrics & debug endpoints disabled  builds=0
Aug 01 22:49:15 gitlab gitlab-runner[9245]: listen_address not defined, metrics & debug endpoints disabled  builds=0
Aug 01 22:49:15 gitlab gitlab-runner[9245]: [session_server].listen_address not defined, session endpoints disabled  builds=0
Aug 01 22:49:15 gitlab gitlab-runner[9245]: [session_server].listen_address not defined, session endpoints disabled  builds=0
$ sudo systemctl stop gitlab-runner

$ ls /home/

gitlab-runner

$ systemctl status gitlab-runner

● gitlab-runner.service - GitLab Runner

Loaded: loaded (/etc/systemd/system/gitlab-runner.service; enabled; vendor preset: enabled)

Active: active (running) since Sat 2020-08-01 22:49:15 KST; 1min 2s ago

Main PID: 9245 (gitlab-runner)

Tasks: 12 (limit: 9487)

Memory: 5.5M

CGroup: /system.slice/gitlab-runner.service

└─9245 /usr/lib/gitlab-runner/gitlab-runner run --working-directory /home/gitlab-runner --config /etc/gitlab-runner/config.toml --service gitlab-runner --syslo>

Aug 01 22:49:15 gitlab gitlab-runner[9245]: Running in system-mode.

Aug 01 22:49:15 gitlab gitlab-runner[9245]:

Aug 01 22:49:15 gitlab gitlab-runner[9245]: Configuration loaded builds=0

Aug 01 22:49:15 gitlab gitlab-runner[9245]: listen_address not defined, metrics & debug endpoints disabled builds=0

Aug 01 22:49:15 gitlab gitlab-runner[9245]: [session_server].listen_address not defined, session endpoints disabled builds=0

$ sudo systemctl stop gitlab-runner

우선 gitlab-runner 서비스를 중지를 해준다.

Gitlab 에 등록하기

GitLab-Runner 를 설치했다면 이제 이것을 GitLab 에 등록을 해줘야 한다. 이를 위해서 GitLab 에서 Runner 메뉴를 보고 URL 과 Token 값을 확인 한다.

오른쪽에 보면 URL 과 token 값이 보인다. Gitlab-Runner 를 GitLab 서버에 등록을 해줘야 한다.

$ sudo gitlab-runner register
[sudo] password for sbhyun:
Runtime platform                                    arch=amd64 os=linux pid=10804 revision=a998cacd version=13.2.2
Running in system-mode.

Please enter the gitlab-ci coordinator URL (e.g. https://gitlab.com/):
http://gitlab.systemv.local:8001/
Please enter the gitlab-ci token for this runner:
HHjQMREKED4vxoazrDBv
Please enter the gitlab-ci description for this runner:
[gitlab]: For compile java
Please enter the gitlab-ci tags for this runner (comma separated):
java,java runner
Registering runner... succeeded                     runner=HHjQMREK
Please enter the executor: docker, shell, ssh, docker-ssh+machine, docker+machine, kubernetes, custom, docker-ssh, parallels, virtualbox:
shell
Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!

$ sudo gitlab-runner register

[sudo] password for sbhyun:

Runtime platform arch=amd64 os=linux pid=10804 revision=a998cacd version=13.2.2

Running in system-mode.

Please enter the gitlab-ci coordinator URL (e.g. https://gitlab.com/):

http://gitlab.systemv.local:8001/

Please enter the gitlab-ci token for this runner:

HHjQMREKED4vxoazrDBv

Please enter the gitlab-ci description for this runner:

[gitlab]: For compile java

Please enter the gitlab-ci tags for this runner (comma separated):

java,java runner

Registering runner... succeeded runner=HHjQMREK

Please enter the executor: docker, shell, ssh, docker-ssh+machine, docker+machine, kubernetes, custom, docker-ssh, parallels, virtualbox:

shell

Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!

등록할때에 URL, Token 값을 입력해 준다. 그리고 무엇보다 중요한 executor 를 선택해줘야 한다. 나의 경우에 Java 컴파일을 해줘야 하기 때문에 executor 를 shell 로 선택해줬다. 이렇게 설정된 내용은 /etc/gitlab-runner/config.toml 파일에 기록된다.

정상적으로 완료됐다면 서비스를 시작해 준다. 그리고 GitLab 에서 다음과 같이 runner 가 보인다.

여기서 중요한 것이, config.toml 파일을 수동으로 조작한다고 해서 GitLab 서버에 등록이 되지 않는다. 반드시 register 를 이용해야만 등록이 가능하다.

Java 컴파일 환경 구축.

번외로 Java 컴파일 환경을 구축해 보겠다. gitlab-runner 의 프로세스를 보면 다음과 같다.

$ ps aux | grep gitlab-runner
root        9245  0.0  0.3 138144 24564 ?        Ssl  22:49   0:02 /usr/lib/gitlab-runner/gitlab-runner run --working-directory /home/gitlab-runner --config /etc/gitlab-runner/config.toml --service gitlab-runner --syslog --user gitlab-runner

1 2	$ ps aux \| grep gitlab-runner root 9245 0.0 0.3 138144 24564 ? Ssl 22:49 0:02 /usr/lib/gitlab-runner/gitlab-runner run --working-directory /home/gitlab-runner --config /etc/gitlab-runner/config.toml --service gitlab-runner --syslog --user gitlab-runner

위 내용을 보면 working-directory 가 /home/gitlab-runner 이고 사용자가 gitlab-runner 이다. 따라서 /home/gitlab-runner 홈 디렉토리를 기반으로 runner 가 작동된다.

Java 컴파일 환경을 위해 다음의 필요하다.

java 1.8 컴파일러
maven

이 두가지를 gitlab-runner 계정에 설정을 해줘야 한다.

java 1.8 설정

java 1.8 은 Oracle JDK 가 아닌 오픈 소스인 Zulu JDK 를 사용하기로 했다. 현 시점에서 최신판을 다운로드 한다.

$ curl -LJO https://cdn.azul.com/zulu/bin/zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64.tar.gz
$ tar xvzf zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64.tar.gz
$ ln -s zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64 java

$ curl -LJO https://cdn.azul.com/zulu/bin/zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64.tar.gz

$ tar xvzf zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64.tar.gz

$ ln -s zulu8.48.0.53-ca-jdk8.0.265-linux_musl_x64 java

gitlab-runner 를 executor 로 작동하도록 했기 때문에 gitlab-runner 의 기본 쉘인 bash 를 기반이다. ~~gitlab-runner 계정에 .bashrc 파일에 java 1.8 환경 변수를 등록해준다.~~ gitlab-runner 는 서비스에 등록되어 동작은 root 계정으로 동작한다. 하지만 gitlab-runner 가 실행될때에 su 명령어로 gitlab-runner 계정으로 전환된다.

문제는 이때에 .bashrc 를 읽어들이지 않는다. 대신에 .profile 을 읽어들이게 된다. 따라서 각종 환경 변수들은 .profile 에 작성해야 한다.

$ vim .profile
export JAVA_HOME=$HOME/java
export JRE_HOME=$HOME/jre
export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
export CLASSPATH=.:$JRE_HOME/lib/ext:$JAVA_HOME/lib/tools.jar
$ source .profile
$ java -version
openjdk version "1.8.0_265"
OpenJDK Runtime Environment (Zulu 8.48.0.53-CA-linux-musl-x64) (build 1.8.0_265-b11)
OpenJDK 64-Bit Server VM (Zulu 8.48.0.53-CA-linux-musl-x64) (build 25.265-b11, mixed mode)

$ vim .profile

export JAVA_HOME=$HOME/java

export JRE_HOME=$HOME/jre

export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin

export CLASSPATH=.:$JRE_HOME/lib/ext:$JAVA_HOME/lib/tools.jar

$ source .profile

$ java -version

openjdk version "1.8.0_265"

OpenJDK Runtime Environment (Zulu 8.48.0.53-CA-linux-musl-x64) (build 1.8.0_265-b11)

OpenJDK 64-Bit Server VM (Zulu 8.48.0.53-CA-linux-musl-x64) (build 25.265-b11, mixed mode)

maven 설치

maven 을 설치해준다.

$ curl -LJO http://mirror.navercorp.com/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
$ tar xvzf apache-maven-3.6.3-bin.tar.gz
$ ln -s apache-maven-3.6.3 maven

$ curl -LJO http://mirror.navercorp.com/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz

$ tar xvzf apache-maven-3.6.3-bin.tar.gz

$ ln -s apache-maven-3.6.3 maven

이제 maven 을 위한 환경 변수를 등록해준다. 역시 .bashrc 파일에 해준다.

$ vim .profile
export MAVEN_HOME=$HOME/maven
export PATH=$PATH:$MAVEN_HOME/bin
$ source .profile

$ vim .profile

export MAVEN_HOME=$HOME/maven

export PATH=$PATH:$MAVEN_HOME/bin

$ source .profile

그리고 maven 에 setting.xml 파일을 수정해 의존성 패키지들의 저장소를 다음과 같이 바꿔 준다.

$ mkdir ~/maven/repository
$ vim setting.xml
<localrepository>${user.home}/maven/repository</localrepository>

$ mkdir ~/maven/repository

$ vim setting.xml

<localrepository>${user.home}/maven/repository</localrepository>

이로써 java 컴파일을 위한 gitlab-runner 설정을 완료됐다.

.gitlab-ci.yml 파일

Spring5MVC 프로젝트를 maven 으로 작성했다. Eclipse 를 쓴다면 간단하게 Spring5MVC 를 Maven 프로젝트로 손쉽게 제작할 수 있다. 이런 경우에 .gitlab-ci.yml 파일을 다음과 같이 간단하게 작성할 수 있다.

stages:
  - build

build:
  stage: build
  script:
    - mvn clean install

  after_script:
    - echo 'build success!'

  tags:
    - springmvc-runner

  only:
    - master

stages:

- build

build:

stage: build

script:

- mvn clean install

after_script:

- echo 'build success!'

tags:

- springmvc-runner

only:

- master

tags 는 gitlab-runner 에서 지정한 tag 를 말한다. gitlab-ci.yml 에서 gitlab-runner 를 구분하는 방법은 바로 tag 다. 이것은 GitLab 에서 gitlab-runner 를 수정하면서 함께 변경이 가능하다.

only 는 git 브랜치중에서 master 브랜치에 커밋이 발생했을때에 이를 실행하도록 한 것이다. git 는 전략적으로 브랜치를 자주 사용하는데, 전략에 따라서 특정 브랜치에 대해서만 작동하도록 할 수도 있다.

위 파일은 Deploy 는 없어서 단순하게 컴파일하는 것으로 끝난다. 나중에 Deploy 에 대해서 이야기 해보도록 하겠다.

07/31/2020

GitLab 설치와 설정

GitLab 설치 하기. GitLab 은 무료로 사용가능한 git 저장소, ticket 시스템이다. github 의 오픈소스 버전으로 생각할 수 있지만 그것보다 많은 기능을 제공한다. 이 글에서는 gitlab 을 Ubuntu 20.04 LTS 에 설치와 설정에 대해서 알아보도록 하겠다.

준비

Gitlab 을 설치하기 전에 필요한 의존성 패키지들을 먼저 설치해 준다.

]$ sudo apt install -y ca-certificates curl

1	]$ sudo apt install -y ca-certificates curl

메일을 사용할 경우에는 메일 서버를 설치해줘야 하지만 여기서는 제외한다.

Gitlab 설치를 위한 저장소 추가

gitlab 홈페이지에서는 각 리눅스 배포판에 맞춰 스크립트를 제공한다. Ubuntu 20.04 를 위해 제공해주는 스크립트를 실행해 준다.

]$ sudo curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

1	]$ sudo curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh \| sudo bash

Gitlab 설치

접속을 위한 도메인을 결정해야 한다. 그리고 gitlab 은 SSL 접속을 권장하지만, 꼭 필요한 것은 아니다. 설치를 할 시점에서 도메인을 정할 수 있다.

]$ sudo EXTERNAL_URL="http://gitlab.systemv.local" apt-get install gitlab-ce

1	]$ sudo EXTERNAL_URL="http://gitlab.systemv.local" apt-get install gitlab-ce

별문제가 없다면 설치가 정상적으로 진행이 된다.

Gitlab 설정

Gitlab 설정은 ‘/etc/gitlab/gitlab.rb’ 파일을 이용 한다. 여기서 뭔가 변경을 하면 다음과 같이 재설정을 해야 한다.

]$ sudo gitlab-ctl reconfigure
]$ sudo gitlab-rake gitlab:check
]$ sudo gitlab-ctl status

]$ sudo gitlab-ctl reconfigure

]$ sudo gitlab-rake gitlab:check

]$ sudo gitlab-ctl status

접속 URL 바꾸기

접속 URL 은 설치시에 지정해 줬지만 나중에 바꿀 수 있다. gitlab.rb 파일을 열어 다음의 내용을 확인하고 바꾸면 된다.

]# vim /etc/gitlab/gitlab.rb
external_url 'http://gitlab.systemv.local:8001'

1 2	]# vim /etc/gitlab/gitlab.rb external_url 'http://gitlab.systemv.local:8001'

Grafana 비활성화

Gitlab 서버를 모니터링을 하기 위해서 Grafana 를 내장하고 있다. 이것을 비활성화를 하고 싶다면 다음과 같이 비활성화를 해준다.

]# vim /etc/gitlab/gitlab.rb
grafana['enable'] = false

1 2	]# vim /etc/gitlab/gitlab.rb grafana['enable'] = false

Prometheus 모니터링 비활성화

Prometheus 는 서비스에 대한 모니터링을 수집해주는 프로그램이며 Time Series 데이터베이스다. Grafana 는 이 데이터베이스를 읽어서 그래프를 그려주는 것이다.

Prometheus 뿐만 아니라 서비스의 각 메트릭을 수집해주는 Exporter 들이 있는데, Gitlab 에서는 prometheus_monitoring 을 비활성화하면 모든 Exporter 들도 비활성화가 된다.

]# vim /etc/gitlab/gitlab.rb
prometheus_monitoring['enable'] = false

1 2	]# vim /etc/gitlab/gitlab.rb prometheus_monitoring['enable'] = false

이렇게 한 후에 gitlab 을 reconfigure, restart 를 한 후에 gitlab 상태를 보면 다음과 같다.

]# gitlab-ctl status
run: gitaly: (pid 548) 21022s; run: log: (pid 542) 21022s
run: gitlab-workhorse: (pid 554) 21022s; run: log: (pid 544) 21022s
run: logrotate: (pid 9780) 3021s; run: log: (pid 546) 21022s
run: nginx: (pid 558) 21022s; run: log: (pid 551) 21022s
run: postgresql: (pid 559) 21022s; run: log: (pid 552) 21022s
run: puma: (pid 557) 21022s; run: log: (pid 553) 21022s
run: redis: (pid 550) 21022s; run: log: (pid 543) 21022s
run: sidekiq: (pid 556) 21022s; run: log: (pid 547) 21022s

]# gitlab-ctl status

run: gitaly: (pid 548) 21022s; run: log: (pid 542) 21022s

run: gitlab-workhorse: (pid 554) 21022s; run: log: (pid 544) 21022s

run: logrotate: (pid 9780) 3021s; run: log: (pid 546) 21022s

run: nginx: (pid 558) 21022s; run: log: (pid 551) 21022s

run: postgresql: (pid 559) 21022s; run: log: (pid 552) 21022s

run: puma: (pid 557) 21022s; run: log: (pid 553) 21022s

run: redis: (pid 550) 21022s; run: log: (pid 543) 21022s

run: sidekiq: (pid 556) 21022s; run: log: (pid 547) 21022s

모니터링을 위한 export, prometheus 등의 프로세스가 없다.

업로드 용량 변경

Gitlab 은 nginx 를 웹서버로 사용한다. nginx 에서는 client_max_body_size 값으로 파일 업로드 용량을 결정하는데, 이것을 설정에서 바꾸면 된다.

]# vim /etc/gitlab/gitlab.rb
nginx['enable'] = true
nginx['client_max_body_size'] = '1G' # 1G upload size

]# vim /etc/gitlab/gitlab.rb

nginx['enable'] = true

nginx['client_max_body_size'] = '1G' # 1G upload size

데이터 저장 디렉토리 변경

만일 데이터 저장 디렉토리를 변경하고 싶다면 다음의 설정을 바꾸면 된다.

]# vim /etc/gitlab/gitlab.rb
### For setting up different data storing directory
###! Docs: https://docs.gitlab.com/omnibus/settings/configuration.html#storing-git-data-in-an-alternative-directory
###! **If you want to use a single non-default directory to store git data use a
###!   path that doesn't contain symlinks.**
git_data_dirs({
  "default" => { "path" => "/var/opt/gitlab/git-data" },
  "alternative" => { "path" => "/opt/gitlab-data" }
})

]# vim /etc/gitlab/gitlab.rb

### For setting up different data storing directory

###! Docs: https://docs.gitlab.com/omnibus/settings/configuration.html#storing-git-data-in-an-alternative-directory

###! **If you want to use a single non-default directory to store git data use a

###! path that doesn't contain symlinks.**

git_data_dirs({

"default" => { "path" => "/var/opt/gitlab/git-data" },

"alternative" => { "path" => "/opt/gitlab-data" }

})

저장소를 “/opt/gitlab-data” 로 변경된다.

하지만, 만일 이미 저장소를 사용하고 있다면 다음과 같이 해줘야 한다.

mkdir /opt/gitlab-data
chown git:root /opt/gitlab-data

# Prevent users from writing to the repositories while you move them.
gitlab-ctl stop

# Note there is _no_ slash behind 'repositories', but there _is_ a
# slash behind 'git-data'.
sudo rsync -av /var/opt/gitlab/git-data/repositories /opt/gitlab-data

# Start the necessary processes and run reconfigure to fix permissions
# if necessary
sudo gitlab-ctl upgrade

# Double-check directory layout in /opt/gitlab-data. Expected output:
# repositories
sudo ls /opt/gitlab-data/

# Done! Start GitLab and verify that you can browse through the repositories in
# the web interface.
sudo gitlab-ctl start

mkdir /opt/gitlab-data

chown git:root /opt/gitlab-data

# Prevent users from writing to the repositories while you move them.

gitlab-ctl stop

# Note there is _no_ slash behind 'repositories', but there _is_ a

# slash behind 'git-data'.

sudo rsync -av /var/opt/gitlab/git-data/repositories /opt/gitlab-data

# Start the necessary processes and run reconfigure to fix permissions

# if necessary

sudo gitlab-ctl upgrade

# Double-check directory layout in /opt/gitlab-data. Expected output:

# repositories

sudo ls /opt/gitlab-data/

# Done! Start GitLab and verify that you can browse through the repositories in

# the web interface.

sudo gitlab-ctl start

자세한 것은 다음 링크를 참고한다.

Storing Git data in an alternative directory