利用Github Action做CICD并集成Git Secret

最新推荐文章于 2024-04-20 17:29:53 发布
最新推荐文章于 2024-04-20 17:29:53 发布
阅读量514 收藏
点赞数
分类专栏: CICD 文章标签: ci/cd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013117791/article/details/117792009
版权

最近两天把一个项目的CICD流水线从jenkins迁移到github action,中间遇到一些问题,做个记录。

同步发表于个人站点:http://www.panzhixiang.cn

先放几个这两天看到的还不错的教程连接:

  1. 第一个是大佬阮一峰在2019年写的一个教程,浅显易懂,大佬还是大佬,那个时候action刚刚出来他就开始写教程了
    Github Actions 入门教程

  2. 第二个是github官方的工作流语法教程,建议把目录通读一遍,然后找到自己需要的部分详细阅读
    Workflow syntax for Github Actions

  3. 第三个是git secrets的官方repo,git secrets是一个可以用来扫描代码是否包含密码、用户名等敏感信息的工具
    git secrets

说明:

  1. 结合下面的yml文件看说明,并仔细查看yml文件中的注释,我把很多信息写在注释中了
  2. 我们的环境是github 企业版,自己托管的runner服务器,不同于github.com
  3. 我们采用了比较常见的方式来触发CICD job:当有分支发起pull request的时候会触发测试环境的CICD;当有代码merge到master分支后出触发生产环境的CICD
  4. 我选择把流水线的实际运行过程放在容器中,因为这样可以把所有的依赖都封装进容器,即使以后更换了runner的服务器,只要能运行docker就能进行编译
  5. 重要!!! 因为我是在workflow的配置文件(下面的yml)中配置git secrets的pattern(也就是git secrets --add xxxxx 命令),所以需要配置git secrets 不检测这个yml文件(git secrets --add --allowed .github/workflows/main.yml:.* ),不然git secrets 永远提示代码中含有私密信息,流水线也就会失败
  6. 重要!!! git secrets的配置信息在repo里面的 .git 目录里面,所以每次开始运行的时候都要记得删除这个不要,不然执行git secrets --scan的时候就会失败,rm -rf *不能删除隐藏目录,所以要单独执行rm -rf .git才行,4和5两点花了我将近一天时间。。。
  7. 我利用if语法和分支名称条件来判断应该发布到测试环境还是生产环境
name: CICD

# 触发流水线的条件
on:
  push:
    branches: [ master ]
  pull_request:
    branches: [ master ]

# A workflow run is made up of one or more jobs that can run sequentially or in parallel
jobs:
  # This workflow contains a single job called "build"
  build:
    # runs-on 后面是runner所在服务器的tag
    runs-on: [ myTag ]
    # container下面的配置是用来在上面的服务器上启动一个docker作为流水线实际执行的环境
    # 这几如果使用的docker hub的公开镜像就不需要credentials,如果是私有仓库就需要配置
    container:
      image: xxxxxxxxxxxxxxxxxxxxxxx
      credentials:
        # ${{secrets.xxxxxxxxxxx}} 是利用了github的secrets功能,在repo的setting-->Secrets里面可以添加需要的
        # 秘钥和token等信息,然后以${{secrets.xxxxxxxxxxx}}形式在workflow中使用,这一点比起jenkins要好很多
        username: ${{secrets.xxxxxxxxxxx}}
        password: ${{secrets.xxxxxxxxxx}}
      env:
       # 设置容器内的环境变量
        AAA: BBB

    # Steps represent a sequence of tasks that will be executed as part of the job
    steps:
      # 正式开始编辑之前先清理环境,
      # rm -rf * 不能删除隐藏目录,所以 .git 要单独删除,因为git secrets 相关的配置文件都在这里面,
      # 如果不删除的话,在执行git secrets --scan命令的时候shell退出码会返回1,这样action 的workflow就会失败
      # 我在这里花了一天时间....
      - name: Initial Env
        run: |
          rm -rf *
          rm -rf .git
          ls -a
          
      # 利用官方的action把代码拉下来
      - uses: actions/checkout@v2

      - name: Secrets Scan
        run: |
          git secrets --install -f
          git secrets --register-aws
          git secrets --add --allowed .github/workflows/main.yml:.*
          git secrets --add xxxxxxxxxxx
          git secrets --scan

      - name: Stg Build Image
        if: ${{github.ref != 'refs/heads/master'}}
        run: |
          Stg Build Command
      
      # 利用if语法和分支名称条件来判断应该发布到测试环境还是生产环境
      - name: Stg Deploy
        if: ${{github.ref != 'refs/heads/master'}}
        run: |
          Stg Deploy Command
          
      - name: Prod Build Image
        if: ${{github.ref == 'refs/heads/master'}}
        run: |
          Prod Build Command
          
      - name: Prod Deploy
        if: ${{github.ref == 'refs/heads/master'}}
        run: |
          Prod Build Command
       
      # 最后记得要清理环境,尽量避免信息泄露
      - name: Clean up
        run: |
          rm -rf *
          rm -rf .git
潘智祥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
actions-set-secret:在github仓库中创建或更新秘密
05-23
设定秘密动作 在存储库或组织中创建或编辑动作机密 用法 输入项 名称 必需的String秘密名称。 价值 要存储的必需String Secret值。 代币 必需的String存储库 资料库 要存储的必需的String存储库或组织。 默认的github.repository 组织 Boolean表示存储库是一个。 默认为false 能见度 用于配置存储库对组织机密的访问权限的String 。 选项为all , private , selected selected_repository_ids 产出 地位 响应状态码 数据 响应JSON负载 例子 对于个人回购 uses : hmanzur/actions-set-secret@v2.0.0 with : name : ' MY_SECRET_NAME ' value : ' Lorem ipsun dolor simit '
githubsecrets:使用简单的CLI管理GitHub Actions机密
05-08
githubsecrets 使用简单的CLI管理机密 GIF演示 安装 点子 Python v3.6.7及更高版本 用pip在您的机器上安装; 该软件包可在 $ pip install githubsecrets 从来源 Python v3.6.7及更高版本 克隆此存储库 运行githubsecrets模块(目录) python -m githubsecrets --help 码头工人 展开/折叠将本地目录挂载到/app ,该映像在上可用 Linux和macOS 挂载您的主目录或任何其他目录以保存凭据文件 $ docker run --rm -it -v " ${HOME} /:/app/ " unfor19/githubsecrets secret-list -p unfor19 -r githubsecrets ... # Output below 输出[ { "
github action配置secrets
frank_haha的博客
10-04 3156
github secrets分成三类,environment secrets优先级最高,然后是rapository, orgnization。
Github Actions实现CI/CD(golang项目)
最新发布
weixin_45565886的博客
04-20 1516
Github Actions实现CI/CD(golang项目)
Github Actions生成 secrets
热门推荐
weixin_45178716的博客
05-28 1万+
生成secrets前首先要生成个人访问令牌可以创建个人访问令牌,并在命令行或API上使用Git通过HTTPS执行Git操作时代替密码来使用它。在以下情况下,需要个人访问令牌来认证GitH...
python获取环境变量内容,联调githubaction中的secret内容
12-16 695
环境变量名称:${{ secrets.加密的key }}那怎么获得github里面的secret加密的内容呢?
git-actions:运行任意git命令的GitHub Action
02-03
git-actions:运行任意git命令的GitHub Action
GitHub-Actions-Tutorial:使用Shell脚本和Dockers实现GitHub ActionCICD和自动化
01-30
GitHub-Actions-Tutorial:使用Shell脚本和Dockers实现GitHub ActionCICD和自动化
github-action-get-previous-tag:获取上一个标签
02-03
Github Actiongit获取最新标签 输出量 这个动作只有一个输出,即tag最新标签这个动作的发现。 如果未找到标签或发生另一个错误,它将退出并显示代码1 。 例 在找到更多示例。 以下示例与和动作一起使用。 它在该...
git-github:一个简单的GitGitHub简介
04-27
GitGitHub是软件开发领域中不可或缺的工具,尤其在开源项目和协作开发中扮演着重要角色。Git是一种分布式版本控制系统,而GitHub则是一个基于云的服务平台,提供了Git仓库托管、代码审查、问题追踪以及社交网络...
github_workshop:SeNSS 的 GitGitHub 研讨会
07-24
参与者将了解版本控制如何在编码/开发平台上工作,并学习如何利用问题和项目板等功能来补充以项目为中心的工作流程,从而促进协作和开放科学实践。 无需任何经验。 所有资源将在免费提供 准备工作坊 工作坊前请好...
hello-world-cicd:使用Github Actions和ArgoCD演示NodeJs Hello-World CICD,将其部署到Minikube开发和生产集群
02-28
你好世界 这是一个单独的存储库,其中包含一个NodeJs应用程序,该应用程序显示Mysql数据库中的“ Hello World”。 它使用Github Actions来构建Docker映像并将其推送到Docker Hub,并使用新的image标记更新kustomize yaml文件。 Argo CD正在监视kustomize文件并更新2个使用Minikube部署的Kubernetes集群上的资源:Dev和Prod。 Helm用于将Argo CD和Mysql部署到Dev Cluster,以及将Mysql的另一个实例部署到Prod Cluster。 架构概述: 所需工具: 在运行init脚本之前,这些工具需要存在于系统上: 如何设定: 在本地克隆此仓库 运行安装脚本,如下所示: ./minikube-init.sh
github-secret-manager-ghaction:[GitHub 行动] GitHub 秘密管理器
08-04
[GitHub 行动] GitHub 秘密管理器 用于跨存储库和组织管理机密的 GitHub 操作。 麻省理工学院 最新的: ( ) 前: ( ) 贡献者 雨果 雨果工作室 问题 : 拉取请求 : 代码质量 :scroll: 描述 :glowing_star: 特征 简单的设置。 支持多种模式。 :hammer_and_wrench: 配置 :building_construction: 环境 操作系统 任何 软件 NodeJS (>= v12.13) NPM (>= v6.12) :warning: 重要的 出于安全原因: 此操作无法在自主机/运行器上执行/运行,并且 操作的参与者和源的秘密的所有者(即:存储库所有者(没有存储库,GitHub 操作无法运行))必须是同一用户。 这个动作应该是作业中的唯一一步,要处理不同的集合或同时使用不同的模式,请拆分为多个作业。 :inbox_tray: 输入 传奇 描述 [G] 支持自定义 glob 。 token <string> Gi
argocd-kustomize-tutorial:使用ArgoCD,Kustomize,Github Actions和Kubernetes(种类)说明GitOps工作流程的教程
02-17
argocd-kustomize-tutorial:使用ArgoCD,Kustomize,Github Actions和Kubernetes(种类)说明GitOps工作流程的教程
gh-secrets-action:Github Action,让您更新存储库秘密
04-03
秘密行动 Github Action,让您更新存储库秘密。 基本原理 想象一下,您迫切需要将一些secrets部署到存储库中的情况? 最重要的是,假设这些秘密会随着时间而改变,并且您每次都必须手动重新部署它们吗? 如果这还不够,请想象您有10个存储库中散布着30个这样的秘密? 你跟我? 现在想象一下,您可以使用Github Action ;-)声明式地处理该问题。 用法 - name : Deploy dynamic secrets uses : atomlong/gh-secrets-action@master with : repository : atomlong/gh-secrets-action token : ${{ secrets.GH_PA_TOKEN }} secrets : | verySecretPassword: se
获取并输出Github Action 的变量,secrets
Martin 的博客
07-21 622
github action ci 里面获取并输出Github Action 的变量,secrets
Github Action
howeres的博客
01-11 455
Action的创建 方式1:在项目根部,创建以下文件夹和文件 # 这里以我的 hexo 博客自动部署举例 .github └── workflows └── hexo-deploy.yml 方式2:在网页端的action上按照提示进行 Action的编排 编排文件的结构 Action 主要由三部分构成:name、on和jobs name: 叫什么(如果忽略会默认为yml的文件名) on: 作用在什么地方(触发点) jobs: 触发后干什么 yml 文件实例 # 部分1 name: 显示在actio
Argo CD 配置管理插件 让 GitHub Actions 文件在 Argo 中跑起来
Jenkins中文社区
12-14 351
本文以 https://github.com/LinuxSuRen/github-action-workflow/ 为例来讲解 Argo CD 配置管理插件的使用。欢迎点赞、收藏、关注!配置管理插件(Config Management Plugin,CMP)使得 Argo CD 可以支持 Helm、Kustomize 以外的(可转化为 Kubernetes 资源)格式。例如:我们可以将 GitHu...
GitHub如何生成密钥
weixin_45948234的博客
12-22 2701
GitHub生成秘钥 当从本地提交文件到github的时候,提交不成功,报错,可能问题就是你还没有生成ssh秘钥 GitHub要使用ssh密钥的原因: git使用https协议,每次pull, push都要输入密码,相当的烦。 使用git协议,然后使用ssh密钥。这样可以省去每次都输密码。 公钥我们一般是给服务器的,他们到时候在权限中加入我给的公钥,然后当我从远地仓库中下载项目的时候,我在git clone xxx的时候,那个服务器我通过他的绑定的公钥来匹配我的私钥,这个时候,如果匹配,则就可以正常下载,如
git的常用命令及github的使用技巧
12-18
自己整理的,希望可以帮助到大家。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值