如何通过SSH为Gitlab运行器启用克隆？

Question

我在Windows Gitlab运行器上通过HTTP克隆大型存储库时遇到了一些麻烦.我已经尝试了几种方法来做浅克隆或禁用克隆压缩.仍然没有运气.

通过SSH克隆相同的存储库非常适合作为临时解决方案,我希望在我们的Gitlab CI过程中实现这一点.

现在问题就在于我不知道如何使用SSH作为gitlab-multi-runner的克隆方法.它似乎只是使用HTTP作为默认值,我唯一关于克隆的选项是它是完成克隆还是获取.

有人可以解释我如何通过SSH而不是HTTP来使克隆/获取工作在跑步者身上？

Gitlab版本:GitLab社区版8.10.7

谢谢!

Answer 1

作为 gitlab 的新手，我设法解决了这个问题，因为我还没有找到更改默认克隆过程的内置方法（尽管这里是最近关于如何完成的评论）。

通过禁用自动克隆过程，您可以通过简单地将自己的克隆过程编写在before_script. 仅出于示例的目的，下面显示了如何为 HTTP 克隆完成此操作，但可以适用于ssh克隆（如果您尝试使用 HTTP 克隆，则应使用内置克隆过程和 config.toml）：

1. 创建一个名为“gitlab-runner”的新用户并生成他们的用户身份验证令牌以供以后使用（或者在您的情况下，您将生成 ssh 密钥）。

2. 通过在项目或组设置中添加以下变量来禁用跑步者的克隆过程： .../settings/ci_cd

   密钥：GIT_STRATEGY

   值：无

3. 将您的 repo 克隆为before_script例如：

之前_脚本：
  ##清理工作目录
  - BUILD_DIR=/home/gitlab-runner/builds/$RUNNER_TOKEN/0
  - CLONE_DIR="$BUILD_DIR/$CI_PROJECT_PATH"
  - cd $BUILD_DIR
  - rm -rf $CLONE_DIR
  - mkdir -p $CLONE_DIR

  ## 每次都克隆项目（效率低下，如果它已经存在，请考虑执行 fetch）
  - git clone http://gitlab-runner:$GITLABRUNNER_USER_AUTH_TOKEN@server:8888/${CI_PROJECT_PATH}.git $CLONE_DIR
  - cd $CLONE_DIR

注意：以下是我也在第 2 步中配置的相关变量，而不是在脚本中对其进行硬编码：

• RUNNER_TOKEN：在您尝试运行的特定跑步者的管理“跑步者”菜单中列出的“跑步者令牌”值。
• GITLABRUNNER_USER_AUTH_TOKEN：这是您在步骤 1 中生成的身份验证令牌。

进一步阅读：

您可以通过发出Deploy Keys来避免上面采用的虚假帐户方法。或者，如果访问任何项目的安全隐患是一个问题，部署令牌是具有更多安全控制的替代方案。为了进行比较，请参阅文档：

部署密钥可在不相关或什至不属于同一组的项目之间共享。部署令牌属于一个项目或一个组。

部署密钥是您需要在自己的机器上生成的 SSH 密钥。部署令牌由您的 GitLab 实例生成，并且仅提供给用户一次（在创建时）。

只要注册并启用部署密钥，它就是有效的。部署令牌可能具有时间敏感性，因为您可以通过为其设置到期日期来控制其有效性。

您无法使用部署密钥登录到注册表，或对其执行读/写操作，但使用部署令牌可以做到这一点。您需要一个 SSH 密钥对才能使用部署密钥，但不需要部署令牌。

Answer 2

根据：

https://docs.gitlab.com/ee/ci/ssh_keys/README.html

你需要：

1. 使用 ssh-keygen 创建一个新的 SSH 密钥对
2. 将私钥作为秘密变量添加到项目中
3. 在作业期间运行 ssh-agent 以加载私钥。

示例 gitlab_ci.yml：

before_script:
  # Install ssh-agent if not already installed, it is required by Docker.
  # (change apt-get to yum if you use a CentOS-based image)
  - 'which ssh-agent || ( apt-get update -y && apt-get install openssh-client -y )'

  # Run ssh-agent (inside the build environment)
  - eval $(ssh-agent -s)

  # Add the SSH key stored in SSH_PRIVATE_KEY variable to the agent store
  - ssh-add <(echo "$SSH_PRIVATE_KEY")

  # For Docker builds disable host key checking. Be aware that by adding that
  # you are suspectible to man-in-the-middle attacks.
  # WARNING: Use this only with the Docker executor, if you use it with shell
  # you will overwrite your user's SSH config.
  - mkdir -p ~/.ssh
  - '[[ -f /.dockerenv ]] && echo -e "Host *\n\tStrictHostKeyChecking no\n\n" > ~/.ssh/config'
  # In order to properly check the server's host key, assuming you created the
  # SSH_SERVER_HOSTKEYS variable previously, uncomment the following two lines
  # instead.
  # - mkdir -p ~/.ssh
  # - '[[ -f /.dockerenv ]] && echo "$SSH_SERVER_HOSTKEYS" > ~/.ssh/known_hosts'