0
Я чуть выше писал про велосипед, который код валидирует. Он же его при успешной валидации таскает на мастера.
Size: a a a
2016 December 20
X
Скриптами?
0
Поделка на Синатре с апишечкой.
X
Поделка на Синатре с апишечкой.
Можно подробнее?
0
У нас, кстати, не только GitLab, но ещё и древний SVN. И там, и там есть код паппета, который надо таскать на мастера и валидировать все коммиты.
Итак, есть приложение. Оно сидит на каждом мастере и мониторит состояние локального кода.
Как только происходит пуш в гитлаб, через API этот код передаётся одному из инстансов этого приложения на валидацию. Если всё ОК, оно говорит, что ОК, можешь принимать пуш. Если нет — отбивает, отдавая в stderr сообщение с ошибками, которое потом передаётся клиенту (ты сразу после команды git push видишь в консоли, что 1. синтаксис кривой тут 2. тут другой косяк 3. т.п.).
Если всё ОК, приложуха командует остальным мастерам обновить код. Команда ставится в очередь на выполнение.
Итак, есть приложение. Оно сидит на каждом мастере и мониторит состояние локального кода.
Как только происходит пуш в гитлаб, через API этот код передаётся одному из инстансов этого приложения на валидацию. Если всё ОК, оно говорит, что ОК, можешь принимать пуш. Если нет — отбивает, отдавая в stderr сообщение с ошибками, которое потом передаётся клиенту (ты сразу после команды git push видишь в консоли, что 1. синтаксис кривой тут 2. тут другой косяк 3. т.п.).
Если всё ОК, приложуха командует остальным мастерам обновить код. Команда ставится в очередь на выполнение.
0
Тут более детально сложно рассказывать, не углубляясь в API гитлаба, например и говнокод, который я понаписал.
Почему нам не подошла r10k — это потому, что оно вроде тогда не умело в гитлаб и точно не умело вещи типа "достать все репозитории из группы production"
Почему нам не подошла r10k — это потому, что оно вроде тогда не умело в гитлаб и точно не умело вещи типа "достать все репозитории из группы production"
BO
А гитлаб это надстройка над гитом с которой можно такие штуки проворачивать?
2016 December 21
p
Возможно туплю, т.к. выпил, но при чём тут последняя версия? Надо сделать так, чтобы только правильные люди могли пушить специфичный код, который может потенциально привести к тем штукам, которые видеть не хочется. Не хочется, чтобы:
- любой, кто может пушить в репу с кодом паппета, мог исполнять код на паппет-мастере: запрет на пуш функций
- нельзя включать классы на верхнем уровне scope, чтобы не подключалось на всех нодах окружения
- любому желающему нельзя править правила файрволла через класс ferm
- ...
Очевидно, это больше защита от дурака. Желающий, понятное дело, это обойдёт. На детектирование таких вещей заточены другие инструменты
- любой, кто может пушить в репу с кодом паппета, мог исполнять код на паппет-мастере: запрет на пуш функций
- нельзя включать классы на верхнем уровне scope, чтобы не подключалось на всех нодах окружения
- любому желающему нельзя править правила файрволла через класс ferm
- ...
Очевидно, это больше защита от дурака. Желающий, понятное дело, это обойдёт. На детектирование таких вещей заточены другие инструменты
вопрос "пушить в репор" решается ревью как бы не ?
p
субъективно всё это какие то странные решения, которые дают псевдозащиту.
p
непонтно зачем на них тратить время если всё равно защиту они не дают, а экономят.... ну хз. много ли времени.
p
и если "мёрджит в прод" всё равно человек отвественный за всё это и потом смотрит глазами что ок доехало, то непонятно зачем эти сложные автопроверки выходящие за рамки линтера )
X
А гитлаб это надстройка над гитом с которой можно такие штуки проворачивать?
Гитлаб это вроде локального битбакета,
X
Ну, когда паранойя мучает :)
X
Битбакет на своём сервере
X
Впрочем, в двух конторах, где я работала, я его таки ставила сама, ТК менеджера она (паранойя) мучала, поэтому не SaaS
X
Но мы всякие группы не юзали. В одной конторе юзали тикетницу гитлаба, но она там убогая, и плохая для AGILE
X
Забавно было, что в первой конторе стандарт был паппет, так что я для установки гитлаба писала враппер вокруг их официального установщика на шефе
p
Забавно было, что в первой конторе стандарт был паппет, так что я для установки гитлаба писала враппер вокруг их официального установщика на шефе
Есть вполне рабочий пуппет модуль
p
На фордже
X
Неужели на этом канале теперь есть жизнь ;)?