IBM Cloud Docs
Richten Sie Ihre DevSecOps-Infrastruktur und die CI-Toolchain für die Implementierung einer sicheren App ein

Richten Sie Ihre DevSecOps-Infrastruktur und die CI-Toolchain für die Implementierung einer sicheren App ein

Verwenden Sie dieses Lernprogramm für die automatisierte Einrichtung und Bereitstellung der Infrastruktur für Ihr CI und Ihre CD-Toolchains mithilfe einer Terraform-basierten Schnelleinstiegsvorlage. Die Vorlage verwendet die bewährten Verfahren von DevSecOps für Compliance und Sicherheit. Die Vorlage verwendet ein Arbeitsbereich ' IBM Cloud® Schematics ', das die Erstellung der erforderlichen Infrastruktur für die sichere Bereitstellung Ihrer App in Kubernetes oder Red Hat® OpenShift® automatisiert. Die Vorlage verwendet die DevSecOps IBM Cloud® Continuous Delivery -Toolchain-Pipelinestruktur. Die Toolchain ist für die kontinuierliche Bereitstellung mit der Bestandsintegration, dem Änderungsmanagement, der Angabensammlung und der Implementierung vorkonfiguriert.

IBM Cloud Schematics stellt mit Terraform as a Service eine höhere Scriptsprache zum Modellieren der gewünschten Ressourcen, die Sie in Ihrer IBM Cloud-Umgebung verwenden möchten, und zum Aktivieren von Infrastructure as Code (IaC) zur Verfügung. Terraform ist eine Open-Source-Software, die von HashiCorp entwickelt wird. Terraform ermöglicht eine vorhersehbare und konsistente Ressourcenbereitstellung für die schnelle Erstellung komplexer mehrschichtiger Cloudumgebungen.

In diesem Lernprogramm führen Sie drei einfache Schritte aus, um einen Schematics Arbeitsbereich zu erstellen, einen Terraform-Ausführungsplan anzuwenden und den Wert für die Umgebungseigenschaften zu aktualisieren. Wenn Sie den Plan anwenden, richtet der Schematics Arbeitsbereich Ihre sichere Infrastruktur ein. Diese Infrastruktur kann von Ihrem Team gemeinsam genutzt werden, und sie funktioniert für die DevSecOpsEine Methodik, die Sicherheitsvorkehrungen in den Lebenszyklus von Softwareentwicklung und -betrieb integriert. Ziel der Einbindung ist ein ausgewogenes Verhältnis von Geschwindigkeit und Sicherheit bei der Entwicklung. CI- und CD-Toolchain-Vorlagen.

Die automatische Installation von Infrastruktur erstellt Ressourcen, die automatisch bereitgestellt werden, indem die Standardwerte aus den DevSecOps-CI-und CD-Vorlagen verwendet werden. Sie können die Standardwerte im Abschnitt Variablen des Arbeitsbereichs Schematics finden. Die folgenden Ressourcen werden erstellt:

Vorbereitende Schritte

  • Um dieses Lernprogramm abzuschließen. verwenden Sie ein Pay-As-You-Go oder Abonnements.-IBM CloudAccount, wo Sie der Eigentümer sind oder vollen Administratorzugriff haben. Wenn Sie bereits über ein IBM Cloud-Konto verfügen und dafür ein Upgrade durchführen müssen, finden Sie weitere Informationen unter Upgrade für Ihr Konto durchführen.
  • Installieren Sie die IBM Cloud-CLI, wenn Sie mit Elementen der Toolchain oder der Infrastruktur interagieren möchten, nachdem sie erstellt wurden.
  • Besorgen Sie sich ein GitLab Personal Access Token. Geben Sie einen Namen für Ihr persönliches Zugriffstoken ein. Erstellen Sie Ihr Token in derselben Region wie Ihre CI-Toolchain. Stellen Sie sicher, dass Sie das Token kopieren und speichern, da es später benötigt wird, und Sie nicht erneut darauf zugreifen können.
  • Erstellen Sie einen IBM Cloud API-Schlüssel. Stellen Sie sicher, dass Sie den API-Schlüsselwert kopieren, und speichern oder herunterladen, da Sie ihn später benötigen und Sie nicht erneut darauf zugreifen können.

Schematics-Arbeitsbereich erstellen

  1. Klicken Sie auf eine der folgenden Optionen für das Clusterimplementierungsziel. Bei Auswahl dieser Aktion wird die Seite "Implementieren in IBM Cloud " geöffnet, auf der Sie einen Schematics -Arbeitsbereich erstellen können. Füllen Sie die erforderlichen Felder auf dieser Seite aus, und klicken Sie anschließend auf Weiter.

    Bereitstellen auf Kubernetes am IBM Cloud

    Einsetzen in OpenShift on IBM Cloud

    Auf der Basis der ausgewählten Option wird die entsprechende Terraform-Vorlage dieses Repositorys automatisch in den neuen Schematics-Arbeitsbereich importiert.

  2. Überprüfen Sie die Informationen, und klicken Sie anschließend auf Erstellen. Der Arbeitsbereich Schematicswird erstellt, und die Seite "Einstellungen" für den Arbeitsbereich Schematicswird angezeigt.

Terraform-Ausführungsplan anwenden

  1. Geben Sie im Abschnitt Variablen der Seite mit den Schematics-Einstellungen die Werte für die einzelnen Variablen ein. Erforderliche Felder haben keine Standardwerte. Sie können Standardwerte überschreiben.

    Wenn Sie den Wert sm_service_name überschreiben, verwendet der Terraform-Ausführungsplan die vorhandene Ressource, anstatt eine neue Ressource zu erstellen.

  2. Geben Sie für die Variable gitlab_token das persönliche Zugriffstoken ein, das Sie zuvor erhalten haben.

  3. Geben Sie für die Variable ibmcloud_api_key den IBM CloudAPI-Schlüssel, den Sie zuvor erhalten haben, ein.

  4. Geben Sie für die Variable registry_namespace einen Containerregisternamensbereichswert ein. Um einen Namensraum zu erstellen, siehe Container Registry Namespaces.

  5. Für die Variable kube_version führen Sie: ibmcloud ks versions in einer Befehlszeile aus, um die verfügbaren Versionen anzuzeigen.

  6. Optional. Wenn Sie bereits eine Secrets Manager -Instanz haben, geben Sie den Namen für die Variable sm_service_name ein. Anderenfalls ändern Sie diese Variable nicht.

  7. Optional. Wenn Sie die Größe oder den Standort Ihres Clusters anpassen möchten, können Sie die folgenden Variablen außer Kraft setzen: datacenter, default_pool_size, machine_type, hardware, public_vlan_num oder private_vlan_num (die Standardwerte sind für das Rechenzentrum dal12/us-south ).

  8. Optional. Klicken Sie auf Plan generieren. Durch diese Aktion wird ein Terraform-Ausführungsplan erstellt und Ihre Konfiguration wird auf Syntaxfehler überprüft. Auf der Seite Schematics Jobs können Sie Protokolldateien auf Fehler und IBM Cloud Ressourcen, die erstellt, geändert oder gelöscht werden müssen, überprüfen, um den korrekten Status der Terraformvorlage zu erreichen.

  9. Nachdem Sie alle Werte für die Variablen eingegeben haben und mit den Änderungen zufrieden sind, klicken Sie auf Plan anwenden , um den Infrastrukturcode auszuführen.

    Die Ausführung dieses Schritts nimmt einige Zeit in Anspruch (normalerweise 20 bis 30 Minuten, es kann jedoch auch länger dauern), da ein neuer Kubernetes- oder OpenShift-Cluster erstellt werden muss.

  10. Auf der Seite Schematics Jobs können Sie das Protokoll anzeigen, indem Sie den Jobnamen erweitern.

  11. Nachdem der Plan angewendet wurde, können Sie die URL der generierten Toolchain IBM Cloud DevSecOps CI anzeigen. Die URL befindet sich am Ende der Protokolldatei in einer Zeile, die mit View the toolchain at:beginnt.

Wenn Sie den Plan ein zweites Mal anwenden, werden der zuvor erstellte Kubernetes- bzw. OpenShift-Cluster und alle darin bereitgestellten Anwendungen gelöscht und es wird ein neuer Cluster erstellt. Wenn Sie jedoch den Standardclusternamen überschreiben, wird dieser Cluster verwendet.

App bereitstellen

Folgen Sie diesen Schritten, um die Pipeline auszuführen.

  1. Gehen Sie zu Ihrer neu erstellten DevSecOps CI-Toolchain.
  2. Klicken Sie auf die Git kachel, die mit compliance-app beginnt.
  3. Um die pr-pipeline auszulösen, aktualisieren Sie einen Text in der Datei README.md und starten dann einen PR gegen den Zweig main.
  4. Ändern Sie im Feld Zielzweig den Namen des Zweigs von main in einen anderen Namen. Zum Beispiel mybranch.
  5. Vergewissern Sie sich, dass das Kontrollkästchen "Einen neuen Zusammenführungsantrag mit diesen Änderungen starten" aktiviert ist.
  6. Klicken Sie auf Änderungen übernehmen.
  7. Optional. Fügen Sie auf der Seite Neue Zusammenführungsanfrage eine Beschreibung hinzu.
  8. Klicken Sie auf Seriendruckauftrag erstellen.

Die pr-Pipeline in der ci-toolchain wird ausgelöst. Überprüfen Sie, ob die Pipeline läuft, indem Sie diese Schritte ausführen:

  1. Kehren Sie zu Ihrer CI-Toolchain zurück, und klicken Sie auf die Delivery Pipeline kachel für Ihre pr-pipeline. Auf der Seite pr-pipeline Dashboard können Sie sehen, dass die pr-pipeline läuft.

  2. Um den Fortschritt zu sehen, klicken Sie auf den Link pr-pipeline.

    pr-pipeline
    Abbildung 1. pr-pipeline Dashboard

Hinweise:

  1. Wenn Schwachstellen gefunden werden, schlägt der Schritt Code-pr-finish fehl.

  2. Um die Schwachstellen zu finden, gehen Sie zu code-unit-tests > run-stage, um die Protokolle anzuzeigen. (Bildschirmfoto)

  3. Lösen Sie die Schwachstellen, und dann wird die Pr-Pipeline ausgelöst.

  4. Gehen Sie zurück zur App-Repository-Kachel.

  5. Klicken Sie im Navigationsbereich auf Anfragen zusammenführen.

  6. Wählen Sie die PR.

  7. Optional. Klicken Sie auf die Schaltfläche Genehmigen (andernfalls wird am Ende des ci-pipeline-Laufs ein Fehler angezeigt).

  8. Wählen Sie "Quellzweig löschen"

  9. Klicken Sie auf Zusammenführen.

Die Zusammenführung dieses PR löst automatisch die ci-pipeline aus. Um dies zu überprüfen, gehen Sie zurück zur Kachel ci-pipeline in der Toolchain und überprüfen Sie, ob die Pipeline läuft. Klicken Sie auf den Link zur Pipeline, um den Fortschritt zu sehen.

In diesem Schritt wird die Anwendung in dem neu erstellten Cluster bereitgestellt. Die Anwendung URL befindet sich am Ende der Protokolldatei im Schritt deploy-dev > run-stage der ci-pipeline.

Nächste Schritte

Fahren Sie mit dem Abschnitt "Toolchain durchsuchen" des nächsten Lernprogrammsfort und führen Sie die CI-PR-und CI-Pipelines aus. Fahren Sie anschließend mit dem Rest der Schritte in diesem Lernprogramm fort, um eine sichere App zu implementieren.

Sie können jederzeit alle Ressourcen anzeigen, die mit diesem Lernprogramm erstellt wurden, indem Sie auf das Symbol Menü Menüsymbol klicken und Ressourcenliste auswählen. Sie können Ihren Schematics Arbeitsbereich, Cluster, IBM Cloud Object Storage Instanz, Secrets Manager-Service, Continuous Delivery-Service und Toolchain anzeigen.