애플리케이션

애플리케이션 소스 코드 저장소를 참조하는 애플리케이션 단계가 다음 이미지에 표시됩니다.

권장되는 옵션은 기본적으로 표시되지만 고급 구성으로 전환 토글을 클릭하여 기본 Git 통합에 사용 가능한 모든 구성 옵션을 볼 수 있습니다. 도구 체인의 기본 동작은 샘플 애플리케이션을 IBM호스트 Git Repos and Issue Tracking 저장소로 복제하는 기본 샘플 애플리케이션 사용하기 입니다.

도구 체인이 애플리케이션 저장소로 작성한 IBM호스트 Git Repos and Issue Tracking 저장소의 이름을 입력하십시오.

저장소의 영역은 도구 체인의 영역과 동일하게 유지됩니다.

기존의 애플리케이션 저장소를 도구 체인에 링크하려면 사용자 고유의 애플리케이션 가져오기 옵션을 선택하고 이를 저장소 URL 필드에 입력으로 제공하십시오. 이전에 언급한 대로 도구 체인은 현재 기존 Git Repos and Issue Tracking 저장소에만 링크를 지원합니다. 사용자 고유의 애플리케이션 가져오기에 대해 자세히 알려면 DevSecOps에 사용자 고유의 앱 가져오기를 참조하십시오.

인벤토리

변경 관리가 이 저장소에서 추적됩니다. CD 파이프라인은 작성된 CR 번호로 이름 지정된 새 분기를 작성하고 배치가 완료된 후 이를 마스터에 병합합니다.

The default behavior of the toolchain is to 새 인벤토리 저장소 작성 that creates a new Inventory Repository as IBM-hosted Git Repos and Issue Tracking Repository. 기존의 자원 명세 저장소를 도구 체인에 링크하려는 경우 기존 재고 저장소 사용 옵션을 선택하고 이를 저장소 URL 필드에 입력으로 제공할 수 있습니다. 이전에 언급한 대로 도구 체인은 현재 기존 Git Repos and Issue Tracking 저장소에만 링크를 지원합니다.

• 새 저장소 이름: 인벤토리 저장소로 도구 체인이 작성한 IBM호스트 Git Repos and Issue Tracking 저장소의 이름입니다. 저장소의 지역은 도구 체인의 지역과 동일하게 유지됩니다.

문제

빌드 및 배치 프로세스 중에 캡처되는 인시던트에 대한 문제는 저장소에서 추적됩니다.

The default behavior of the toolchain is to 새 출고 저장소 작성 that creates a new repository as IBM-hosted Git Repos and Issue Tracking Repository. 기존 문제점 저장소를 도구 체인에 링크하려는 경우 기존 문제점 저장소 사용 옵션을 선택하고 이를 저장소 URL 필드에 입력으로 제공할 수 있습니다. 이전에 언급한 대로 도구 체인은 현재 기존 Git Repos and Issue Tracking 저장소에만 링크를 지원합니다.

• 새 저장소 이름: 인벤토리 저장소로 도구 체인이 작성한 IBM호스트된 Git Repos and Issue Tracking repo의 이름입니다. 저장소의 지역은 도구 체인의 지역과 동일하게 유지됩니다.

시크릿

이 도구 체인의 몇 개 도구에는 권한 있는 리소스에 액세스하는 데 시크릿이 필요합니다. IBM Cloud API 키는 이러한 시크릿의 예제입니다. 모든 비밀은 비밀 저장소에 안전하게 저장된 후 도구 체인에 필요한 대로 참조되어야 합니다.

비밀 단계는 도구 체인에 추가되는 비밀 저장소 통합을 지정합니다. 제공된 토글을 사용하여 필요한 볼트 통합을 추가하거나 제거하십시오. 그러나 후속 단계에서 구성할 수 있습니다. 또한 저장소 제공자 및 통합을 사전 구성하는 데 중요한 정보를 제공하므로 Continuous Delivery 에서 민감한 데이터 보호 문서의 개념에 익숙해야 합니다.

If you plan to use IBM Key Protect or HashiCorp Vault for managing your secrets, see the CI 설정 안내서의 IBM Key Protect 섹션.

IBM Key Protect

Key Protect 를 사용하여 도구 체인의 일부인 API키, 이미지 서명 또는 HashiCorp 저장소 신임 정보와 같은 비밀을 안전하게 저장하고 적용하십시오. 계속하기 전에 Key Protect 서비스 인스턴스를 작성해야 합니다. 전제조건으로 Key Protect 서비스 인스턴스를 이미 작성한 경우 이 단계에서 동일한 내용을 링크할 수 있습니다.

• 이름: 도구 체인에서 작성한 Key Protect 인스턴스의 이름입니다. 이 키 보호 인스턴스는 도구 체인 설정의 다양한 단계 동안 이 이름으로 액세스할 수 있습니다.
• 지역: Key Protect 서비스가 있는 지역입니다.
• 리소스 그룹: Key Protect 서비스가 속하는 리소스 그룹입니다.
• 서비스 이름: Key Protect 서비스 이름입니다.

HashiCorp 저장소를 사용하기 위한 우수 사례를 준수하기 위해 이 템플리트에는 HashiCorp 저장소 Role ID 및 Secret ID를 안전하게 관리하기 위한 Key Protect 도구 통합이 포함되어 있습니다. 이러한 HashiCorp 저장소 기밀을 Key Protect 에 사용자가 도구 체인을 작성하기 위한 전제조건으로 저장하면, 대부분의 이용자에게는 기본 기밀 리포인 HashiCorp 저장소에 대한 액세스를 보호할 수 있습니다.

IBM Secrets Manager

Secrets Manager 를 사용하여 도구 체인의 일부인 API키, 이미지 서명 또는 HashiCorp 저장소 신임 정보와 같은 비밀을 안전하게 저장하고 적용할 수 있습니다. 계속하기 전에 Secrets Manager 서비스 인스턴스를 작성해야 합니다. 전제조건으로 Secrets Manager 서비스 인스턴스를 작성한 경우 이 단계에서 동일한 내용을 링크할 수 있습니다.

• 이름: 도구 체인에서 작성한 Secrets Manager 인스턴스의 이름입니다. 이 Secrets Manager 인스턴스는 도구 체인 설정의 다양한 단계 동안 이 이름으로 액세스할 수 있습니다.
• 지역: Secrets Manager 서비스가 있는 지역입니다.
• 자원 그룹: Secrets Manager 서비스가 속하는 자원 그룹입니다.
• 서비스 이름: Secrets Manager 서비스 이름입니다.

Hashicorp Vault

HashiCorp Vault를 사용하여 도구 체인에 필요한 시크릿을 안전하게 저장하십시오. 비밀의 예로는 API키, 사용자 비밀번호 또는 민감한 정보에 액세스할 수 있는 기타 토큰이 있습니다. 사용자의 도구 체인은 비밀 회전과 같은 고급 기능을 사용할 수 있는 리터럴 비밀 값이 아닌 HashiCorp 금고 비밀 정보를 저장합니다.

• 이름: 이 도구 통합의 이름입니다. 이 이름은 도구 체인에 표시됩니다.
• 서버 URL: HashiCorp Vault 인스턴스의 서버 URL입니다. (예: https://192.168.0.100:8200)
• 통합 URL: HashiCorp Vault 통합 타일을 클릭할 때 탐색할 URL입니다.
• 시크릿 경로: 시크릿이 HashiCorp Vault 인스턴스에 저장되는 마운트 경로입니다.
• 인증 방법: HashiCorp Vault 인스턴스의 인증 방법입니다.
• 역할 ID: 팀의 AppRole 역할 ID입니다.
• 시크릿 ID: 팀의 시크릿 ID입니다.

참고: 이 메소드는 비밀 값을 읽는 데 사용할 수 있으므로 AppRole 인증 메소드를 사용하도록 권장합니다.

증거 스토리지

애플리케이션에 속한 모든 원시 규제 준수 증거가 이 저장소에 수집됩니다. 평가 목적으로만 이 저장소 옵션을 사용하십시오.

The default behavior of the toolchain is to 새 증거 보관 저장소 작성 that creates a new repository as IBM-hosted Git Repos and Issue Tracking Repository. 도구 체인의 기존 증거 잠금을 링크하려면 기존 증거 보관 저장소 사용 옵션을 선택하고 이를 저장소 URL 필드에 입력으로 제공하십시오. 이전에 언급한 대로 도구 체인은 현재 기존 Git Repos and Issue Tracking 저장소에만 링크를 지원합니다.

그러나 다음 이미지에 설명된 대로 구성할 수 있는 Cloud Object Storage 버켓에 모든 증거를 수집하고 저장해야 합니다.

Cloud Object Storage 버킷

Cloud Object Storage는 DevSecOps 파이프라인에서 생성한 증거 및 아티팩트를 저장하는 데 사용됩니다. 이 기능을 사용하려면 Cloud Object Storage 인스턴스 및 버킷이 있어야 합니다. 규제 준수 증거 라커로 사용할 수 있는 버킷을 구성하기 위한 권장사항을 읽으십시오.

보유 정책이 없어도 모든 종류의 Cloud Object Storage 버켓을 로커로 선택적으로 설정할 수 있습니다. 파이프라인은 현재 설정을 확인하거나 적용하지 않습니다. 도움말은 Cloud Object Storage 문서를 참조하십시오.

버킷을 설정하려면 파이프라인에 관한 다음 정보를 제공해야 합니다.

• Cloud Object Storage 엔드포인트
• 버킷 이름
• 서비스 API 키

필요한 cos-bucket-name 및 cos-endpoint를 제공하여 나중에 Cloud Object Storage 로커를 설정할 수 있습니다. Cloud Object Storage 버킷을 제거하려면 이전 단계에서 Cloud Object Storage 버킷 토글을 사용하십시오.

Cloud Object Storage 엔드포인트를 가져오려면 Cloud Object Storage 인스턴스의 페이지를 참조하고 메뉴에서 '엔드포인트' 섹션을 선택하십시오. 버킷의 지역 및 복원성과 일치하는 공용 엔드포인트를 복사해야 합니다.

Cloud Object Storage를 증거 라커로 사용하지 않기로 결정한 경우, CI 파이프라인에서 cos-bucket-name, cos-endpoint environment 환경 변수를 설정하여 도구 체인을 작성한 후에 필요한 값을 설정할 수도 있습니다.

배치

The default behavior of the toolchain is to 기존 파이프라인 복제 that creates a new repository as IBM-hosted Git Repos and Issue Tracking Repository. 기존 파이프라인 저장소를 도구 체인에 링크하려면 기존 저장소 사용 을 선택하고 이를 저장소 URL 필드에 입력으로 제공하십시오. 이전에 언급한 대로 도구 체인은 현재 기존 Git Repos and Issue Tracking 저장소에만 링크를 지원합니다.

• 앱 이름:

애플리케이션의 이름입니다. -기본값: hello-compliance-app

IBM Cloud API 키

API 키는 여러 태스크에서 ibmcloud CLI 도구와 상호작용하는 데 사용됩니다. 클러스터를 이미 작성한 경우, 클러스터에 액세스하고 보안 저장소 ( Key Protect, Secrets Manager또는 HashiCorp 저장소) 에 키를 저장하기 위한 API가 이 단계에서 동일하게 사용할 수 있습니다.

• Option-1: 기본 키 아이콘 (권장) 을 클릭하여 전제조건으로 작성된 기존 비밀 제공자 인스턴스 (Key Protect 인스턴스, 비밀관리자 인스턴스 또는 HashiCorp 저장소) 에서 기존 키를 가져올 수 있습니다.
• 옵션-2: 기존 키를 복사하여 붙여넣을 수 있습니다(권장되지 않음).
• Option-3: **새로 작성+**을 클릭하여 여기서 새 키를 작성할 수 있습니다. 필드에 기존 키를 복사하거나 복사하지 않은 경우 새 api키를 생성하십시오. 새로 생성된 API키는 기존 Key Protect 인스턴스에 저장할 수 있습니다.

새로 생성된 API키는 기존 Key Protect 인스턴스에 저장할 수 있습니다.

키 아이콘을 클릭하여 시크릿 제공자의 기존 키를 사용하십시오.

• 제공자: 이전에 도구 체인에 연결된 대로 클러스터에 액세스하는 데 필요한 API 키를 저장하는 시크릿 제공자입니다. Key Protect 인스턴스, Secret Manager 인스턴스 또는 Hashicorp Vault 인스턴스가 될 수 있습니다.
• 리소스 그룹: Secrets Manager 제공자가 속한 리소스 그룹입니다.
• 비밀명: API키와 같은 비밀의 이름 또는 별명.

작성되거나, 저장소에서 검색되거나 수동으로 다음 필드에 입력된 API키를 사용하여 API키에 충분한 액세스 권한이 있는 경우 자동으로 로드한다. API키가 유효하면, 컨테이너 레지스트리 영역 및 네임스페이스 클러스터 영역, 이름, 네임스페이스 및 자원 그룹이 자동으로 채워집니다. 필요한 경우 구성과 일치하도록 이러한 필드를 변경하십시오.

인벤토리 대상 및 소스 분기

• 인벤토리 소스 환경: 애플리케이션을 승격할 환경.기본값: master
• 인벤토리 대상 환경: 애플리케이션을 배치할 환경. 기본값: prod
• 대상 지역: 애플리케이션이 배치된 대상 지역(선택사항)
• 변경 요청 PR 및 문제를 위한 긴급 레이블: 긴급 배치에 사용할 변경 요청의 레이블

이미지 서명

이 도구 체인으로 빌드되고 인벤토리에 기록된 모든 이미지는 프로덕션에 배치하기 전에 서명해야 합니다. 파이프라인은 Skopeo를 기본 도구로 사용하여 이미지 서명 기능을 제공합니다. 기존 GPG 키를 사용하거나 새 GPG 키 쌍을 작성할 수 있습니다.

키가 시크릿을 저장하기 위해 선택한 도구에서 요구하는 적절한 인코딩을 따르는지 확인하십시오.

키 를 클릭하여 시크릿 제공자의 기존 키를 사용하십시오.

• 제공자: GPG키를 저장하는 비밀 제공자입니다. Key Protect 인스턴스, Secret Manager 인스턴스 또는 Hashicorp Vault 인스턴스가 될 수 있습니다.
• 리소스 그룹: Secrets Manager 제공자가 속한 리소스 그룹입니다.
• 비밀명: 비밀정보의 이름 또는 별명, 즉, GPG키.

DevOps Insights

IBM Cloud DevOps Insights는 작성된 도구 체인에 포함되어 있으며 규제 준수 검사가 완료될 때마다 증거가 공개됩니다. DevOps Insights에 대한 구성 단계를 제공할 필요가 없습니다. CI 파이프라인은 자동으로 도구 체인에 포함된 통찰력 인스턴스를 사용합니다. DevOps Insights는 코드, 테스트, 빌드, 배치 데이터를 집계하여 모든 팀과 릴리스의 속도와 품질에 대한 가시성을 제공합니다.

선택적 도구

Slack

PR/CI 파이프라인 이벤트에 관한 알림을 수신하려는 경우 도구 체인 템플리트에서 설정 중에 Slack 도구를 구성하거나 나중에 Slack 도구를 추가할 수 있습니다.

Slack 채널이 도구에서 알림을 수신하려면 Slack 웹훅 URL이 필요합니다. 웹훅 URL을 가져오려면 Slack API 웹 사이트의 수신 웹훅 절을 참조하십시오.

공통 DevOps Insights 도구 체인

DevOps Insights는 선택적으로 작성된 도구 체인에 포함될 수 있으며 규제 준수 검사가 완료될 때마다 증거가 공개됩니다. 도구 체인은 기존 DevOps Insights 인스턴스를 사용하여 통찰력에 대한 배치 레코드를 공개할 수 있습니다. 통합 ID를 제공하여 다른 도구 체인에서 DevOps Insights 통합을 연결할 수 있습니다.

도구 체인의 URL에서 도구 체인 ID를 복사할 수 있습니다. 도구 체인의 URL은 다음 패턴을 따릅니다. https://cloud.ibm.com/devops/toolchains/<toolchain-ID-comes-here>?env_id=ibm:yp:us-south

예를 들어, URL이 https://cloud.ibm.com/devops/toolchains/aaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee?env_id=ibm:yp:us-south인 경우 도구 체인의 ID는 aaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee입니다.

주: 전체 URL이 아닌 ID만 포함하십시오.

또한 DOI 상호작용을 위한 대상 환경을 설정할 수 있습니다. 이 매개변수는 선택적 매개변수입니다. 이 매개변수를 제공하면 인벤토리의 대상 환경 대신 사용됩니다.

SonarQube

SonarQube 를 도구 체인의 정적 코드 분석 도구로 구성하십시오. SonarQube에서는 소스 코드의 전체 상태와 품질의 개요을 제공하고 새 코드에서 발견된 문제를 강조표시합니다. 정적 코드 분석기는 다중 프로그래밍 언어에 대한 널 포인터 역참조, 논리 오류 및 자원 누수와 같은 까다로운 버그를 발견합니다.

기본 구성을 사용하면 SonarQube 스캔이 지속되지 않는 Docker 컨테이너의 격리된 Docker 에서 실행됩니다.

클러스터 구성을 사용하면, 파이프라인은 배치 단계에서 구성된 Kubernetes 클러스터에 새 SonarQube 인스턴스를 프로비저닝합니다. 이 인스턴스는 첫 번째 파이프라인 실행 중에 프로비저닝되며 모든 후속 파이프라인 실행에 사용 가능한 상태로 남아 있습니다.

도구 체인이 다른 호스트에서 프로비저닝한 기존 SonarQube 인스턴스를 사용하도록 하려면 사용자 정의 구성 옵션을 사용하십시오.

PR 파이프라인 실행

• PR 파이프라인을 시작하려면 애플리케이션 저장소에서 가져오기 요청을 작성하십시오.

• 애플리케이션 저장소의 해당 병합 요청은 PR 파이프라인의 모든 단계가 완료될 때까지 "보류 중" 상태입니다.

CD 파이프라인 실행

CD 파이프라인을 시작하는 방법은 다음과 같이 두 가지가 있습니다.

• 자동: PR 파이프라인 성공 후에 PR을 승인하고 마스터 분기에 병합하여 시작합니다.
• 수동으로: CI 파이프라인을 수동으로 트리거하려면 Delivery Pipeline 카드를 선택하고 파이프라인 실행 을 클릭하고 수동 트리거를 선택하십시오.

이 문서에서 코드 변경사항을 애플리케이션 저장소의 마스터 분기로 병합한 후 CI 파이프라인이 트리거되었습니다.

1. CI 도구 체인 페이지에서 ci-파이프라인 타일을 클릭하십시오.
2. 관찰: pipeline-run이 실행 중입니다. pipeline-run이 완료될 때까지 기다리십시오.

CI 파이프라인 실행이 성공한 후에는 이를 클릭하여 완료된 단계를 탐색할 수 있다.

파이프라인의 단순화된 태스크 플로우: (다시, 유틸리티 태스크는 생략됩니다. 예를 들어, GitHub에서 상태 확인 업데이트, 신임 정보 페치 등) 녹색 태스크가 증거를 출력하고 있습니다.

CI 파이프라인의 모든 준수 검사에서 도구 체인 설정 중에 제공된 증거 보관 저장소로 증거가 수집됩니다. CI의 증거는 raw/ci/<pipeline-run-id>/*.json아래에 저장됩니다.

또한 증거는 도구 체인 내 DevOps Insights 인스턴스에 공개됩니다. 도구 체인에서 DevOps Insights 도구 카드를 클릭하여 탐색할 수 있습니다. 품질 대시보드 페이지에서 수집된 증거를 검토할 수 있습니다.

파이프라인 실행에 실패가 있는지 평가하려면 파이프라인 평가자가 있는 파이프라인의 최종 단계를 확인해야 합니다.

실행 중인 애플리케이션 보기

CI 파이프라인이 성공적으로 실행된 후 샘플 애플리케이션이 Kubernetes 클러스터에 배치되고 dev 네임스페이스에서 실행 중입니다.

앱 URL은 CI 파이프라인 실행의 run stage 태스크의 deploy-dev 단계에 관한 로그 끝에서 찾을 수 있습니다. 이 URL을 사용하여 애플리케이션이 실행 중인지 확인한다.