Parte 2: Configurar uma cadeia de ferramentas de CI

Este tutorial o orienta sobre como usar o modelo de cadeia de ferramentas para integração contínua (CI) com Security and Compliance Center práticas relacionadas em DevSecOps. O modelo é pré-configurado para implantação contínua (CD) com integração de inventário, gerenciamento de alterações com Git Repos and Issue Tracking, coleta de evidências e implantação em IBM Cloud Kubernetes Service.

Você pode personalizar e gerenciar de forma centralizada as configurações de IAM das contas em sua empresa para atender aos padrões internos e de conformidade.

Antes de Iniciar

Conclua o tutorial Configuração de pré-requisitos.
Assista ao vídeo a seguir:

Inicie a configuração da cadeia de ferramentas de CI

O serviço Continuous Delivery fornece modelos que o orientam na configuração da cadeia de ferramentas e criam processos em uma ordem lógica. Um indicador de progresso mostra as etapas para concluir a configuração. Siga as etapas para acessar o modelo da cadeia de ferramentas de CI.

No console IBM Cloud, clique no ícone Menu do menu > Automação da plataforma > Cadeias de ferramentas.
Na página Cadeias de ferramentas, clique em Criar cadeia de ferramentas.
Clique no bloco CI - Desenvolva um aplicativo seguro com práticas de DevSecOps.

Definir as configurações da cadeia de ferramentas de CI

A página de boas-vindas resume a finalidade da cadeia de ferramentas, além de indicar a documentação e os materiais relacionados.

Clique em Iniciar.
Insira um Nome da cadeia de ferramentas exclusivo em sua cadeia de ferramentas para a mesma região e grupo de recursos no IBM Cloud.
Selecione uma região.
Selecione um Grupo de recursos.
Clique em Continuar.

Será possível avançar para a próxima etapa apenas quando a configuração para a etapa atual for completa e válida. Você sempre pode clicar em Voltar para visualizar as etapas anteriores do instalador guiado. O instalador da cadeia de ferramentas retém todas as definições de configuração das etapas sucessivas.

Algumas etapas incluem um botão de alternância Alternar para configuração avançada. Por padrão, essas etapas apresentam a configuração mínima. No entanto, os usuários avançados que precisam de um controle mais refinado podem clicar no botão Alternar para configuração avançada para revelar as opções da integração subjacente.

Configurar integrações de ferramentas de CI

Revise as configurações padrão e forneça as configurações definidas pelo usuário sempre que necessário para configurar a integração da ferramenta de CI.

Aplicativo

Selecione Source Provider como Git Repos and Issue Tracking.
O comportamento padrão da cadeia de ferramentas é Usar aplicativo de amostra padrão. Atualmente, a cadeia de ferramentas é compatível com a vinculação apenas aos repositórios Git Repos and Issue Tracking existentes. Se estiver usando o repositório de código-fonte " aplicativo/serviço próprio, consulte:

Trazendo seu próprio aplicativo para o DevSecOps.
Configure automaticamente seus pipelines DevSecOps usando o recurso Inferred DevSecOps Pipeline Configuration.

Digite um nome exclusivo para Novo nome do repositório.
Clique em Continuar.

Inventário

O repositório de inventários registra detalhes de artefatos que são construídos pelas cadeias de ferramentas de CI.

Você pode aceitar a configuração padrão fornecida no modelo ou editar a configuração de acordo com suas necessidades.
Clique em Continuar.

Problemas

O repositório de questões registra problemas que são encontrados enquanto o pipeline de IC está em execução.

Você pode aceitar a configuração padrão fornecida no modelo ou editar a configuração de acordo com suas necessidades.
Clique em Continuar

Segredos

Especifique as integrações de cofre secreto a serem adicionadas à sua cadeia de ferramentas usando os botões de alternância. Para obter mais informações, consulte Gerenciando IBM Cloud segredos.

A cadeia de ferramentas de CI suporta segredos Arbitrários e credenciais IAM tipos secretos apenas.

Este tutorial usa IBM Cloud® Secrets Manager como o cofre para segredos. Os campos Região, Grupo de recurso e Nome do serviço são preenchidos automaticamente com base em escolhas disponíveis. Selecione os indicadores suspensos para ver as outras opções.
Digite seu Secrets Manager nome da instância.
Selecione o tipo de autorização.
Clique em Continuar.

Armazenamento de evidência

O repositório de evidências armazena todas as evidências e artefatos que são gerados pelo pipeline de CI do DevSecOps.

Alterne o controle deslizante do compartimento IBM Cloud Object Storage para armazenar todas as evidências no compartimento IBM Cloud Object Storage que pode ser configurado na próxima página.
Aceitar as configurações padrão.
Clique em Continuar.

Nuvem Object Storage balde

Você deve ter a instância IBM Cloud® Object Storage e um Cloud Object Storage bucket para atuar como um armário de evidências de conformidade.

Os campos Cloud Object Storage instance, Bucket name e Cloud Object Storage endpoint são preenchidos automaticamente.
Digite sua chave da API de ID do serviço.
- Preferencial: Uma chave existente pode ser importada de um cofre de segredos, clicando no ícone de chave.
- Uma chave existente pode ser copiada e colada.
Clique em Continuar.

O campo endpoint é opcional. Recomenda-se selecionar ou fornecer o terminal durante a configuração da cadeia de ferramentas ou durante a execução do pipeline.

Implementar

Configure o cluster Kubernetes de destino onde o aplicativo foi implementado.

Use o nome do aplicativo padrão hello-compliance-app.
Digite sua chave de API IBM Cloud. A chave da API é usada para interagir com a ferramenta IBM Cloud CLI em várias tarefas.
- Preferencial: Uma chave existente pode ser importada de um cofre de segredos, clicando no ícone de chave.
- Uma chave existente pode ser copiada e colada.
- Uma nova chave pode ser criada a partir daqui, clicando em New +.
A chave API recém-gerada pode ser imediatamente salva em um cofre de segredos.
Se a chave da API for válida e tiver acesso suficiente, o Container Registry, Container Registry namespace, Dev cluster region, Resource group, Cluster name, Cluster namespace são preenchidos automaticamente. Você pode alterar qualquer um desses campos para que correspondam à sua configuração.
Clique em Continuar.

Assinatura de artefato

Os artefatos criados pela cadeia de ferramentas e registrados no inventário devem ser assinados antes de serem implantados na produção.

Digite a GnuPG chave privada. Como alternativa, você pode criar uma nova chave GPG clicando em NEW. Para obter mais informações, consulte Geração de uma chave GPG.
Clique em Continuar.

DevOps Insights

O IBM Cloud DevOps Insights está incluído na cadeia de ferramentas. Visualize seus resultados de testes de pipeline para cada construção, a partir de cada implementação e ambiente.

Aceitar a configuração padrão.
Clique em Continuar.

SonarQube

Configure o SonarQube como a ferramenta de análise de código estático para a cadeia de ferramentas. O SonarQube fornece uma visão geral do funcionamento geral e da qualidade do seu código-fonte e destaca os problemas encontrados no novo código. Os analisadores de código estático detectam bugs complicados, como desreferências de ponteiro nulo, erros de lógica e vazamentos de recursos para várias linguagens de programação.

Aceitar a configuração padrão.
Clique em Continuar.

Ferramentas opcionais

Slack

Configure o Slack para receber notificações sobre suas solicitações pull ou eventos de pipeline de CI. Você também pode adicionar a ferramenta Slack após a criação da cadeia de ferramentas.

Digite seu webhook do Slack. Para obter mais informações, consulte Slack webhook.
Insira seu canal de folga para postar a mensagem.
Digite o nome da equipe de reserva. Por exemplo, se a sua equipe URL https://team.slack.com, o nome da equipe é team.
Escolha os eventos para os quais você deseja receber notificações Notificações automatizadas do Slack.
Clique em Continuar.

Crie a cadeia de ferramentas de CI

Na página de resumo, clique em Criar cadeia de ferramentas.
Aguarde a criação da cadeia de ferramentas. Isso pode levar alguns minutos.

Explore a cadeia de ferramentas de CI

A cadeia de ferramentas de CI contém ci-pr-pipeline (PR) e ci-pipeline (CI). Esses pipelines são acionados quando uma nova solicitação de mesclagem é enviada ou mesclada ao mestre no repositório do aplicativo.

Siga as etapas para acessar sua cadeia de ferramentas:

No console IBM Cloud, clique no ícone Menu do menu > Automação da plataforma > Cadeias de ferramentas.
Na página Cadeias de ferramentas, clique em Criar cadeia de ferramentas.
Clique em sua cadeia de ferramentas para visualizar a saída, conforme mostrado no artefato a seguir.

cadeia de ferramentas de CIDevSecOps

Execute o pipeline ci-pr

Para iniciar o ci-pr pipeline, você precisa criar uma solicitação de mesclagem no repositório do aplicativo.

Na página da cadeia de ferramentas de CI, clique no bloco ci-pr pipeline. Por padrão, ele é criado com o nome compliance-app-<timestamp>.
Crie uma ramificação a partir da ramificação principal.
Atualize o código no aplicativo ou adicione um arquivo leia-me e salve as alterações.
Clique em Enviar solicitação de mesclagem.
Na página da cadeia de ferramentas de CI, clique no bloco pr-pipeline. Verifique se o ci-pr pipeline é acionado pela criação da solicitação de mesclagem.
Aguarde a conclusão da execução do ci-pr pipeline. A solicitação de mesclagem correspondente que está em seu repositório de aplicativos está no estado Pending até que todos os estágios do pipeline de PR sejam concluídos com êxito.
Depois que a execução do pipeline de PR for bem-sucedida, clique no pipeline para explorar várias etapas que foram concluídas e para visualizar a página.

' Pipeline de RP de DevSecOps bem-sucedido
Acesse a Solicitação de mesclagem para mesclar a solicitação de modo que suas alterações sejam copiadas para o branch mestre do repositório do aplicativo.

Execute o pipeline de CI

Inicie o pipeline de IC de uma das seguintes formas:

Automaticamente: após um pipeline de PR bem-sucedido, aprovando e mesclando o PR na ramificação principal.
Manualmente: Para acionar o pipeline de CI manualmente, selecione o cartão Delivery Pipeline, clique em Run Pipeline (Executar pipeline ) e selecione Manual Trigger (Acionador manual).

Neste tutorial, o pipeline de CI foi acionado depois que você fez o merge das alterações de código na ramificação principal do repositório do aplicativo.

Na página da cadeia de ferramentas de CI, clique no bloco ci-pipeline.
Clique em Run no nome do seu pipeline. Observe que um pipeline está sendo executado. Aguarde a conclusão da execução do pipeline.
Depois que a execução do pipeline de CI for bem-sucedida, clique no pipeline para explorar as etapas concluídas e visualizar a página, conforme mostrado na captura de tela.

Pipeline de CI DevSecOps
Clique no bloco DevOps Insights para analisar as evidências coletadas na página Quality Dashboard, conforme mostrado na captura de tela.

Evidência de CI de DevSecOps

Você também pode revisar as evidências se o IBM Cloud Object Storage bucket estiver ativado durante a configuração. Para avaliar se há alguma falha na execução do pipeline, você precisa verificar a etapa final do pipeline, que tem um avaliador de pipeline.

Visualizando o aplicativo em execução

Depois de uma execução bem-sucedida de pipeline de CI, o aplicativo de amostra é implementado em seu cluster Kubernetes.

O aplicativo URL pode ser encontrado no final do registro da etapa run stage da tarefa deploy-dev da execução do pipeline de CI. Use o endereço URL para verificar se o aplicativo está em execução.

Customização de pipeline

Os vários pipelines fornecidos nas cadeias de ferramentas de integração contínua e implantação contínua de referência baseiam-se no suporte Continuous Delivery para Tekton Pipelines. Para obter mais informações sobre a personalização do pipeline, consulte Como um usuário personaliza o pipeline?

Próximas etapas

Você criou com êxito uma cadeia de ferramentas de CI DevSecOps, executou ci-pr pipeline e ci-pipeline para criar, testar e implantar suas alterações no ambiente de desenvolvimento. Agora você está pronto para explorar a Configuração de uma cadeia de ferramentas de CD.