Alauda DevOps Pipelines Docs
  • Русский

    • Входящие Webhook

    Входящие webhook позволяют запускать пайплайны напрямую через HTTP POST-запросы, без необходимости использования событий Git.

    Содержание

    ОбзорНастройка входящего WebhookЗапуск пайплайна через входящий WebhookПолезная нагрузка входящего WebhookПользовательские параметрыВопросы безопасностиУстранение неполадок с входящими WebhookЛучшие практики1. Управление PipelineRun2. Мониторинг3. Входящие WebhookУстранение неполадокPipelineRun не создаетсяPipelineRun не запускаетсяСтатус не передаетсяСледующие шаги

    Обзор

    Входящие webhook предоставляют возможность:

    • Запускать пайплайны из внешних систем
    • Интегрироваться с CI/CD инструментами, которые не используют Git
    • Запускать пайплайны вручную или через API вызовы
    • Поддерживать пользовательские полезные нагрузки и параметры
    Как работают входящие Webhook
    1. HTTP POST-запрос: Отправьте POST-запрос на эндпоинт /incoming контроллера PAC
    2. Аутентификация: PAC проверяет запрос с помощью секрета (из заголовка или параметра запроса)
    3. Поиск репозитория: PAC находит CR Repository по имени репозитория и namespace
    4. Запуск пайплайна: PAC обрабатывает полезную нагрузку и запускает соответствующие пайплайны, аналогично событиям Git webhook
    5. Создание PipelineRun: PAC создает PipelineRuns на основе полезной нагрузки и определений пайплайна

    Основные отличия от Git webhook:

    • Нет участия Git-провайдера — прямые HTTP-запросы
    • Пользовательский формат полезной нагрузки — вы контролируете структуру
    • Можно запускать пайплайны без реальных коммитов в Git
    • Полезно для внешних интеграций и ручных запусков

    Настройка входящего Webhook

    1. Включите в CR Repository: Добавьте конфигурацию входящего webhook в ваш CR Repository:

      apiVersion: pipelinesascode.tekton.dev/v1alpha1
kind: Repository
metadata:
  name: my-repo
  namespace: project-pipelines
spec:
  url: "https://gitlab.com/user/repo"
  git_provider:
    type: gitlab
    url: "https://gitlab.com"
    secret:
      name: gitlab-secret
      key: token
    webhook_secret:
      name: webhook-secret
      key: secret
  # Конфигурация входящего webhook
  incoming:
  - type: webhook-url
    secret:
      name: incoming-webhook-secret
      key: secret

    2. Создайте секрет для входящего webhook:

      kubectl create secret generic incoming-webhook-secret \
  --from-literal=secret=your-incoming-webhook-secret \
  -n project-pipelines

    3. Получите URL входящего webhook:

    Эндпоинт входящего webhook:

    http://<pac-controller-url>/incoming

    Параметры URL (необязательно, можно передавать также через заголовки):

    • repository: имя CR Repository
    • namespace: namespace, где расположен CR Repository
    • secret: значение секрета входящего webhook

    Пример с параметрами запроса:

    http://pac.example.com/incoming?repository=my-repo&namespace=project-pipelines&secret=your-secret

    Пример с заголовками (рекомендуется для безопасности):

    http://pac.example.com/incoming

    С заголовками: X-Repository, X-Namespace, X-Secret

    Рекомендации по безопасности

    Используйте заголовки (X-Repository, X-Namespace, X-Secret) вместо параметров запроса, чтобы избежать раскрытия секретов в URL и логах.

    Запуск пайплайна через входящий Webhook

    Отправьте POST-запрос на эндпоинт входящего webhook:

    curl -X POST \
  http://pac.example.com/incoming \
  -H "Content-Type: application/json" \
  -H "X-Repository: my-repo" \
  -H "X-Namespace: project-pipelines" \
  -H "X-Secret: your-incoming-webhook-secret" \
  -d '{
"ref": "refs/heads/main",
"sha": "abc123def456...",
"repository": {
  "url": "https://gitlab.com/user/repo"
}
  }'

    Полезная нагрузка входящего Webhook

    Входящий webhook принимает JSON-полезную нагрузку со следующей структурой:

    {
  "ref": "refs/heads/main",
  "sha": "commit-sha",
  "repository": {
    "url": "https://gitlab.com/user/repo",
    "name": "repo-name",
    "full_name": "user/repo"
  },
  "sender": {
    "login": "username"
  },
  "head_commit": {
    "message": "Commit message",
    "author": {
      "name": "Author Name",
      "email": "author@example.com"
    }
  }
}

    Пользовательские параметры

    Вы можете передавать пользовательские параметры в полезной нагрузке webhook:

    {
  "ref": "refs/heads/main",
  "sha": "abc123...",
  "repository": {
    "url": "https://gitlab.com/user/repo"
  },
  "params": {
    "environment": "production",
    "deploy": "true"
  }
}

    Эти параметры доступны в вашем пайплайне как $(params.environment) и $(params.deploy).

    Вопросы безопасности

    1. Используйте секреты: Всегда используйте секреты webhook для проверки запросов
    2. HTTPS: Используйте HTTPS для эндпоинтов webhook в продакшене
    3. Сетевые политики: Ограничьте доступ к эндпоинтам входящего webhook
    4. Ограничение частоты: Реализуйте ограничение частоты запросов для предотвращения злоупотреблений
    5. Проверка полезной нагрузки: Валидируйте входящие полезные нагрузки перед обработкой

    Устранение неполадок с входящими Webhook

    1. Проверьте URL webhook: Убедитесь, что URL правильный и доступен

    2. Проверьте секрет: Убедитесь, что секрет совпадает в запросе и CR Repository

    3. Проверьте логи PAC:

      kubectl logs -n <pac-namespace> -l app=pipelines-as-code-controller --tail=100 | grep incoming  # Замените <pac-namespace> на ваш namespace (по умолчанию: tekton-pipelines)

    4. Проверьте CR Repository: Убедитесь, что входящий webhook настроен корректно

    5. Тестируйте с помощью curl: Используйте curl для проверки эндпоинта webhook

    Лучшие практики

    1. Управление PipelineRun

    • Устанавливайте лимиты очистки: Используйте max-keep-runs, чтобы избежать накопления
    • Мониторьте ресурсы: Следите за использованием ресурсов PipelineRuns
    • Архивируйте важные запуски: Экспортируйте важные PipelineRuns перед очисткой

    2. Мониторинг

    • Используйте метки: Метки для PipelineRuns упрощают фильтрацию
    • Настраивайте оповещения: Конфигурируйте оповещения для неудачных PipelineRuns
    • Проводите регулярные проверки: Периодически проверяйте статус и логи PipelineRun

    3. Входящие Webhook

    • Защищайте эндпоинты: Всегда используйте HTTPS и секреты
    • Проверяйте полезные нагрузки: Валидируйте входящие webhook payload
    • Документируйте использование: Описывайте эндпоинты webhook и форматы payload
    • Тщательно тестируйте: Проверяйте триггеры webhook перед использованием в продакшене

    Устранение неполадок

    PipelineRun не создается

    1. Проверьте webhook: Убедитесь, что webhook настроен и получает события
    2. Проверьте CR Repository: Убедитесь в корректной настройке CR Repository
    3. Проверьте логи PAC: Просмотрите логи контроллера PAC на наличие ошибок
    4. Проверьте файл пайплайна: Убедитесь, что файл определения пайплайна существует в репозитории

    PipelineRun не запускается

    1. Проверьте статус: Просмотрите статус и условия PipelineRun
    2. Проверьте логи: Проверьте логи PipelineRun и TaskRun
    3. Проверьте ресурсы: Убедитесь в наличии достаточных ресурсов кластера
    4. Проверьте разрешения: Убедитесь, что ServiceAccount имеет необходимые права

    Статус не передается

    1. Проверьте токен Git-провайдера: Убедитесь, что токен имеет необходимые права
    2. Проверьте PAC Watcher: Убедитесь, что PAC Watcher запущен
    3. Проверьте логи: Просмотрите логи PAC Watcher на наличие ошибок
    4. Проверьте подключение: Убедитесь, что PAC может обращаться к API Git-провайдера

    Следующие шаги