Add gitlab-runner-docker-mtls/readme.MD

2025-08-09 19:19:26 +08:00 · 2025-08-09 19:19:26 +08:00 · 1f45d681c3
commit 1f45d681c3
parent fa19c7c29e
1 changed files with 214 additions and 0 deletions
--- a/gitlab-runner-docker-mtls/readme.MD
+++ b/gitlab-runner-docker-mtls/readme.MD
@ -0,0 +1,214 @@
 # Автоматическая регистрация GitLab Runner с mTLS
 Этот проект позволяет автоматически зарегистрировать **GitLab Runner, подключающийся к Docker Daemon через mTLS (взаимную аутентификацию)**. Это необходимо, когда Docker работает в безопасном режиме: `tcp://host:2376` с сертификатами.
 > Использование mTLS — лучшая практика для production-сред.
 ---
 ## Требования
 1. Установленные `Docker` и `Docker Compose`.
 2. Доступ к GitLab-серверу.
 3. **Токен регистрации раннера** (`REGISTRATION_TOKEN`) — см. ниже.
 4. **Docker Daemon, настроенный на mTLS** (порт `2376`, сертификаты: `ca.pem`, `cert.pem`, `key.pem`).
 5. Сертификаты должны быть доступны на хосте в папке `./certs`.
 ---
 ## Получение токена регистрации раннера (`REGISTRATION_TOKEN`)
 Токен используется для регистрации Runner в GitLab. Его можно получить на разных уровнях:
 ### 1. Для проекта
 - Перейдите в проект → **Settings → CI/CD → Runners**.
 - В разделе **Set up a specific Runner manually** скопируйте **Registration token**.
 ### 2. Для группы
 - Откройте группу → **Group Settings → CI/CD → Runners**.
 - Скопируйте **Registration token** из раздела регистрации.
 ### 3. Для администратора (общие раннеры)
 - Перейдите в **Admin Area → Overview → Runners**.
 - Скопируйте **Registration token** из раздела **Set up a shared Runner manually**.
 >  Начиная с GitLab 17.7, токены стали называться **Runner authentication tokens**, и их срок действия ограничен. При истечении — обновите токен и перезапустите контейнер.
 ---
 ## Инструкция по настройке
 ### 1. Создайте структуру проекта
 ```bash
 git clone https://gitlab01.pm.org.ru/devops/infra/docker-compose/ci_cd_systems/gitlab/gitlab-runner-docker-mtls.git
 ```
 Скопируйте  в паку ./certs следующие файлы:
 ca.pem, cert.pem, key.pem
 ```
 .
 ├── docker-compose.yml
 ├── .env
 ├── register-runner.sh
 └── certs/
    ├── ca.pem
    ├── cert.pem
    └── key.pem
 ```
 ---
 ### 2. Заполните `.env`
 ```env
 # Образ и имя контейнера
 CONTAINER_IMAGE=gitlab/gitlab-runner:latest
 CONTAINER_NAME=gitlab-runner-mtls
 # Настройки подключения к GitLab
 CI_SERVER_URL=https://gitlab.example.com
 REGISTRATION_TOKEN=glrt-xxxxxxxxxx
 # Executor и образ
 EXECUTOR=docker
 DOCKER_IMAGE=docker:27.3.1
 DESCRIPTION=MTLS-Enabled Docker Runner
 # Параллелизм
 CONCURRENT=10
 # Отключение кэша (true/false)
 DISABLE_CACHE=false
 # Настройки mTLS для Docker
 DOCKER_HOST=tcp://your-docker-host-ip:2376
 DOCKER_TLS_VERIFY=true
 CERT_PATH=/certs
 ```
 > Замените `your-docker-host-ip` на IP-адрес сервера с Docker Daemon (например, `192.168.1.10`).
 ---
 > Убедитесь, что скрипт исполняемый:
 > ```bash
 > chmod +x register-runner.sh
 > ```
 ---
 ### 3. `docker-compose.yml`
 ```yaml
 version: '3'
 services:
  gitlab-runner:
    image: ${CONTAINER_IMAGE}
    container_name: ${CONTAINER_NAME}
    restart: always
    env_file:
      - .env
    volumes:
      - ./config:/etc/gitlab-runner
      - ./certs:/certs:ro
    entrypoint: ["/register-runner.sh"]
 ```
 > **Не монтируйте** в `docker-compose.yml` `/var/run/docker.sock` — он **не нужен при mTLS**.
 ---
 ### 4. Запустите Runner
 ```bash
 # Запустите
 docker-compose up -d
 ```
 ---
 ### 7. Проверьте логи
 ```bash
 docker-compose logs -f
 ```
 Ожидаемый вывод:
 ```
 Registering GitLab Runner with mTLS-enabled Docker executor...
 ...
 Starting GitLab Runner...
 ```
 ---
 ## Проверка: `config.toml`
 После запуска в папке `./config` появится `config.toml`. Он должен содержать:
 ```toml
 concurrent = 10
 [[runners]]
  name = "MTLS-Enabled Docker Runner"
  url = "https://gitlab.example.com"
  token = "glrt-..."
  executor = "docker"
  [runners.docker]
    host = "tcp://your-docker-host-ip:2376"
    tls_verify = true
    cert_path = "/certs"
    image = "docker:27.3.1"
    disable_cache = false
    remove_container = true
 ```
 ---
 ## Требования к сертификатам
 GitLab Runner ожидает в `CERT_PATH` файлы с **конкретными именами**:
 | Файл | Назначение |
 |------|----------|
 | `ca.pem` | Корневой сертификат |
 | `cert.pem` | Клиентский сертификат |
 | `key.pem` | Приватный ключ |
 > Если у вас другие имена — переименуйте:
 > ```bash
 > mv ca.crt ca.pem
 > mv client-cert.pem cert.pem
 > mv client-key.pem key.pem
 > ```
 ---
 ## Возможные проблемы
 | Проблема | Решение |
 |--------|--------|
 | `x509: certificate signed by unknown authority` | Убедитесь, что `ca.pem` подписан доверенным CA |
 | `tls: bad certificate` | Проверьте, что `cert.pem` и `key.pem` соответствуют друг другу |
 | `connection refused` | Проверьте, открыт ли порт `2376` и разрешён ли доступ с IP Runner'а |
 | `config.toml: Key already defined` | Удалите `config.toml` и перезапустите |
 ---
 ## Преимущества этого подхода
 -  Никакого `docker.sock` — безопаснее.
 -  Автоматическая регистрация.
 -  Поддержка mTLS "из коробки".
 -  Готово к production.
 ---
 ## Дополнительно
 - [Официальная документация GitLab Runner](https://docs.gitlab.com/runner/)
 - [Настройка Docker с mTLS](https://docs.docker.com/engine/security/protect-access/)
 - [GitLab CI/CD Pipeline Configuration](https://docs.gitlab.com/ee/ci/yaml/)