Настройка Dependabot для запуска на Action Runners, размещённых на github, с использованием Azure Private Network

Вы можете настроить Azure Virtual Network (VNET) для запуска Dependabot на раннерах, размещённых GitHub.

Кто может использовать эту функцию?

Пользователи с доступом на запись

В этой статье

Configuring VNET для Dependabot updates

В этой статье представлены пошаговые инструкции по запуску Dependabot на GitHub-hosted runners, настроенных с VNET. В этой статье:

  • Создание групп runner для вашей организации или предприятия с конфигурацией виртуальной сети.
  • Как создать GitHub-hosted runners для Dependabot группы бегунов.
  • Как активировать Dependabot на больших бегах.
  • Как настроить правила IP межсетевого экрана Azure VNET.

Чтобы использовать раннеры на GitHub с Azure VNET, сначала нужно настроить Azure ресурсы, а затем создать частную сетевую конфигурацию в GitHub.

Configuring Azure resources

Чтобы узнать, как использовать GitHub-hosted runners с Azure приватной сетью, смотрите Configuring your Azure resources в документации GitHub Enterprise Cloud.

Примечание.

          `databaseId`, который требуется в скрипте для настройки Azure ресурсов, может относиться к любому из следующих параметров в зависимости от того, настраиваете ли вы ресурсы для предприятия или организации:
  • Корпоративный slug, который можно определить, просматривая URL-адрес для вашего предприятия, https://github.com/enterprises/SLUGили
  • Имя входа для учетной записи организации, которую можно определить, просматривая URL-адрес вашей организации. https://github.com/organizations/ORGANIZATION_LOGIN
  • Скрипт вернет полную полезные данные для созданного ресурса. Хеш-значение, возвращаемое GitHubId в полезной нагрузке для созданного ресурса, — это идентификатор ресурса сетевых настроек, который вы будете использовать в следующих шагах при настройке сетевой конфигурации в GitHub

Настройка раннера с внедрением VNET для Dependabot updates вашего предприятия

После настройки Azure ресурсов вы можете использовать Azure Virtual Network (VNET) для частной сети, создав сетевую конфигурацию на корпоративном или организационном уровне. Затем можно связать эту конфигурацию сети с группами запуска.

  1. Добавьте новую конфигурацию сети для вашего предприятия. См. в документации «Добавить новую сетевую конфигурацию для вашего предприятияGitHub Enterprise Cloud».
  2. Создайте группу бегущих для предприятия и выберите организации, в которые хотите баллотироваться Dependabot updates . См. раздел «Создать группу бегущих для вашего предприятия » в GitHub Enterprise Cloud документации.
  3. Создайте и добавьте GitHub-hosted runner в группу корпоративных раннеров. См. раздел «Добавление большого раннера в предприятие » в GitHub Enterprise Cloud документации. Важные моменты:

    • Имя runner должно быть зависимостем

    • Выберите платформу Linux x64.

    • Выберите подходящую версию Ubuntu.

    • При добавлении GitHubвашего размещённого бегуна в группу бегунов выберите ту группу, которую вы создали на предыдущем шаге.

    Примечание.

    Назначение GitHub-hosted runner dependabot назначает метку dependabot раннеру, что позволяет ему забирать задания, заработанные Dependabot действиями on

Поддержка Dependabot организации

Теперь вам нужно включить Dependabot самостоятельно размещённые бегунки для вашей организации, чтобы включить Dependabot их на больших бегунах. См. раздел «Включение Dependabot или отключение на больших бегах».

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе «Безопасность» боковой панели выберите Advanced Security выпадающее меню, затем нажмите Global settings.

  4. В разделе Dependabot, выберите Dependabot самостоятельных бегунов. Этот шаг необходим, так как гарантирует, что будущие Dependabot задания будут выполняться на более крупном GitHub-hosted runner, который носит это dependabot имя.

Запуск Dependabot забега

Теперь, когда вы настроили приватную сеть с VNET, можно запускать Dependabot запуск.

  1. На GitHubперейдите на главную страницу репозитория.

  2. В поле имени репозитория щелкните вкладку "Граф" aria-hidden="true" aria-label="graph" %} Insights .

  3. На левой боковой панели щелкните Граф зависимостей.

    Снимок экрана: вкладка "Граф зависимостей". Вкладка выделена оранжевым контуром.

  4. В разделе "Граф зависимостей" щелкните Dependabot.

  5. Справа от имени интересующего вас файла манифеста щелкните "Последние задания обновления".

  6. Если для файла манифеста нет последних заданий обновления, нажмите кнопку "Проверить наличие обновлений", чтобы повторно запустить задание обновления версий Dependabot и проверить наличие новых обновлений для этой экосистемы.

Проверка логов и активных заданий для Dependabot updates

  • Вы можете просматривать логи Dependabot рабочего процесса во вкладке «Действия » вашего репозитория. Убедитесь, что вы выбрали Dependabot задание в левой боковой панели страницы Actions.

    Пример журнала для рабочего процесса Dependabot в виртуальной сети. Задание Dependabot выделено оранжевым контуром.

  • Активные задания можно просмотреть на странице, содержащей informatuon о средстве выполнения. Чтобы получить доступ к этой странице, перейдите на вкладку "Политики " для предприятия, выберите "Действия " на левой боковой панели, перейдите на вкладку группы runner и выберите средство выполнения.

    Снимок экрана: активные задания runner Dependabot.

Configuring Azure VNET Firewall IP rules

Если ваша среда Azure VNET настроена с межсетевым экраном с IP-листом разрешений, возможно, потребуется обновить список разрешённых IP-адресов, чтобы использовать IP-адреса GitHub с хостингом runrunners, полученные от meta API endpoint.

  •         GitHub предоставляет следующий публичный конечный пункт для своих IP-диапазонов:

    ПОЛУЧИТЬ https://api.github.com/meta

  • Скопируйте и вставьте следующую команду curl в терминале или командной строке и замените значение маркера носителя заполнителя фактическим значением.

    Bash
          curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

  • В ответе найдите ключ действий .

        "actions": [ ... ]

    Это IP-диапазоны, используемые GitHub Actions бегущими, включая Dependabot и размещённых бегунов.

  • Добавьте эти IP-адреса в список разрешений брандмауэра.