mschau's questions

Tenho o seguinte cenário: Um Docker Host com vários projetos CMS e um Traefik instalado e funcionando. Gostaria de filtrar a URL de backend de endereços IP públicos, já que ela só deve ser acessível de intervalos de IP privados.

disponível publicamente: https://www.project.com/xyz https://www.project.com/abc

restrito apenas a IPs internos: https://www.project.com/backend

Posso fazer isso com uma lista de permissões de IP e, por exemplo, 2 roteadores - 1 para acesso público e 1 para acesso de backend?

Eu tentei algo como:

  # Backend Router (Restricted Access)
  - "traefik.http.routers.project-backend.rule=Host(`${DOMAINNAME}`) && PathPrefix(`/backend`)"
  - "traefik.http.routers.project-backend.entrypoints=https"
  - "traefik.http.routers.project-backend.tls=true"
  - "traefik.http.routers.project-backend.middlewares=backend-ipwhitelist"
  - "traefik.http.routers.project-backend.priority=100"

Mas o filtro não funcionou - ainda foi possível acessar o backend.

Alguma sugestão?

Temos o seguinte cenário local : desenvolvedores trabalhando no Bitbucket em aplicativos, operações trabalhando no Gitlab para coisas "Gitops". Gostaríamos de automatizar compilações e implantações por meio de nosso pipeline Gitlab e procurar maneiras de implementar. A parte de construção já funciona. Mas gostaríamos de distinguir entre filiais - nem todas as filiais deveriam ser implantadas - especialmente a produção seria implantada manualmente.

Como o webhook contém o branch que tentei definir no estágio de implantação:

only:
  - dev

assim como

  rules:
    - if: '$TOKEN_BRANCH != $PROD_BRANCH'

Mas em ambos os sentidos o pipeline de implantação ainda é acionado.

Duas soluções alternativas vieram à minha mente:

Uma opção seria espelhar o repositório bitbucket via "post commit hook" - mas por um lado esse plugin tem custos e por outro lado você precisa de um segundo plugin para o espelhamento - e o único que consigo encontrar não é mantido mais longo.

A segunda opção seria licenciar o Gitlab Ultimate para poder usar o "espelhamento pull", que também poderia ser acionado via webhook do Bitbucket.

Como não temos utilidade no espelhamento de repositório e o único caso de uso seria poder usar o pipeline do Gitlab em um "repositório local" onde todas as maneiras acima de diferenciar o branch para implantação deveriam funcionar - eu preferiria encontrar um maneira com os recursos já disponíveis.

Fico feliz em ouvir sua opinião sobre isso!

EDIT: partes do pipeline:

variables:
  PROD_BRANCH: main

before_script:
  - TOKEN_BRANCH=$(cat $TRIGGER_PAYLOAD | jq -r '.changes[0].ref.displayId')

deploy:
  stage: deploy
  tags:
    - openshift
  rules:
    - if: $TOKEN_BRANCH != $PROD_BRANCH

• echo $TOKEN_BRANCH retorna "principal".
• nas regras: esta parte do pipeline só é acionada se a seguinte afirmação for verdadeira.
• Como "main == main" e não "!=" o estágio "deploy" do pipeline não deve ser executado. Mas isso é...

diversas variantes

rules:
  - if: '$TOKEN_BRANCH !~ $PROD_BRANCH'

rules:
  - if: '$TOKEN_BRANCH =~ $PROD_BRANCH'
    when: never

nesses casos acontece o contrário - o pipeline nunca tem um estágio de implantação - ele nem mostra o estágio na visualização "pipelines" no Gitlab.