gerrit系統如何配置訪問控制
.
版本:v0.3
作者:河東西望
日期:2022-7-13
.
gerrit系統的上手使用有兩個難點:
- 部署repo倉庫。
- 配置訪問控制。
想要上手使用gerrit的同仁們,搭建部署好gerrit系統之後,會發現gerrit的權限配置不知道從哪裡下手。而默認的權限配置非常簡單而且開放,不符合企業各種開發管理的需求場景。
gerrit系統上的官方幫助文檔很全面,各種概念都講解得很細緻。但是使用gerrit的方式,每個人可能都有不同的方式。只要研發團隊用起來上手簡單,操作流暢,每種方式都是可行的。
在AOSP的項目開發中,gerrit的使用方式有多種:
- 僅僅作為代碼倉庫系統使用,可以跟gitlab一樣作為純git倉庫,也可以是大型repo倉庫。
- 僅僅作為代碼評審系統使用。一般較多的使用方式是gitlab+gerrit組合。這種方式不少公司在使用。
- 作為完整的代碼倉庫系統+代碼評審系統使用。
本文檔不講解gerrit的概念和原理,主要介紹項目實踐中訪問控制是如何配置使用的。repo倉庫的部署搭建可以參看我的其他博文。
1 關鍵概念
使用gerrit之前,我們還是要了解幾個關鍵概念:群組Group,倉庫Repository,引用Refernece,權限Permission。
群組Group
gerrit的權限所授予的對象主要是群組Group(雖然也可以針對個人,但它不是常態的權限配置方式)。每個人總是屬於一個或者多個群組。
倉庫Repository
gerrit中的倉庫有多種:正常的代碼倉庫,權限倉庫,項目清單倉庫,repo工具倉庫等等。
gerrit的訪問控制是通過權限倉庫來完成的,默認的兩個權限倉庫是all-projects和all-users(all-users倉庫我個人基本沒有用到)。權限倉庫對普通用戶是只讀的。
所有的倉庫都是通過繼承all-projects來配置權限的。我們要配置權限,就是創建子倉庫,然後配置這個子倉庫的權限,提供給代碼倉庫繼承來實現的。
引用Reference
就是git倉庫的各種引用,包括分支,標籤,meta屬性等。
權限Permission
權限,也就是訪問控制Access Control,它的作用對象是倉庫的引用reference。
可以歸納一句話來理解:倉庫的訪問控制就是把其引用Reference的權限授予給群組。(也不好理解?!往下看)
2 需求場景
作為企業的開發團隊來說,一般的需求場景是這樣的:
- 有多個不同的部門,每個部門不能互相看到其他部門的代碼。
- 所有部門有如下幾種角色:開發者developer、評審者reviewer,項目owner。
- 不同部門的項目代碼倉庫的分支策略可能不一樣,但是一般有這幾個分支:develop、test、product。
- 開發組developer只能操作develop分支:clone,push權限,review+1權限,其他分支只可clone,不能push。
- 評審組reviewer只能操作developer分支:除了developer權限之外,還有review+2,submit權限。
- 項目組owner可以操作所有分支,權限還包括merge,增刪分支、增刪標籤等。
我們可以看一下部門矩陣圖:
部門
├── DEV01
│ ├── 項目組
│ ├── 評審組
│ └── 開發組
├── DEV02
│ ├── 項目組
│ ├── 評審組
│ └── 開發組
└── DEV03
├── 項目組
├── 評審組
└── 開發組
還有倉庫分支圖:
倉庫分支
├── develop
├── test
└── product
3 配置策略
根據上述的需求場景,我們可以採取如下權限管理策略:
- 原始的all-projects倉庫不要動,創建自己的權限倉庫all-projectx。所有的倉庫繼承這個權限倉庫。
- 在all-projectx上修改權限配置。
- 如果還想要繼續創建更多的權限配置,就繼承這個all-projectx。
- 在子倉庫繼承的引用權限中,可以通過Exclusive選項來確認是否需要繼承父系權限。
我這裡對應創建三個群組:
- developers
- reviewers
- leaders
在每個倉庫中,我們只需要配置如下幾個引用,其他以後逐步細化配置:
- refs/for/* : 源代碼
- refs/head/XXX: XXX分支
- refs/tag/*: 標籤
而在權限配置中,我們只需要配置如下幾個基本權限:
| 權限 | 作用於 |
|---|---|
| Abandon | git abandon |
| Create Reference | git branch/git tag |
| Delete Reference | git branch |
| Forge Committer Identity | git push origin HEAD:refs/for/xxx |
| Push | git push –all |
| Add Patch Set | git apply |
| Push Merge Commits | git merge |
| Create Annotated Tag | git tag -a |
| Create Signed Tag | git tag -s |
| Read | git clone/pull/fetch |
| Rebase | git rebase |
| Revert | git revert |
| Submit | web頁面的submit權限 |
實際上,gerrit權限配置之所以上手比較複雜,就在這兩個點上: 一個是reference,一個是permission。弄清他們的意義,以及跟git引用的對應關係,是需要時間的。官網上概念雖然很詳細,但是具體怎麼用,還是一頭霧水。這裡就化繁為簡,採取簡單方式,配置出基本的權限控制策略。
all-projectx倉庫的Access控制操作,由管理員在頁面上進行,操作步驟:
- Add Reference (refs/for/, refs/tags/, refs/head/develop, refs/head/product …)
- Add Permission (Abandon, Create Reference, …… Submit)
- Add Group (developers, reviewers, leaders)
- 配置控制 (Allow, Deny, Block)。需要給誰什麼權限就配置Allow。
下面是配置文件Project.config模板:
[access]
inheritFrom = All-Projects
[submit]
action = inherit
[access "refs/head/develop"]
abandon = group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = deny group developers
create = group leaders
create = group reviewers
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = deny group reviewers
delete = group leaders
forgeCommitter = group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = group developers
push = +force group leaders
push = group reviewers
pushMerge = group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
rebase = group developers
rebase = group leaders
rebase = group reviewers
revert = group developers
revert = group leaders
revert = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/head/product"]
abandon = deny group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = deny group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = group leaders
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = group reviewers
forgeCommitter = deny group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = deny group developers
push = +force group leaders
push = group reviewers
pushMerge = deny group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/for/*"]
push = group developers
push = +force group leaders
push = group reviewers
read = group developers
read = group leaders
read = group reviewersFILE
