.
版本:v0.3
作者:河東西望
日期:2022-7-13
.
目錄
- 1 關鍵概念
- 2 需求場景
- 3 配置策略
gerrit系統的上手使用有兩個難點:
- 部署repo倉庫,
- 配置訪問控制,
想要上手使用gerrit的同仁們,搭建部署好gerrit系統之后,會發現gerrit的權限配置不知道從哪里下手,而默認的權限配置非常簡單而且開放,不符合企業各種開發管理的需求場景,
gerrit系統上的官方幫助檔案很全面,各種概念都講解得很細致,但是使用gerrit的方式,每個人可能都有不同的方式,只要研發團隊用起來上手簡單,操作流暢,每種方式都是可行的,
在AOSP的專案開發中,gerrit的使用方式有多種:
- 僅僅作為代碼倉庫系統使用,可以跟gitlab一樣作為純git倉庫,也可以是大型repo倉庫,
- 僅僅作為代碼評審系統使用,一般較多的使用方式是gitlab+gerrit組合,這種方式不少公司在使用,
- 作為完整的代碼倉庫系統+代碼評審系統使用,
本檔案不講解gerrit的概念和原理,主要介紹專案實踐中訪問控制是如何配置使用的,repo倉庫的部署搭建可以參看我的其他博文,
1 關鍵概念
使用gerrit之前,我們還是要了解幾個關鍵概念:群組Group,倉庫Repository,參考Refernece,權限Permission,
群組Group
gerrit的權限所授予的物件主要是群組Group(雖然也可以針對個人,但它不是常態的權限配置方式),每個人總是屬于一個或者多個群組,
倉庫Repository
gerrit中的倉庫有多種:正常的代碼倉庫,權限倉庫,專案清單倉庫,repo工具倉庫等等,
gerrit的訪問控制是通過權限倉庫來完成的,默認的兩個權限倉庫是all-projects和all-users(all-users倉庫我個人基本沒有用到),權限倉庫對普通用戶是只讀的,
所有的倉庫都是通過繼承all-projects來配置權限的,我們要配置權限,就是創建子倉庫,然后配置這個子倉庫的權限,提供給代碼倉庫繼承來實作的,
參考Reference
就是git倉庫的各種參考,包括分支,標簽,meta屬性等,
權限Permission
權限,也就是訪問控制Access Control,它的作用物件是倉庫的參考reference,
可以歸納一句話來理解:倉庫的訪問控制就是把其參考Reference的權限授予給群組,(也不好理解?!往下看)
2 需求場景
作為企業的開發團隊來說,一般的需求場景是這樣的:
- 有多個不同的部門,每個部門不能互相看到其他部門的代碼,
- 所有部門有如下幾種角色:開發者developer、評審者reviewer,專案owner,
- 不同部門的專案代碼倉庫的分支策略可能不一樣,但是一般有這幾個分支:develop、test、product,
- 開發組developer只能操作develop分支:clone,push權限,review+1權限,其他分支只可clone,不能push,
- 評審組reviewer只能操作developer分支:除了developer權限之外,還有review+2,submit權限,
- 專案組owner可以操作所有分支,權限還包括merge,增刪分支、增刪標簽等,
我們可以看一下部門矩陣圖:
部門
├── DEV01
│ ├── 專案組
│ ├── 評審組
│ └── 開發組
├── DEV02
│ ├── 專案組
│ ├── 評審組
│ └── 開發組
└── DEV03
├── 專案組
├── 評審組
└── 開發組
還有倉庫分支圖:
倉庫分支
├── develop
├── test
└── product
3 配置策略
根據上述的需求場景,我們可以采取如下權限管理策略:
- 原始的all-projects倉庫不要動,創建自己的權限倉庫all-projectx,所有的倉庫繼承這個權限倉庫,
- 在all-projectx上修改權限配置,
- 如果還想要繼續創建更多的權限配置,就繼承這個all-projectx,
- 在子倉庫繼承的參考權限中,可以通過Exclusive選項來確認是否需要繼承父系權限,
我這里對應創建三個群組:
- developers
- reviewers
- leaders
在每個倉庫中,我們只需要配置如下幾個參考,其他以后逐步細化配置:
- refs/for/* : 源代碼
- refs/head/XXX: XXX分支
- refs/tag/*: 標簽
而在權限配置中,我們只需要配置如下幾個基本權限:
| 權限 | 作用于 |
|---|---|
| Abandon | git abandon |
| Create Reference | git branch/git tag |
| Delete Reference | git branch |
| Forge Committer Identity | git push origin HEAD:refs/for/xxx |
| Push | git push --all |
| Add Patch Set | git apply |
| Push Merge Commits | git merge |
| Create Annotated Tag | git tag -a |
| Create Signed Tag | git tag -s |
| Read | git clone/pull/fetch |
| Rebase | git rebase |
| Revert | git revert |
| Submit | web頁面的submit權限 |
實際上,gerrit權限配置之所以上手比較復雜,就在這兩個點上: 一個是reference,一個是permission,弄清他們的意義,以及跟git參考的對應關系,是需要時間的,官網上概念雖然很詳細,但是具體怎么用,還是一頭霧水,這里就化繁為簡,采取簡單方式,配置出基本的權限控制策略,
all-projectx倉庫的Access控制操作,由管理員在頁面上進行,操作步驟:
- Add Reference (refs/for/, refs/tags/, refs/head/develop, refs/head/product ...)
- Add Permission (Abandon, Create Reference, ...... Submit)
- Add Group (developers, reviewers, leaders)
- 配置控制 (Allow, Deny, Block),需要給誰什么權限就配置Allow,
下面是組態檔Project.config模板:
[access]
inheritFrom = All-Projects
[submit]
action = inherit
[access "refs/head/develop"]
abandon = group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = deny group developers
create = group leaders
create = group reviewers
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = deny group reviewers
delete = group leaders
forgeCommitter = group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = group developers
push = +force group leaders
push = group reviewers
pushMerge = group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
rebase = group developers
rebase = group leaders
rebase = group reviewers
revert = group developers
revert = group leaders
revert = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/head/product"]
abandon = deny group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = deny group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = group leaders
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = group reviewers
forgeCommitter = deny group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = deny group developers
push = +force group leaders
push = group reviewers
pushMerge = deny group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/for/*"]
push = group developers
push = +force group leaders
push = group reviewers
read = group developers
read = group leaders
read = group reviewersFILE
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/499224.html
標籤:其他