docker pull forbidden 해결하기

# private registry 를 사용하는데 docker pull 하면, 다음과 같은 에러가 발생한다.

docker pull ysoftman.test.com/drone/drone:2

Error response from daemon: Get https://ysoftman.test.com/: Forbidden

# docker login 을 해도 forbidden 에러가 발생한다.

sudo docker login -u "ysoftman" -p "password" ysoftman.test.com

# docker daemon 정보를 보면 프록시가 설정되어 있고,
# ysoftman.test.com 이 프록시를 사용해 접근이 안되고 있었다.

docker system info | grep -i proxy

HTTP Proxy: http://ysoftman.proxy.test

HTTPS Proxy: http://ysoftman.proxy.test

No Proxy: localhost,127.0.0.1,aaa

# 프록시를 사용하지 않도록 http-proxy 파일을 수정한다.

# 참고: https://docs.docker.com/config/daemon/systemd/

sudo vi /etc/systemd/system/docker.service.d/http-proxy.conf

No Proxy: localhost,127.0.0.1,aaa,ysoftman.test.com

# 변경된 설정 파일을 reload 하기 위해서 daemon-reload 을 실행해야 한다.

sudo systemctl daemon-reload

# docker daemon(service) 재시작

sudo systemctl restart docker

# 이제 docker daemon 정보를 보면 no proxy 에 추가된 것을 확인할 수 있고

# docker pull ysoftman.test.com/drone/drone:2 도 잘된다.

github Invalid webhook signature error

# drone ci 에서 사용할 github webhook 생성했는데, 400 응답에 다음 에러 발생했다.

{"message":"Invalid webhook signature"}

# drone 용 webhook 설정시 필요 없는 secret 설정을 했고,

# 이후 secret 부분을 삭제하고 webhook 업데이트만 했는데 계속 에러가 발생했다.

# 이전 잘못된 secret 가 drone db 에 저장되어 있기 때문이다.

# 다음 링크를 보면 drone webhook 은 수동으로 설정할 수 없다고 한다.

# drone 이 secret 없는 webhook 에 응답해 secret 을 설정할 수 있도록해야 한다.

https://discourse.drone.io/t/nothing-happens-when-i-push-code-no-builds-or-builds-stuck-in-pending/3424

# 해결 방법

1. 기존 github webhook 을 수정하면 안되고 삭제 후 github webhook 새로 만든다. 이때 secret 는 비워둔다.

2. drone -> repositories -> 저장소 -> settings -> disable repository 후 다시 저장소를 찾아 active 시킨다.

3. drone 저장소 재시작 후 github webhook 의 secret 값이 자동 채워진다. 이제 push 하면 성공한다.

#####

# 추가로 github webhook 에서 다음과 같이 타임아웃 에러 발생시

We couldn’t deliver this payload: timed out

# drone 로그 메시지를 확인해보면

# drone configuration (.drone.yml) 파일을 찾지 못하는 경우 일 수 있으니

docker logs -f drone

{"commit":"xxxxx","error":"Not Found","event":"push","level":"warning","msg":"trigger: cannot find yaml","ref":"refs/heads/test123","repo":"ysoftman/test-drone","time":"2022-03-17T07:48:41Z"}

# drone -> 저장소 -> settings -> configuration 파일을 변경하자.

k8s service account 생성

# 외부 drone ci 등에 신규 k8s 클러스터에 접근이 필요한 경우

# service account 와 clusterrolebinding(Role-based access control (RBAC)) 리소스를 생성하고

# service account 의 token을 사용하면 된다.

# 다음과 같이 service account 명세를 작성한다.

cat << zzz > service_account_for_droneci.yaml

apiVersion: v1

kind: ServiceAccount

metadata:

  name: drone-ci

  namespace: default

---

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

  name: drone-ci-binding

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: ClusterRole

  name: cluster-admin

subjects:

- kind: ServiceAccount

  name: drone-ci

  namespace: default

zzz

# 이제 적용하면 serviceAccount 가 secret 이 생성된다.

kubectl apply -f service_account_for_droneci.yaml

# drone-ci-token-xxx 를 파악해서 ~/.kube/config 에서 사용하면 된다.

kubectl get secret $(kubectl get secret -n default | grep drone | awk '{print $1}') -n default -o jsonpath="{.data.token}"

# 인증서 확인

kubectl get secrets

# 참고로 A 네임스페이스의 인증서 B 네임스페이스에 적용하기

kubectl get secret -n A ysoftman-test-cert -o yaml > cert.yaml

# cert.yaml 의 namespace=B 로 수정해서 적용한다.

kubectl apply -f cert.yaml

drone ci 사용하기

# golang 으로 만들고 docker 환경으로 실행되는 drone ci 를 사용해보자.

# https://docs.drone.io/server/provider/github/

# 우선 로컬에서 테스트하기 때문에 

# (reverse proxy 로 ngrok 도메인 -> localhost 로 터널링 해주는) ngrok 설치

brew install ngrok

# http://fe9b41d98488.ngrok.io -> http://localhost:80 포워딩을 위해 실행

# 참고 https (tls) 터널링은 유료 버전만 가능하고, 그외 동시접속 제한이 있다.

ngrok http 80

# github oauth 로 drone 앱(서버)를 등록

# github -> settings -> developers -> oauth apps 에서 신규 생성한다.

# homepage url : http://dd441e3e9f16.ngrok.io

# callback url : http://dd441e3e9f16.ngrok.io/login

https://github.com/settings/developers

# oauth app 생성후

# client -> DRONE_GITHUB_CLIENT_ID

# client secret -> DRONE_GITHUB_CLIENT_SECRET 로 사용한다.

# generate a new client secret(생성후 한번 볼 수 있어 복붙해둬야 한다) -> DRONE_GITHUB_CLIENT_SECRET 값으로 사용

# drone <-> runner 간 RPC 통신을 위한 secret 생성 -> DRONE_RPC_SECRET 값으로 사용

openssl rand -hex 16                         

d087c94b8155367b1982238df930c2f2

# drone 도커 이미지 다운로드

docker pull drone/drone:1

# 실행

# github enterprise 는 깃헙 서버 환경 변수 설정 필요

# --env=DRONE_GITHUB_SERVER=https://github.ysoftman.com \

# 볼륨 연결로 /data/database.sqlite -> 호스트의 /var/lib/drone/database.sqlite 로 저장

docker run \

  --volume=/var/lib/drone:/data \

  --env=DRONE_DATABASE_DRIVER=sqlite3 \

  --env=DRONE_DATABASE_DATASOURCE=/data/database.sqlite \

  --env=DRONE_GITHUB_CLIENT_ID=깃헙_클라이언트_id \

  --env=DRONE_GITHUB_CLIENT_SECRET=깃헙_클라이언트_secret \

  --env=DRONE_RPC_SECRET=d087c94b8155367b1982238df930c2f2 \

  --env=DRONE_SERVER_HOST=127.0.0.1 \

  --env=DRONE_SERVER_PROTO=http \

  --env=DRONE_WEBHOOK_ENDPOINT=http://dd441e3e9f16.ngrok.io/hook \

  --env=DRONE_WEBHOOK_SECRET=d087c94b8155367b1982238df930c2f2 \

  --env=DRONE_REPOSITORY_FILTER=ysoftman,bill \

  --publish=80:80 \

  --publish=443:443 \

  --restart=always \

  --detach=true \

  --name=drone \

  drone/drone:1

# 이제 다음 url 로 github authorize 하면 깃헙으로 로그인상태로 drone ci 를 사용할 수 있다.

http://dd441e3e9f16.ngrok.io

# DRONE_REPOSITORY_FILTER 으로 특정 저장소에만 drone과 연결 할 수 있다.

# 설정 변경 후 사용자별로 로그아웃 후 다시 로그인 해야 반영된다.

https://docs.drone.io/server/reference/drone-repository-filter/

#####

# 상황에 맞는 여러 runner(러너)가 있다.

# docker(임시 컨테이너를 생성해 실행할때 사용) 러너 설치

docker pull drone/drone-runner-docker:1

docker run -d \

  -v /var/run/docker.sock:/var/run/docker.sock \

  -e DRONE_RPC_PROTO=http \

  -e DRONE_RPC_HOST=dd441e3e9f16.ngrok.io \

  -e DRONE_RPC_SECRET=d087c94b8155367b1982238df930c2f \

  -e DRONE_RUNNER_CAPACITY=2 \

  -e DRONE_RUNNER_NAME=${HOSTNAME} \

  -e DRONE_DEBUG=true \

  -e DRONE_TRACE=true \

  -p 3000:3000 \

  --restart always \

  --name runner \

  drone/drone-runner-docker:1

# exec(docker 와 같은 고립된 환경이 아닌 drone 서버 장비에서 쉘 환경에서 명령을 실행할 때 사용) 러너를 설치

curl --proxy "필요한 경우 프록시 설정" -L https://github.com/drone-runners/drone-runner-exec/releases/latest/download/drone_runner_exec_linux_amd64.tar.gz | tar zx

sudo install -t /usr/local/bin drone-runner-exec

mkdir -p /home/ysoftman/.drone-runner-exec

touch /home/ysoftman/.drone-runner-exec/config

cat > /etc/drone-runner-exec/config << eof

DRONE_RPC_PROTO=http

DRONE_RPC_HOST=dd441e3e9f16.ngrok.io

DRONE_RPC_SECRET=d087c94b8155367b1982238df930c2f

DRONE_LOG_FILE=/home/ysoftman/.drone-runner-exec/log.txt

eof

drone-runner-exec service install

drone-runner-exec service start

# drone-runner-exec 서비스 상태 확인

systemctl status drone-runner-exec.service

# docker 환경 변수 확인

docker inspect -f "{{.Config.Env}}" drone  | tr " " "\n"

# ssh(ssh 로 서버에 접속해 명령을 실행하는 용도) 러너 설치

docker pull drone/drone-runner-ssh

docker run -d \

  -e DRONE_RPC_PROTO=http \

  -e DRONE_RPC_HOST=dd441e3e9f16.ngrok.io \

  -e DRONE_RPC_SECRET=d087c94b8155367b1982238df930c2f \

  -p 3000:3000 \

  --restart always \

  --name runner \

  drone/drone-runner-ssh

# 루트 경로에 .drone.yml 를 작성한다.

# 파일명은 drone ci settings 에서 변경 가능하다.

---

kind: pipeline

type: exec

name: default

platform:

  os: linux

  arch: amd64

trigger:

  event:

    - push

steps:

  - name: 작업1

    commands:

      - echo hello world1

  - name: 작업2

    commands:

      - echo hello world2

  - name: 슬랙 알림

    # environment:

    #   noti_msg: "Branch: ${DRONE_BRANCH}\nAuthor: ${DRONE_COMMIT_AUTHOR}\nLink: ${DRONE_COMMIT_LINK}"

    #   build_status: "✅ build ${DRONE_BUILD_NUMBER} succeeded. Good job."

    commands:

      - echo "파이프 종료"

      - export HTTP_PROXY="http://프록시서버"

      - export noti_msg="Branch ${DRONE_BRANCH}\nAuthor ${DRONE_COMMIT_AUTHOR}\nLink ${DRONE_COMMIT_LINK}"

      - export build_status="✅ build ${DRONE_BUILD_NUMBER} succeeded. Good job."

      - echo $DRONE_BUILD_STATUS

      - if [[ $DRONE_BUILD_STATUS == "failure" ]]; then build_status="❌ build ${DRONE_BUILD_NUMBER} failed. Fix me please."; fi

      - |

        curl https://hooks.slack.com/services/..... -d "payload={\"channel\": \"#billtest\", \"text\": \"파이프 라인 시작\n$noti_msg\n$build_status\"}"

# ---

# kind: pipeline

# type: ssh

# name: default

# # 접속할 대상 서버

# server:

#   host: ysoftman-server.com

#   user: deploy

#   password:

#     from_secret: password

# steps:

#   - name: 작업1

#     commands:

#       - echo hello world1

#   - name: 작업2

#     commands:

#       - echo hello world2

# ---

# kind: pipeline

# type: docker

# name: slack notification

# # 사내환경등에서 외부 접속이 안되는 경우 프록시 환경 변수 설정

# environment:

#  HTTP_PROXY: "http://프록시주소"

#  HTTPS_PROXY: "http://프록시주소"

# steps:

#   - name: 슬랙 알림

#     # 사내환경등에서 외부 이미지 다운로드가 안되는 경우 알맞게 변경

#     image: plugins/slack

#     settings:

#       # https://my.slack.com/services/new/incoming-webhook 참고

#       webhook: https://hooks.slack.com/services/.....

#       channel: ysoftman-test

#       template: >

#         {{#success build.status}}

#           build {{build.number}} succeeded. Good job.

#         {{else}}

#           build {{build.number}} failed. Fix me please.

#         {{/success}}

#         Branch: {{ build.branch }}

#         Author: {{ build.author }}

#         Link: {{ build.link }}

# 이제 drone DRONE_WEBHOOK_ENDPOINT 변수로 설정된 url 을

# github 저장소 webhook url 을 추가해 push 되면 drone 에 알리도록 한다.

http://dd441e3e9f16.ngrok.io/hook

# 참고로 위의 HTTP_PROXY 와 같은 환경변수를 사용할때 

# ${HTTP_PROXY} 는 안되고 {} 를 제거한 $HTTP_PROXY 로 사용해야 한다.

# https://docs.drone.io/pipeline/environment/syntax/

#####

# drone cli 툴 사용 https://docs.drone.io/cli/install/

# 설치

brew install drone-cli

# aaaaabbbbb11111 는 drone > User Settings > token 로 확인

# 접속할 drone 서버 환경 변수 설정

export DRONE_SERVER=http://dd441e3e9f16.ngrok.io

export DRONE_TOKEN=aaaaabbbbb11111

# 접속 여부 확인

drone info

# .drone.yml 작업 수행(커밋 전에 미리 로컬에서 테스트할 수 있다.)

# drone exec 현재 type: docker 만 실행된다.

# .drone.yml 을 다음과 같이 만들고

kind: pipeline

type: docker

name: default

steps:

- name: build

  image: golang:1.13

  commands:

  - echo "aaa"

# 실행

# .drone.yml syntax 체크등에 활용할 수 있다.

drone exec