1. Johngo学长首页
  2. 技术点详细复盘专题
  3. Linux

gerrit系统如何配置访问控制

Linux 阅读 99

.
版本:v0.3
作者:河东西望
日期:2022-7-13
.

gerrit系统的上手使用有两个难点:

想要上手使用gerrit的同仁们,搭建部署好gerrit系统之后,会发现gerrit的权限配置不知道从哪里下手。而默认的权限配置非常简单而且开放,不符合企业各种开发管理的需求场景。

gerrit系统上的官方帮助文档很全面,各种概念都讲解得很细致。但是使用gerrit的方式,每个人可能都有不同的方式。只要研发团队用起来上手简单,操作流畅,每种方式都是可行的。

在AOSP的项目开发中,gerrit的使用方式有多种:

本文档不讲解gerrit的概念和原理,主要介绍项目实践中访问控制是如何配置使用的。repo仓库的部署搭建可以参看我的其他博文。

使用gerrit之前,我们还是要了解几个关键概念:群组Group,仓库Repository,引用Refernece,权限Permission。

群组Group
gerrit的权限所授予的对象主要是群组Group(虽然也可以针对个人,但它不是常态的权限配置方式)。每个人总是属于一个或者多个群组。

仓库Repository
gerrit中的仓库有多种:正常的代码仓库,权限仓库,项目清单仓库,repo工具仓库等等。

gerrit的访问控制是通过权限仓库来完成的,默认的两个权限仓库是all-projects和all-users(all-users仓库我个人基本没有用到)。权限仓库对普通用户是只读的。

所有的仓库都是通过继承all-projects来配置权限的。我们要配置权限,就是创建子仓库,然后配置这个子仓库的权限,提供给代码仓库继承来实现的。

引用Reference
就是git仓库的各种引用,包括分支,标签,meta属性等。

权限Permission
权限,也就是访问控制Access Control,它的作用对象是仓库的引用reference。

可以归纳一句话来理解:仓库的访问控制就是把其引用Reference的权限授予给群组。(也不好理解?!往下看)

作为企业的开发团队来说,一般的需求场景是这样的:

  • 有多个不同的部门,每个部门不能互相看到其他部门的代码。
  • 所有部门有如下几种角色:开发者developer、评审者reviewer,项目owner。
  • 不同部门的项目代码仓库的分支策略可能不一样,但是一般有这几个分支:develop、test、product。
  • 开发组developer只能操作develop分支:clone,push权限,review+1权限,其他分支只可clone,不能push。
  • 评审组reviewer只能操作developer分支:除了developer权限之外,还有review+2,submit权限。
  • 项目组owner可以操作所有分支,权限还包括merge,增删分支、增删标签等。

我们可以看一下部门矩阵图:

部门
├── DEV01
│   ├── 项目组
│   ├── 评审组
│   └── 开发组
├── DEV02
│   ├── 项目组
│   ├── 评审组
│   └── 开发组
└── DEV03
    ├── 项目组
    ├── 评审组
    └── 开发组

还有仓库分支图:

仓库分支
├── develop
├── test
└── product

根据上述的需求场景,我们可以采取如下权限管理策略:

我这里对应创建三个群组:

  • developers
  • reviewers
  • leaders

在每个仓库中,我们只需要配置如下几个引用,其他以后逐步细化配置:

  • refs/for/* : 源代码
  • refs/head/XXX: XXX分支
  • refs/tag/*: 标签

而在权限配置中,我们只需要配置如下几个基本权限:

权限 作用于 Abandon git abandon Create Reference git branch/git tag Delete Reference git branch Forge Committer Identity git push origin HEAD:refs/for/xxx Push git push –all Add Patch Set git apply Push Merge Commits git merge Create Annotated Tag git tag -a Create Signed Tag git tag -s Read git clone/pull/fetch Rebase git rebase Revert git revert Submit web页面的submit权限

实际上,gerrit权限配置之所以上手比较复杂,就在这两个点上: 一个是reference,一个是permission。弄清他们的意义,以及跟git引用的对应关系,是需要时间的。官网上概念虽然很详细,但是具体怎么用,还是一头雾水。这里就化繁为简,采取简单方式,配置出基本的权限控制策略。

all-projectx仓库的Access控制操作,由管理员在页面上进行,操作步骤:

  • Add Reference (refs/for/ , refs/tags/, refs/head/develop, refs/head/product …)
  • Add Permission (Abandon, Create Reference, …… Submit)
  • Add Group (developers, reviewers, leaders)
  • 配置控制 (Allow, Deny, Block)。需要给谁什么权限就配置Allow。

下面是配置文件Project.config模板:

[access]
    inheritFrom = All-Projects
[submit]
    action = inherit
[access "refs/head/develop"]
    abandon = group developers
    abandon = group leaders
    abandon = group reviewers
    addPatchSet = group developers
    addPatchSet = group leaders
    addPatchSet = group reviewers
    create = deny group developers
    create = group leaders
    create = group reviewers
    createTag = deny group developers
    createTag = group leaders
    createTag = group reviewers
    delete = deny group developers
    delete = deny group reviewers
    delete = group leaders
    forgeCommitter = group developers
    forgeCommitter = group leaders
    forgeCommitter = group reviewers
    push = group developers
    push = +force group leaders
    push = group reviewers
    pushMerge = group developers
    pushMerge = group leaders
    pushMerge = group reviewers
    read = group developers
    read = group leaders
    read = group reviewers
    rebase = group developers
    rebase = group leaders
    rebase = group reviewers
    revert = group developers
    revert = group leaders
    revert = group reviewers
    submit = deny group developers
    submit = group leaders
    submit = group reviewers
[access "refs/head/product"]
    abandon = deny group developers
    abandon = group leaders
    abandon = group reviewers
    addPatchSet = deny group developers
    addPatchSet = group leaders
    addPatchSet = group reviewers
    create = group leaders
    createTag = deny group developers
    createTag = group leaders
    createTag = group reviewers
    delete = deny group developers
    delete = group reviewers
    forgeCommitter = deny group developers
    forgeCommitter = group leaders
    forgeCommitter = group reviewers
    push = deny group developers
    push = +force group leaders
    push = group reviewers
    pushMerge = deny group developers
    pushMerge = group leaders
    pushMerge = group reviewers
    read = group developers
    read = group leaders
    read = group reviewers
    submit = deny group developers
    submit = group leaders
    submit = group reviewers
[access "refs/for/*"]
    push = group developers
    push = +force group leaders
    push = group reviewers
    read = group developers
    read = group leaders
    read = group reviewersFILE

Original: https://www.cnblogs.com/aosp/p/16471067.html
Author: 河东西望
Title: gerrit系统如何配置访问控制

原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/582216/

转载文章受原作者版权保护。转载请注明原作者出处!

(0)
0

【自取】最近整理的,有需要可以领取学习:



Linux核心资料大放送~

全栈面试题汇总(持续更新&可下载)

一个提高学习100%效率的工具!

【超详细】深度学习面试题目!

LeetCode Python刷题答案下载!

LeetCode Java版刷题答案下载!

LeetCode C++ 版本,抓紧保存!

LeetCode GO语言 刷题答案下载!

大家都在看

  • 七、软件包管理

    Linux软件管理分类: 1、rpm包管理 —– yum工具2、源码包管理RedhatCentosDebianUbuntu包名.rpm如何获取rpm包?互联…

    Linux 2023年6月7日
    0105

  • Redis (error) NOAUTH Authentication required.

    首先查看redis设置密码没 表示没有设置密码,设置redis密码 这个时候查看密码是会报错的。 需要noauth身份验证。 修改密码 Original: https://www….

    Linux 2023年5月28日
    0104

  • Java秒杀系统一:环境搭建和DAO层设计

    404. 抱歉,您访问的资源不存在。 可能是网址有误,或者对应的内容被删除,或者处于私有状态。 代码改变世界,联系邮箱 contact@cnblogs.com 园子的商业化努力-困…

    Linux 2023年6月11日
    0126

  • logstash写入文件慢的问题排查记录

    终于找到根本原因了!!!!! logstash部署到k8s集群内部的,当所在节点的CPU资源被其他应用抢占时,logstash的处理速度就会降低 问题现象 logstash从kaf…

    Linux 2023年6月14日
    0175

  • Nginx配置中遇到到的问题和解决方案

    关于Nginx配置中遇到到的问题和解决方案 整理知识,学习笔记 Nginx配置别名(alias)及PHP解析 Nginx配置别名(alias)及PHP解析。 语法规则: locat…

    Linux 2023年6月13日
    087

  • go-切片的追加

    // The append built-in function appends elements to the end of a slice. If // it has suffi…

    Linux 2023年6月13日
    080

  • ffmpeg 格式转换

    1.学前知识 1.1视频码率值 码率公式: 码率(kbps)=文件大小(KB)*8/时间(秒) 所以码率和视频文件大小成正比的,不过码率超过一定值后,人眼是看不出效果的. 接下来,…

    Linux 2023年6月7日
    0132

  • [转]全网最!详!细!tarjan算法讲解

    转发地址:https://blog.csdn.net/qq_34374664/article/details/77488976 原版的地址好像挂了….. 看到别人总结的…

    Linux 2023年6月7日
    079

  • Linux Centos 打开和关闭防火墙

    systemctl status firewalld.service # 查看防火墙状态 systemctl start firewalld.service # 开启防火墙 sys…

    Linux 2023年6月13日
    0116

  • LeetCode 416.分割等和子集 | 类0-1背包问题 | 解题思路及代码

    Given a nonempty array nums, which only contains positive number. Find if the array can be…

    Linux 2023年6月13日
    086

  • 等保测评2.0:Windows安全审计

    1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 方案: 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为…

    Linux 2023年6月8日
    085

  • k8s之部署metrics-server 转载

    Metrics Server是Kubernetes内置自动缩放管道的可扩展,高效的容器资源指标来源。 Metrics Server从Kubelet收集资源指标,并通过Metrics…

    Linux 2023年6月14日
    081

  • 一个轻量级的C++ log日志库

    一、简介 为了自己使用写的一个简单日志库,使用仅需包含一个头文件,支持Windows和Linux平台,支持多线程控制台输出以及写日志文件。 二、调用方式 #include &quo…

    Linux 2023年6月7日
    091

  • python 练习题:接收一个或多个数并计算乘积

    以下函数允许计算两个数的乘积,请稍加改造,变成可接收一个或多个数并计算乘积 def product(x, y): return x * y python;gutter:true; …

    Linux 2023年6月8日
    096

  • docker安装详细过程

    ubuntu安装docker 我这里用mobaxterm远程连接安装的,如何远程连接在上一篇文章 1、解压tar -zxvf docker-19.03.5.tgz 拷贝文件至bin…

    Linux 2023年6月7日
    0112

  • Kafka入门实战教程(8):常用的shell工具脚本

    1 Kafka提供的命令行脚本 Kafka默认提供了多个命令行脚本,用于实现各种各样的功能和运维管理。从2.2版本开始,提供了多达30+个Shell脚本。 今天我们来看一些其中比较…

    Linux 2023年5月28日
    0108
亲爱的 Coder【最近整理,可免费获取】👉 最新必读书单  | 👏 面试题下载  | 🌎 免费的AI知识星球