Git、Gerrit与Jenkins/Hudson CI服务器
http://www.infoq.com/cn/articles/Gerrit-jenkins-hudson
本文讲述了如何为基于团队的代码审查系统配置Git、Gerrit与Jenkins/Hudson,正如我在《Git, Gerrit and Jenkins for iOS development》和《Gerrit Git Review with Jenkins CI Server》演讲(以及第一次提出这种做法的《Someday...》)中所倡导的那样。 文中的范例假定你所使用的操作系统是OS X或Linux,但是如果你愿意,也可以在Windows上运行它们。
相关厂商内容
配置Git
很多系统(例如Linux)已经默认提供了Git,在Git主页也可以找到安装程序。对于Windows用户,最好的选择是MsysGit。请注意,如果你安装了Apple Developer Tools (for Xcode 4),那么其中已经自带Git二进制包了。如果遇到了问题,help.github.com中可以找到很多非常出色的指南。
因为所有的Git提交都带有作者和电子邮件地址,如果你还没有设置过这些内容,请执行以下命令进行配置:
$ git config --global user.name "Alex Blewitt" $ git config --global user.email [email protected]
最好有一个Git代码库。Gerrit在初始化阶段会自动扫描Git代码库,这样做比在后期配置代码库容易一些,因此最好在初始化Gerrit前准备好Git代码库。
如果还没有Git代码库,可以创建一个:
git init --bare /path/to/gits/example.git
Gerrit
可以从http://code.google.com/p/gerrit/下载到Gerrit,那是一个WAR文件。Gerrit有很好的文档(目前的最新文档是2.2.1,但也可用于2.1.7)和安装指南。
Gerrit在运行时需要用到数据库(用于存储代码审查的信息)。目前支持的数据库包括H2、PostgreSQL和MySQL。在没有进行额外配置的情况下,它默认使用H2。
请注意,Gerrit 2.2.x正把项目配置、权限和其他元数据移到Git存储中,这样就可以通过Git进行访问和版本控制。在2.2.x中,这个转变会慢慢扩展到其他类型的元数据上,包含代码评审内容。详见2.2.0版本的发布说明。
要初始化Gerrit,运行java -jar gerrit.war init -d /path/to/location会在指定路径上安装Gerrit运行时。
如果是在交互终端中运行的,安装程序会提几个问题,例如:
- Git代码库的位置 [git]
- 导入现有代码库 [Y/n]
- 数据库服务器类型 [H2/?]
- 身份验证方法 [OPENID/?]
- SMTP服务器主机名 [localhost]
- SMTP服务器端口 [(default)]
- SMTP加密 [NONE/?]
- SMTP用户名
- 以何种身份运行 [you]
- Java运行时 [/path/to/jvm]
- 将gerrit.war复制到/path/to/location/bin/gerrit.war [Y/n]
- 监听地址 [*]
- 监听端口 [29418]
- 下载并安装Bouncy Castle [Y/n]
- 位于HTTP反向代理之后 [y/N]
- 使用SSL [y/N]
- 监听地址 [*]
- 监听端口 [8080]
其中大部分可以保留默认值,但是有几个需要重点关注。
- Git代码库的位置要指向正确的位置。默认值是位于安装目录中的'git'目录,也可以是其他不同位置(例如/var/gits等等)。应该先配置好这个路径,因为在Gerrit启动时它会先扫描该目录来添加新项目。
- 监听地址对有多个地址(例如IPv4和IPv6)的主机很有用,它可以限定使用哪个地址。*表示本地主机上的任意地址。
- 监听端口是一个端口号。29418是默认的Gerrit SSH端口,而8080是默认的Gerrit Web端口。但是如果8080已经被别的应用程序占用了,那么你可能会想修改第二个端口。
- 身份验证方法确定了如何登录Gerrit。如果你想挂入某个现有的身份验证提供方(例如Google Accounts),那么可以使用OpenID。但对测试而言(还有上面提到的范例),可以使用development_become_any_account。键入?会显示一个可用方法的列表。
Gerrit启动后,会打开一个浏览器,显示Gerrit主页。登录的第一个用户将自动成为管理员;所有后续登录的用户都是无权限用户。如果你选择了development_become_any_account,在页面顶端会有一个Become链接,通过它可以进入注册/登录页面。
注册用户
为了使用Gerrit,你需要一个账号,生成一个SSH密钥对。在命令行中运行 ssh-keygen -t rsa -b 2048可以生成密钥对,将其放到你的.ssh目录中。如果你需要更多信息,可以访问这篇博文,这是我六年前写的SSH密钥相关文章。此外,GitHub 帮助页面中也有更多相关信息。
默认文件名为id_rsa(这是私钥)和id_rsa.pub(这是公钥)。你只能给别人公钥,千万别给别人私钥。
有了密钥,你就可以在Gerrit中注册新账户了。点击顶部右端的“Become”链接,然后再点击“New account”按钮,输入Git知道的名称和电子邮件(即上面用git config配置的),这些内容要完全匹配(包括大小写)。保存变更,然后选择一个唯一的用户名(填入了名称后点击'select username',例如demo)。
头痛的电子邮件 就算是development_become_any_account模式,Gerrit也会给你发送电子邮件以验证邮件地址。不通过验证的话就无法使用该电子邮件地址,你也无法提交代码。
我们可以很快处理掉这个问题,因此如果Gerrit目前不让你注册你的邮箱地址,请不用担心。
在'add SSH public key'文本框中,添加.pub文件中的公钥。如果你使用的是OS X,pbcopy < ~/.ssh/id_rsa.pub就可轻松搞定。记住要点击“Add”保存公钥。
点击Continue后应该就能登录到Gerrit的主窗口了。到目前为止一切还不错,现在可以测试SSH的连通性了。
键入ssh -p 29418 demo@localhost会尝试连接Gerrit服务器,会出现以下三者之一:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
这并没有看上去那么糟。它只是说你的~/.ssh/known_hosts文件中有旧的密钥。最懒的一种修复方法是删除这个文件(这是GitHub推荐的做法)。更好的方法是找到提示出错的那一行,把它删了:
Offending key in /Users/demo/.ssh/known_hosts:123
你可以用任何文本编辑器来删除known_hosts文件中的第123行。在标准UNIX配置下,可以用以下命令自动删除:
sed -i '' '123d' ~/.ssh/known_hosts
The authenticity of host '[localhost]:29418 ([::1]:29418)' can't be established. RSA key fingerprint is e8:e2:fe:19:6f:e2:db:c1:05:b5:bf:a6:ad:4b:04:33. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[localhost]:29418' (RSA) to the list of known hosts. Permission denied (publickey).
如果看到这个消息,说明Gerrit没有识别出你提交的任何密钥。ssh默认会发送id_rsa,要确认它的确发送了该值,可以查看.ssh/config,文件头上有一行IdentityFile ~/.ssh/id_rsa。可以运行ssh -v查看发送的内容:
debug1: Next authentication method: publickey debug1: Trying private key: /Users/demo/.ssh/id_dsa debug1: Offering public key: /Users/demo/.ssh/id_rsa
假设已经发送了正确的密钥,那么在settings - ssh public keys菜单项中检查该密钥是否关联了Gerrit中的用户。如果没有的话点击'Add Key'并和之前一样粘贴公钥。
如果Gerrit还是说你未经身份验证,检查用户名和配置页面里的用户名是否一致。如果用户名不同,试试ssh -p 29418 username@localhost。
最后,要验证具体的密钥,可以运行ssh -i ~/.ssh/id_rsa显式地选择要使用的密钥,而不是让它自动选择密钥。如果这样可以工作,但不带-i参数却不行的话,那么问题出在你的~/.ssh/config文件里――你需要保证选择了合适的IdentityFile。
**** Welcome to Gerrit Code Review **** Hi demo, you have successfully connected over SSH. Unfortunately, interactive shells are disabled. To clone a hosted Git repository, use: git clone ssh://demo@localhost:29418/REPOSITORY_NAME.git Connection to localhost closed.
如果看到这个提示,说明Gerrit已经正常工作了。
修正电子邮件地址
如果之前你无法在Gerrit中注册电子邮件地址,那么可以手工进行注册。我们可以停止Gerrit,运行GSQL工具更新特定数据字段。
$ bin/gerrit.sh stop $ java -jar bin/gerrit.war gsql Welcome to Gerrit Code Review 2.1.6.1 (H2 1.2.134 (2010-04-23)) Type '\h' for help. Type '\r' to clear the buffer. gerrit> select * from ACCOUNT_EXTERNAL_IDS; ACCOUNT_ID | EMAIL_ADDRESS | PASSWORD | EXTERNAL_ID -----------+------------------------+----------+------------------------------------------ 1000000 | NULL | NULL | uuid:ac1b8a08-2dd1-4aa1-8449-8b2994dffaed 1000000 | NULL | NULL | username:demo (2 rows; 23 ms) gerrit> update ACCOUNT_EXTERNAL_IDS set EMAIL_ADDRESS='[email protected]' where ACCOUNT_ID=1000000; UPDATE 2; 5 ms gerrit> select * from ACCOUNT_EXTERNAL_IDS; ACCOUNT_ID | EMAIL_ADDRESS | PASSWORD | EXTERNAL_ID -----------+------------------------+----------+------------------------------------------ 1000000 | [email protected] | NULL | uuid:ac1b8a08-2dd1-4aa1-8449-8b2994dffaed 1000000 | [email protected] | NULL | username:demo (2 rows; 23 ms) gerrit> \q Bye $ bin/gerrit.sh start
创建项目,克隆并推送代码
开始前,我们需要先在Gerrit中创建一个项目。如果Gerrit没有在你的范例目录中检测到项目,在它运行时,我们可以创建一个项目。
$ ssh -p 29418 demo@localhost gerrit create-project --name example.git
上述命令会创建一个名为example的项目,在之前指定的Git目录里初始化一个空的代码库。如果已经有一个代码库了,Gerrit不允许创建同名代码库——但你可以先对它进行临时重命名,随后再把名字改回来。
随后,可以创建一个克隆:
$ git clone ssh://demo@localhost:29418/example.git Cloning into example... warning: You appear to have cloned an empty repository.
我们可以向代码库进行提交和推送,就和其他Git系统一样:
$ cd example $ echo hello > world $ git add world $ git commit -m "The World" [master (root-commit) 06bf85e] The World 1 files changed, 1 insertions(+), 0 deletions(-) create mode 100644 world $ git push No refs in common and none specified; doing nothing. Perhaps you should specify a branch such as 'master'. $ git push origin master Counting objects: 3, done. Writing objects: 100% (3/3), 217 bytes, done. Total 3 (delta 0), reused 0 (delta 0) To ssh://me@localhost:29418/example.git ! [remote rejected] master -> master (prohibited by Gerrit) error: failed to push some refs to 'ssh://demo@localhost:29418/example.git'
这是什么情况?Gerrit不希望我们直接覆写Git代码库中的任何分支,而是将变更推送到另一个refspec中,这让Gerrit有机会在代码审查中修改代码。最简单的方法是为推送配置一个默认的refspec:
$ git config remote.origin.push refs/heads/*:refs/for/* $ git push origin Counting objects: 3, done. Writing objects: 100% (3/3), 217 bytes, done. Total 3 (delta 0), reused 0 (delta 0) To ssh://demo@localhost:29418/example.git * [new branch] master -> refs/for/master
我们推送了一个分支,在Gerrit的change,1里可以发现,尽管实际的分支名称是refs/changes/01/1/1,但看到的却是refs/for/master。你会发现当前分支的哈希值和此处显示的一样(在我的例子里是06bf85e)。如果我们要再次推送,会创建一个新的分支refs/changes/02/2/1,而不是覆盖refs/for/master。第一个数字是变更号的最后两位,第二个数字是变更号,第三个数字是补丁集号。所以变更123的补丁集17就是refs/changes/23/123/17。
如果想要修正(amend)提交,Gerrit会创建一个新的代码审查引用,这么做不太好。如果两次变更之间有审查评语,你将丢失这些内容。
我们可以修改commit-msg,添加一个(Gerrit专门的)Change-Id。同一变更的所有后续提交都会关联到一个补丁集上。Gerrit提供了一个实现,只要复制出来就行了。
$ cd .git/hooks $ scp -P 29418 demo@localhost:hooks/commit-msg . $ cd ../..
现在,当我们要提交修正时便会自动生成一个Change-Id。可以用这个值为变更集生成多个补丁。通过修正提交,并提供Gerrit变更的Change-Id,我们可以修改当前的提交。
$ git commit --amend -m "Hello World > > Change-Id: I06bf85ed12f370212ec22dbd76c115861b653cf2 > " [master 86a7a39] Hello World 1 files changed, 1 insertions(+), 0 deletions(-) $ git push Counting objects: 3, done. Writing objects: 100% (3/3), 260 bytes, done. Total 3 (delta 0), reused 0 (delta 0) remote: (W) 86a7a39: no files changed, message updated To ssh://me@localhost:29418/example.git * [new branch] master -> refs/for/master
现在再去看Gerrit中的change 1,你会发现出现了第二个与该变更相关联的补丁集。远端分支refs/changes/01/1/2包含了新的提交消息(尽管所有文件还是一样的)。
通常情况下,你并不需要添加Change-Id,因为提交消息Hook会自动帮你添加的。
代码审查与结果提交
我们要创建一个build.sh脚本来执行构建过程。Jenkins/Hudson会签出并运行该脚本。一般而言,这是一个Maven的构建,也可能是xcodebuild或make——为了避免针对某种语言,我们就使用一个普通的脚本。
$ cat > build.sh #!/bin/sh echo Pretending to build ... echo done ^D $ chmod a+x build.sh $ git add build.sh $ git commit -m "Adding (dummy) build script" $ git push
问题是这些变更还在Gerrit的评审队列里,我们要先批准这些变更。进入变更页面,会看到这些文件,还有一个Review按钮。在变更页面有一个让你做代码审查的Review按钮,但却没有提交按钮……
这是因为变更在提交前默认要评审+2,每个人只能+1,也就是说只有一个人做代码审查是无法提交代码的。
我们可以修改Gerrit的规则,允许一个人投票+2,也可以准许+1提交。
最简单的方法是进入项目管理页面的All Projects Access标签页(在Gerrit 2.2.1和2.1.7.2里这个标签从--All Projects--改成了All-Projects)。点击“Code review”规则旁边的复选框,修改“Permitted Range”为+2: Looks good to me, approved。Gerrit还需要一个+1校验,随后也会为Jenkins/Hudson配置的。按照下面内容添加一条新规则:
Category Verified Group Name Non-Interactive Users Reference Name refs/* Permitted Range -1: Fails to +1: Verified点击“Add Access Right”来配置该权限。
我们需要为Jenkins/Hudson创建一个新用户并添加到这个分组里,因此进到登录页面注册一个新账户buildbot。还需要一个新的SSH密钥(名字是id_rsa.buildbot),和之前一样粘贴在公钥一栏里。
重新用管理员ID登录(你早些时候创建的那个账户),进入Admin - Groups标签。在Non-Interactive Users里加入buildbot和demo用户(后者是临时的)。
配置好了校验规则,我们应该回到变更页面,将这个变更标记为通过。
但我们还是缺少一个Submit按钮,需要用它来合并分支。提交权限独立于校验和代码审查权限之外,因此需要回到All Projects Access标签页,添加一个权限:
Category Submit Group Name Registered Users Reference Name refs/* Permitted Range +1: Submit点击“Add Access Right”来配置该权限。
现在,回到变更页面,我们就能看到Submit按钮(如果变更已经通过了代码审查)了,在评论/代码审查页面也有Publish and Submit按钮。(请注意,如果代码审查还没到达提交所需的级别,在点击Publish and Submit时会出现一个错误提示。)
最后,发布并提交所有未完成的代码审查(保证构建脚本已经就绪),执行git pull来确保你的代码库是最新的。它们应该出现在已合并标签页中。
管理员注意事项:一般来说,不会普遍赋予'All Projects Access'权限,而是根据项目进行分配。这里使用'All Projects'是为了方便运行,也可以根据项目进行配置。
配置Jenkins/Hudson
现在要做的就是配置Jenkins(如果你喜欢也可以用Hudson)。它们和Gerrit一样,默认运行在8080端口上,你需要为它们换个端口。修改Gerrit的端口要重新执行之前的配置过程,修改Jenkins/Hudson的端口只需命令行即可。
$ #java -jar hudson-2.0.1.war --httpPort=1234 $ java -jar jenkins.war -httpPort=1234 ...
Jenkins/Hudson可以直接签出Git项目,也可以通过Gerrit签出。但是签出过程未必都能自定义SSH身份(不用.ssh/config中的默认身份集)。有时使用匿名Git协议来托管Git代码库会容易些,即无需身份验证。可以运行如下命令:
$ git daemon --export-all --base-path=/path/to/gits
我们还需要安装Git插件和Git/Gerrit触发器。打开位于http://localhost:1234的Jenkins/Hudson,点击左上方的Manage Jenkins/Hudson链接,再点击Manage Plugins链接。切换到 Available标签页,安装:
- Gerrit Trigger
Install按钮在右下方,Jenkins/Hudson稍后会重启。Gerrit Trigger会安装Git插件。请注意,有一个Gerrit Plugin,那个不是我们要装的。(如果你在使用Hudson,并且更新页面里没有任何内容的话,进入'Advanced'点击下方的'Check now'。)
现在,我们可以开始配置Jenkins/Hudson了。先按以下步骤新建一个CI任务检查Git代码库的变更(合并):
- 点击左上方的'New Job'。这会要求你输入一个名称(例如Example)和类型;本例中选择free-style项目。
- SCM类型选择Git(如果没有这个选项,说明需要安装上面提到的Git插件)。URL是git://localhost/example.git
- 至于构建触发器,选中Poll SCM并输入* * * * *。这里的格式与crontab类似,这里相当于每分钟检查一次代码库。
- 滚动到add a build step,选择execute shell。输入$WORKSPACE/build.sh(请注意:如果项目名中有空格,需要用引号把它括起来,例如"$WORKSPACE/build.sh")
- 最后,点击Save,项目创建好了。
上面创建了一个项目,签出master,如果有变化则执行build.sh。点击build now链接会签出代码,运行脚本并报告执行成功与否。(如果失败了,可以检查构建日志了解详细信息,在继续后续任务前把问题解决掉。)
集成Gerrit
我们现在已经可以在master发生变更时通过Jenkins/Hudson自动构建了,但是我们还应该在提交代码审查时进行构建。
下面要创建另一个任务:
Name Example-Gerrit Type Free-style SCM Git URL git://localhost/example.git Advanced (below URL of repository) Refspec $GERRIT_REFSPEC Advanced (above repository browser) Choosing strategy Gerrit-plugin Build Triggers Gerrit Event Gerrit Project Path - ** - Path - **有新事件发生时,Gerrit会触发项目。但是我们还差一步,要告诉Jenkins/Hudson监听哪个Gerrit服务器。
在Manage Jenkins/Hudson标签页中,有一项Gerrit Trigger,添加如下信息:
Hostname localhost URL http://localhost:8080 Port 29418 Username buildbot Keyfile /path/to/.ssh/id_rsa.buildbot SSH Keyfile password ...首先,点击下方的“Save”按钮。然后,点击Test Connection按钮检查配置是否成功。如果成功,点击“Restart”,或者重启Jenkins/Hudson。
如果一切顺利,应该可以回到主页,左边有一个Query and Trigger Gerrit Patches链接。点击该链接,输入is:open查看打开的变更,is:merged查看合并的变更。完成后,选中复选框,点击Trigger Selected触发该变更的构建。
如果你使用的是Hudson 2.0.0和Gerrit 2.2.0,在Hudson控制台里会看到java.lang.reflect.InvocationTargetException错误。这是新Gerrit Trigger的一个问题;升级到Hudson 2.0.1就好了。
整合到一起
你现在可以在代码库的本地克隆中创建一个变更,推送到Gerrit中,让Jenkins/Hudson自动为你执行构建。
要测试失败的情况,编辑build.sh脚本,在文件末尾输入exit 1。提交文件并将其推送到Gerrit,你会看到Jenkins/Hudson的状态会变为失败,因为现在的构建脚本返回了一个非零码。修复提交,将刚才那行改为exit 0,推送之后你会看到构建结果变回成功。
最后,如果要使用xcodebuild构建iOS应用程序,通过ocunit2junit.rb脚本来串联整个构建,它会把SenTest的断言转为Jenkins/Hudson可以理解的形式,这样失败的断言就能打印在输出的构建日志里了。
关于作者
Alex Blewitt博士是Bandlem Limited的创始人,虽然就职于伦敦的一家投资银行,但仍然花时间了解最新的OSGi和Eclipse动态。尽管他曾是EclipseZone的编辑,在2007年被提名为Eclipse Ambassador,可是他的日常工作与Eclipse和Java都没有任何关系。在他那所剩无几的空余时间里,他会和家人在一起,如果天气好他们会出去玩。你可以在Twitter上关注@alblue,或者去他的博客alblue.bandlem.com。