我正在尝试使用 Jenkins 进行 CI/CD。 我开发了一个Python Flask 应用程序。我正在将此应用程序部署到 Google App Engine 中。到目前为止我正在使用gcloud app deploy app.yaml将应用程序部署到 Google App Engine 的命令。

此应用程序的代码存在于 Google Cloud Source Repository 中。

由于 git(Google Cloud Source Repository) 的身份验证需要 Google OAuth，所以我安装了Google OAuth 凭据插件 https://wiki.jenkins.io/display/JENKINS/Google+OAuth+Plugin

现在我面临两个问题

1. When I use "Google Service Account from metadata" Credential Kind, I am not seeing the credentials listed in "Source Code Management".
2. 当我使用“私钥中的 Google 服务帐户”时，我能够看到凭据。但是当我运行我的詹金斯工作时，我收到以下错误

致命：无法呼叫 com.google.jenkins.plugins.source.GoogleRobotUsernamePassword.writeObject() : 序列化失败 com.google.jenkins.plugins.source.GoogleRobotUsernamePasswordModule$ForRemote#credentials 上课 com.google.jenkins.plugins.source.GoogleRobotUsernamePasswordModule$ForRemote ---- 调试信息 ---- 消息：无法调用 com.google.jenkins.plugins.source.GoogleRobotUsernamePassword.writeObject() 原因异常：java.lang.RuntimeException 原因消息： 序列化失败 com.google.jenkins.plugins.source.GoogleRobotUsernamePasswordModule$ForRemote#credentials 上课 com.google.jenkins.plugins.source.GoogleRobotUsernamePasswordModule$ForRemote ------------------------------- java.lang.UnsupportedOperationException：拒绝封送 出于安全原因，org.joda.time.DateTime；看https://jenkins.io/redirect/class-filter/ https://jenkins.io/redirect/class-filter/在 hudson.util.XStream2$BlacklistedTypesConverter.marshal(XStream2.java:543) 在 com.thoughtworks.xstream.core.AbstractReferenceMarshaller.convert(AbstractReferenceMarshaller.java:69) 在 com.thoughtworks.xstream.core.TreeMarshaller.convertAnother(TreeMarshaller.java:58) 在 com.thoughtworks.xstream.core.AbstractReferenceMarshaller$1.convertAnother(AbstractReferenceMarshaller.java:84)

Question：如何在 Jenkins 中验证 Google Cloud Source 存储库？在 Jenkins 中使用 Google Cloud Source 存储库需要哪些步骤|插件？

Solution

您可能需要向运行 Jenkins 的 Compute Engine 虚拟机实例添加缺失的范围，以使其能够访问 Cloud Source Repository。您可以按照文档 https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances#changeserviceaccountandscopes或此步骤，您觉得方便即可。

1. Go to 云部署管理器 https://pantheon.corp.google.com/dm/deployments
2. 单击相关 Jenkins 部署的名称
3. 单击左侧信息窗格中的实例名称，它会将您重定向到VM instance details
4. Stop实例
5. Press Edit并为Cloud Source Repository设置正确的访问范围

启动 VM 实例后，尝试再次添加 git 存储库，一旦选择凭据（“来自元数据的 Google 服务帐户”或来自服务帐户），一切都应该正常工作。

阐述

我偶然发现了“无效的身份验证凭据”。部署后尝试添加云源存储库时出现问题来自 Launcher 的 Jenkins https://console.cloud.google.com/launcher/details/click-to-deploy-images/jenkins?q=jenkins.

就我而言，发生这种情况的原因是在部署过程中云API访问范围 https://cloud.google.com/compute/docs/access/service-accounts#accesscopesiam对于云源存储库在 Compute Engine 虚拟机实例上被设置为Disabled，即使服务帐户拥有所有必要的角色/权限，也会阻止该实例的任何交互。

以下是 Launcher 重新配置的范围：

scopes:
  - 'https://www.googleapis.com/auth/cloud.useraccounts.readonly'
  - 'https://www.googleapis.com/auth/devstorage.read_only'
  - 'https://www.googleapis.com/auth/logging.write'
  - 'https://www.googleapis.com/auth/monitoring.write'
  {% if enableComputeApi %}
  - 'https://www.googleapis.com/auth/compute'
  {% endif %}
  - 'https://www.googleapis.com/auth/cloudruntimeconfig'

添加以下内容scope https://developers.google.com/identity/protocols/googlescopes#sourcerepov1运行 Jenkins 的 VM 实例足以修复错误：

https://www.googleapis.com/auth/source.read_only 

Extra:

Google API 的范围列表。 https://developers.google.com/identity/protocols/googlescopes