Como configurar o Dependabot para ser executado em executores de ação hospedados pelo GitHub usando a Rede Privada do Azure

Você pode configurar uma VNET (Rede Virtual) do Azure para executar o Dependabot em executores hospedados pelo GitHub.

Quem pode usar esse recurso?

Usuários com com acesso para gravação

Neste artigo

Como configurar uma VNet para Dependabot updates

Este artigo fornece instruções passo a passo para executar o Dependabot em executores hospedados no GitHub configurados com VNet. O artigo explica:

  • Como criar grupos de executores para sua empresa ou organização com uma configuração de VNET.
  • Como criar executores hospedados no GitHub para o Dependabot no grupo de executores.
  • Como habilitar o Dependabot em executores avançados.
  • Como configurar regras de IP de firewall da VNET do Azure.

Para usar executores hospedados pelo GitHub com uma VNET do Azure, primeiro você precisa configurar os recursos do Azure e, em seguida, criar uma configuração de rede privada no GitHub.

Configuração de recursos do Azure

Para saber como usar os executores hospedados pelo GitHub com uma rede privada do Azure, confira Como configurar seus recursos do Azure na documentação do GitHub Enterprise Cloud.

Observação

  • O databaseId, que é necessário no script para configurar os recursos do Azure, pode fazer referência a qualquer um dos seguintes itens, dependendo de você estar configurando os recursos para uma empresa ou uma organização:
  • Ao campo de dados dinâmico da empresa, que você pode identificar na URL da sua empresa, https://github.com/enterprises/SLUG, ou
  • Ao logon da conta da sua organização, que você pode identificar na URL da sua organização, https://github.com/organizations/ORGANIZATION_LOGIN.
  • O script retornará a carga completa do recurso criado. O valor de hash GitHubId retornado no payload do recurso criado é a ID do recurso de configurações de rede que você usará nas próximas etapas ao definir uma configuração de rede no GitHub

Como configurar um executor injetado na VNET para Dependabot updates na sua empresa

Depois de configurar seus recursos do Azure, você pode usar uma Rede Virtual do Azure (VNET) para rede privada criando uma configuração da rede no nível corporativo ou organizacional. Em seguida, você pode associar essa configuração de rede a grupos de executores.

  1. Adicione uma nova configuração de rede para sua empresa. Consulte Adicionar uma nova configuração de rede para sua empresa na documentação do GitHub Enterprise Cloud.
  2. Crie um grupo de executores para a empresa e selecione as organizações para as quais você quer executar Dependabot updates. Consulte Criar um grupo de executores para sua empresa na documentação do GitHub Enterprise Cloud.
  3. Crie e adicione um executor hospedado pelo GitHub para o grupo de executores da empresa. Consulte Como adicionar um executor maior a uma empresa na documentação do GitHub Enterprise Cloud . Os pontos importantes são:

    • O nome do executor deve ser dependabot

    • Escolha uma plataforma x64 do Linux.

    • Selecione a versão adequada do Ubuntu.

    • Ao adicionar o executor hospedado pelo GitHub a um grupo de executores, selecione o grupo de executores que você criou na etapa anterior.

    Observação

    Atribuir um nome ao executor hospedado pelo GitHub como dependabot atribui o rótulo dependabot ao executor, o que permite que ele escolha trabalhos disparados pelo Dependabot nas ações.

Habilitar o Dependabot para a organização

Agora você precisa habilitar o Dependabot em executores auto-hospedados para sua organização para habilitar o Dependabot em executores avançados. Confira Como habilitar ou desabilitar o Dependabot em executores avançados.

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela das guias no perfil de uma organização. A guia "Configurações" está contornada em laranja escuro.

  3. Na seção "Segurança" da barra lateral, selecione o menu suspenso Advanced Security e clique em Global settings.

  4. No Dependabot, selecione Dependabot nos executores auto-hospedados. Essa etapa é obrigatória, pois garante que os futuros trabalhos do Dependabot serão executados no executor avançado hospedado pelo GitHub que tem o nome dependabot.

Acionando uma execução do Dependabot

Agora que configurou a rede privada com a VNET, você pode iniciar uma execução do Dependabot.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique na guia Insights.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

    Captura de tela da guia "Grafo de dependência". A guia está realçada com um contorno laranja.

  4. Em "Grafo de dependência", clique em Dependabot .

  5. À direita do nome do arquivo de manifesto no qual tem interesse, clique em Recent update jobs.

  6. Se não houver trabalhos de atualização recentes para o arquivo de manifesto, clique em Check for updates para executar novamente um trabalho de atualização do Dependabot e verifique se há novas atualizações de dependências desse ecossistema.

Verificar se há Dependabot updates para logs e trabalhos ativos

  • Você pode exibir os logs do fluxo de trabalho do Dependabot na guia Ações do repositório. Verifique se você selecionou o trabalho do Dependabot na barra lateral esquerda da página Ações.

    Exemplo de log de um fluxo de trabalho "Dependabot na VNET". O trabalho do Dependabot é realçado com um contorno laranja.

  • Você pode exibir os trabalhos ativos na página que contém informações sobre o executor. Para acessar essa página, clique na guia Políticas da empresa, selecione Ações na barra lateral esquerda, clique na guia Grupo de executores e selecione o executor.

    Captura de tela mostrando os trabalhos ativos de um executor do Dependabot.

Como configurar regras de IP de firewall da VNET do Azure

Se o ambiente da VNET do Azure estiver configurado com um firewall com uma lista de IPs permitidos, talvez seja necessário atualizar a lista de endereços IP permitidos para usar os endereços IP dos executores hospedados pelo GitHub originados do ponto de extremidade da API de metadados.

  • O GitHub fornece o seguinte ponto de extremidade público para seus intervalos de IP:

    OBTER https://api.github.com/meta

  • Copie e cole o seguinte comando curl no seu terminal ou prompt de comando e substitua o valor do token de portador do espaço reservado pelo valor real.

    Bash
          curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

  • Na resposta, procure a chave de ações.

        "actions": [ ... ]

    Esses são os intervalos de IP usados pelos executores do GitHub Actions, incluindo o Dependabot e executores hospedados.

  • Adicione esses IPs à sua lista de permissões de firewall.