Inteligencia de la arquitectura del servicio con GitHub Enterprise (on-premises)

Cree y configure una aplicación de GitHub

En su instancia de GHE, navegue a Settings → Developer Settings → GitHub Apps → New GitHub App. Para obtener instrucciones detalladas sobre cómo crear una aplicación de GitHub, consulte la documentación de GitHub sobre el registro de una aplicación de GitHub.

Configurar permisos

Configure los permisos de la aplicación con precisión para garantizar una obtención de datos sin problemas durante la sincronización inicial y una escucha eficiente de los eventos de webhook a partir de entonces. Los permisos de la aplicación definen el alcance del acceso que la aplicación tiene a varios recursos de repositorio y organización en GitHub. Al adaptar estos permisos, puede mejorar la seguridad, asegurando que la aplicación solo acceda a los datos necesarios, minimizando la exposición. La configuración adecuada facilita la sincronización inicial de datos sin problemas y el manejo confiable de eventos, optimizando la integración de la aplicación con el ecosistema de GitHub.

Para obtener orientación detallada sobre los permisos de la aplicación de GitHub, consulte la documentación de GitHub sobre la configuración de permisos para las aplicaciones de GitHub.

Permisos de repositorio requeridos

Configure los siguientes permisos a nivel de repositorio exactamente como se muestra para habilitar la sincronización de datos:

• Administración: Solo lectura ✓

• Verificaciones: Solo lectura ✓

• Estados de confirmación: Seleccionado ✓

• Contenido: Seleccionado ✓

• Propiedades personalizadas: Seleccionado ✓

• Implementaciones: Solo lectura ✓

• Metadatos: Solo lectura (obligatorio) ✓

• Solicitudes de extracción: Seleccionado ✓

• Webhooks: Solo lectura ✓

  Permisos de organización requeridos

  Configure los siguientes permisos a nivel de organización exactamente como se muestra:

• Administración: Solo lectura ✓

• Roles de organización personalizados: Solo lectura ✓

• Propiedades personalizadas: Solo lectura ✓

• Roles de repositorio personalizados: Solo lectura ✓

• Eventos: Solo lectura ✓

• Miembros: Solo lectura ✓

• Webhooks: Solo lectura ✓

  Suscripciones a eventos de webhook

  Seleccione los siguientes eventos de webhook exactamente como se muestran para la sincronización y el monitoreo en tiempo real:

  ✓ Seleccione estos eventos:

• check_run - Actualizaciones del estado de la ejecución de la verificación

• check_suite - Finalización del conjunto de pruebas

• commit_comment - Comentarios sobre las confirmaciones

• create - Creación de rama o etiqueta

• custom_property - Cambios de propiedad personalizada para asignaciones de equipo

• custom_property_values - Cambios en los valores de las propiedades personalizadas

• delete - Eliminación de rama o etiqueta

• deployment - Actividades de implementación

• deployment_review - Procesos de revisión de implementación

• deployment_status - Actualizaciones de estado de implementación

• fork - Eventos de bifurcación de repositorio

• installation_target - Cambios en la instalación de la aplicación de GitHub

• label - Cambios de etiqueta en problemas y solicitudes de extracción

• member - Cambios en el perfil de los miembros

• membership - Adiciones y eliminaciones de miembros

• meta - Cambios de metadatos de la aplicación GitHub

• milestone - Cambios de hitos

• organization - Cambios a nivel de la organización

• public - Cambios de visibilidad del repositorio

• pull_request - Actividades de solicitud de extracción

• pull_request_review - Actividades de revisión de solicitudes de extracción

• pull_request_review_comment - Actividades de comentarios de revisión

• pull_request_review_thread - Actividades de hilo de revisión de solicitudes de extracción

• push - Inserciones y confirmaciones de código

• release - Publicar versiones y actualizaciones

• repository - Creación, eliminación y modificaciones de repositorios

• star - Eventos de estrella del repositorio

• status - Actualizaciones del estado de confirmación

• team - Creación y modificaciones de equipos

• team_add - Adiciones de miembros del equipo

• watch - Eventos de seguimiento del repositorio

  Sugerencia

  Mejor práctica de seguridad: Para reducir la exposición a la seguridad, siga el principio de acceso de privilegio mínimo y solo habilite los permisos mínimos necesarios para las necesidades de su integración.

  Configurar webhooks

  Configure la URL del webhook y cree un secreto de evento personalizado para una comunicación segura:

• URL del webhook: Utilice el siguiente formato según la implementación de su servicio de recopilación:

  • Para HTTP: http://your-domain-name/github/sync/webhook
  • Para HTTPS: https://your-domain-name/github/sync/webhook

  Ejemplo: Si su servicio de recopilación se implementa en collector.yourcompany.com, la URL del webhook sería: https://collector.yourcompany.com/github/sync/webhook

• Secreto del evento: Genere una cadena aleatoria segura (más de 32 caracteres) para la autenticación del webhook. Guarde este valor, ya que lo necesitará para la variable de entorno GITHUB_APP_WEBHOOK_SECRET.

  Generar y convertir claves

1. Después de crear la aplicación de GitHub, debe generar una clave privada. En la configuración de su aplicación de GitHub, haga clic en Generate a private key. La aplicación generará y descargará automáticamente un ID de aplicación único y un archivo de clave privada (formato .pem). Guárdelos de forma segura, ya que serán necesarios para la configuración del servicio de recopilación.

2. Convierta su archivo de clave privada descargado al formato DER y luego codifíquelo en Base64:

   Paso 1: Convertir .pem a formato DER

   bash

   Copia

   $
   openssl rsa -outform der -in private-key.pem -out output.der

   Paso 2: Codifique el archivo DER en Base64

   bash

   Copia

   $
   # For Linux/macOS
   $
   base64 -i output.der -o outputBase64
   $
   cat outputBase64  # Copy this output
   $
   
   $
   # For Windows (using PowerShell)
   $
   [Convert]::ToBase64String([IO.File]::ReadAllBytes("output.der"))
   $
   
   $
   # Alternative for Windows (using certutil)
   $
   certutil -encode output.der temp.b64 && findstr /v /c:- temp.b64

   Copie la cadena Base64 resultante y utilícela como valor para la variable de entorno GITHUB_APP_PRIVATE_KEY en la configuración de su recopilador.

   ✓ Indicadores de éxito:

• La aplicación de Github se crea correctamente
• El ID de la aplicación y la clave privada se guardan de forma segura
• La URL del webhook está configurada y es accesible

Prepare las variables de entorno

Antes de implementar el servicio de recopilación, recopile la siguiente información:

Variables de entorno requeridas

Variables de entorno SSL opcionales

Las siguientes son variables de entorno opcionales para hacer HTTPS de la API.

Instrucciones de configuración del certificado SSL

Para obtener un certificado SSL de una Autoridad de Certificación (CA) confiable para la configuración HTTPS, siga estos pasos:

1. Generar una clave privada y una solicitud de firma de certificado (CSR):

   bash

   Copia

   $
   openssl req -new -newkey rsa:2048 -nodes -keyout mycert.key -out mycert.csr

2. Envíe el CSR a la CA que elija: Envíe el archivo mycert.csr a la Autoridad de certificación (CA) que elija (por ejemplo, DigiCert, Let's Encrypt, GoDaddy).

3. Complete la validación del dominio: Complete cualquier paso de validación de dominio requerido según las instrucciones de la CA.

4. Descargue el certificado: Descargue los archivos de certificado emitidos de la CA (comúnmente un archivo .crt o .pem).

5. Crear un almacén de claves PKCS12: Combine el certificado y la clave privada en un almacén de claves PKCS12:

   bash

   Copia

   $
   openssl pkcs12 -export -in mycert.crt -inkey mycert.key -out keystore.p12 -name mycert

6. Usar el almacén de claves: Use el archivo keystore.p12 generado como valor para SERVER_SSL_KEY_STORE en su configuración de Docker.

Implementar el servicio de recopilación

El servicio de recopilación se entrega como una imagen de Docker. La implementación se puede realizar de dos maneras:

Opción A: Usando Docker Compose (recomendado)

Cree un archivo Docker Compose que automatice la descarga e implementación del servicio.

1. Cree un archivo docker-compose.yml con el siguiente contenido:

   version: '3.9'
   
   services:
     nr-ghe-collector:
       image: newrelic/nr-ghe-collector:tag # use latest tag available in dockerhub starting with v*
       container_name: nr-ghe-collector
       restart: unless-stopped
       ports:
         - "8080:8080"     # HTTP port, make 8443 in case of HTTPS
       environment:
         # Required environment variables
         - NR_API_KEY=${NR_API_KEY:-DEFAULT_VALUE}
         - NR_LICENSE_KEY=${NR_LICENSE_KEY:-DEFAULT_VALUE}
         - GHE_BASE_URL=${GHE_BASE_URL:-DEFAULT_VALUE}
         - GITHUB_APP_ID=${GITHUB_APP_ID:-DEFAULT_VALUE}
         - GITHUB_APP_PRIVATE_KEY=${GITHUB_APP_PRIVATE_KEY:-DEFAULT_VALUE}
         - GITHUB_APP_WEBHOOK_SECRET=${GITHUB_APP_WEBHOOK_SECRET:-DEFAULT_VALUE}
   
         # Optional SSL environment variables (uncomment and configure if using HTTPS)
         # - SERVER_SSL_KEY_STORE=${SERVER_SSL_KEY_STORE}
         # - SERVER_SSL_KEY_STORE_PASSWORD=${SERVER_SSL_KEY_STORE_PASSWORD}
         # - SERVER_SSL_KEY_STORE_TYPE=${SERVER_SSL_KEY_STORE_TYPE}
         # - SERVER_SSL_KEY_ALIAS=${SERVER_SSL_KEY_ALIAS}
         # - SERVER_PORT=8443
       #volumes: # Uncomment the line below if using SSL keystore
       #  - ./keystore.p12:/app/keystore.p12 # path to your keystore file
       network_mode: bridge
   
   networks:
     nr-network:
       driver: bridge

   Copia

2. Establezca sus variables de entorno reemplazando los marcadores de posición DEFAULT_VALUE en el archivo Docker Compose con sus valores reales, o cree variables de entorno en su sistema antes de ejecutar el comando.

   Advertencia

   Nunca confirme archivos de entorno que contengan secretos en el control de versiones. Utilice prácticas seguras de gestión de secretos en producción.

3. Ejecute el siguiente comando para iniciar el servicio:

   bash

   Copia

   $
   docker-compose up -d

   Opción B: Ejecución directa de la imagen de Docker

   Puede descargar la imagen de Docker directamente desde nuestro registro de Docker Hub y ejecutarla utilizando la canalización CI/CD o el método de implementación preferido de su organización. Tenga en cuenta que el cliente debe pasar todas las variables de entorno enumeradas anteriormente al iniciar el servicio de recopilación.

   ✓ Indicadores de éxito:

• El servicio de recopilación se está ejecutando y es accesible en el puerto configurado
• Los logs del contenedor Docker muestran un inicio exitoso sin errores
• El servicio responde a las comprobaciones de estado (si está configurado)

Instale la aplicación de GitHub en las organizaciones

Después de que el servicio de recopilación se esté ejecutando, debe instalar la aplicación de GitHub en las organizaciones específicas que desea integrar:

1. Navegue a su instancia de GitHub Enterprise.

2. Vaya a Settings → Developer Settings → GitHub Apps.

3. Busque la aplicación de GitHub que creó en el paso 1 y haga clic en ella.

4. En la barra lateral izquierda, haga clic en Install App.

5. Seleccione las organizaciones donde desea instalar la aplicación.

6. Elija si desea instalar en todos los repositorios o seleccionar repositorios específicos.

7. Haga clic en Install para completar la instalación.

   ✓ Indicadores de éxito:

• Las entregas de webhook aparecen en la configuración de la aplicación de GitHub
• No hay errores de autenticación en los logs del servicio de recopilación

Complete la configuración de la integración en la interfaz de usuario de New Relic

Una vez que el servicio de recopilación se está ejecutando y la aplicación de GitHub está instalada en su(s) organización(es) GHE, complete la configuración de integración como se indica en la interfaz de usuario de New Relic:

1. Las organizaciones GHE correspondientes aparecerán en la interfaz de usuario de New Relic.

2. Para iniciar la sincronización inicial de datos, haga clic en First time sync.

3. (Opcional) Haga clic en On-demand sync para sincronizar los datos manualmente.

   consejo

   Puede sincronizar manualmente los datos una vez cada 4 horas. El botón de On-demand sync permanece deshabilitado si la sincronización se realizó dentro de las 4 horas anteriores.

4. Después de ver el mensaje de Inicio de sincronización, haga clic en Continue. La pantalla GitHub Enterprise Integration muestra el recuento de equipos y repositorios, actualizándose cada 5 segundos. Permita de 15 a 30 minutos para la importación completa de todos los datos (el tiempo depende del recuento de repositorios).

   

   Visualización de sus datos

   En la pantalla de GitHub Enterprise Integration:

• Para ver la información de los equipos importados en Teams, haga clic en Go to Teams.
• Para ver la información de los repositorios importados en Catalogs, haga clic en Go to Repositories.

Configurar asignaciones de equipo (opcional)

Puede asignar automáticamente repositorios de GitHub a sus equipos agregando teamOwningRepo como una propiedad personalizada en GitHub Enterprise.

1. Cree la propiedad personalizada en el nivel de organización y asigne un valor a la propiedad personalizada en el nivel de repositorio. Además, puede configurar una propiedad personalizada para varios repositorios a nivel de organización simultáneamente.

2. Luego, en New Relic Teams, habilite la función Automated Ownership, cerciorar de usar team como clave de etiqueta.

   Una vez que esto está configurado, New Relic coincide automáticamente cada repositorio con su equipo correcto.

   Para obtener más información sobre la creación de propiedades personalizadas, consulte la documentación de GitHub.