Configuration de Dependabot pour s’exécuter sur des exécuteurs d’actions hébergées sur github à l’aide du réseau privé Azure

Configuration du VNET pour Dependabot updates

Cet article fournit des instructions pas à pas pour l’exécution Dependabot sur GitHub les exécuteurs hébergés configurés avec un réseau virtuel. L’article explique :

Comment créer des groupes d’exécuteurs pour votre entreprise ou organisation avec une configuration de réseau virtuel.
Comment créer des exécuteurs hébergés pour GitHub dans le groupe d’exécuteurs de Dependabot.
Comment activer Dependabot sur les grands coureurs.
Comment configurer les règles IP du pare-feu pour le réseau virtuel Azure.

Pour utiliser des exécuteurs hébergés GitHub avec Azure réseau virtuel, vous devez d’abord configurer vos ressources Azure, puis créer une configuration de réseau privé dans GitHub.

Configuration des ressources Azure

Pour savoir comment utiliser des exécuteurs hébergés GitHub avec un réseau privé Azure, consultez Configurer vos ressources Azure dans la documentation GitHub Enterprise Cloud.

Remarque

Le databaseId requis dans le script pour configurer les ressources Azure peut faire référence à l’une des options suivantes, selon que vous configurez les ressources d’une entreprise ou d’une organisation :
Le slug de l’entreprise, que vous pouvez identifier en consultant l’URL de votre entreprise, https://github.com/enterprises/SLUG, ou
Les informations d’identification du compte de l’organisation, que vous pouvez identifier en consultant l’URL de votre organisation, https://github.com/organizations/ORGANIZATION_LOGIN.
Le script retournera la charge utile complète de la ressource créée. La GitHubId valeur de hachage retournée dans la charge utile de la ressource créée est l’ID de ressource des paramètres réseau que vous allez utiliser dans les étapes suivantes lors de la configuration d’une configuration réseau dans GitHub

Configuration d’un runner injecté dans le réseau virtuel pour Dependabot updates dans votre entreprise

Après avoir configuré vos ressources Azure, vous pouvez utiliser un Réseau virtuel Azure (VNET) pour la mise en réseau privée en créant une configuration réseau au niveau de l’organisation. Ensuite, vous pouvez associer cette configuration réseau aux groupes d’exécuteurs.

Ajouter une nouvelle configuration réseau pour votre entreprise. Consultez Ajouter une nouvelle configuration réseau pour votre entreprise dans la GitHub Enterprise Cloud documentation.
Créez un groupe d’exécuteurs pour l’entreprise et sélectionnez les organisations pour lesquelles vous souhaitez exécuter Dependabot updates. Consultez Créer un groupe d’exécuteurs pour votre entreprise dans la GitHub Enterprise Cloud documentation.
Créez et ajoutez un GitHub exécuteur hébergé au groupe d’exécuteurs d’entreprise. Consultez Ajout d’un exécuteur plus grand à une entreprise dans la GitHub Enterprise Cloud documentation. Les points importants sont les suivants :
- Le nom de l’exécuteur doit être dependabot
- Choisissez une plateforme Linux x64.
- Sélectionnez la version d’Ubuntu appropriée.
- Lorsque vous ajoutez votre GitHubexécuteur hébergé à un groupe d’exécuteurs, sélectionnez le groupe d’exécuteurs que vous avez créé à l’étape précédente.
Remarque

Le fait de nommer le runner GitHub-hébergé dependabot attribue l'étiquette dependabot au runner, ce qui lui permet de prendre en charge les tâches déclenchées par Dependabot sur les actions.

Déclenchement d’une Dependabot exécution

Maintenant que vous avez configuré la mise en réseau privée avec VNET, vous pouvez démarrer une Dependabot exécution.

Sur GitHub, accédez à la page principale du référentiel.
Sous le nom de votre référentiel, cliquez sur l’onglet Aperçus.
Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.
Sous « Graphe de dépendances », cliquez sur Dependabot .
À droite du nom du fichier manifeste qui vous intéresse, cliquez sur Tâches de mise à jour récentes.
Si aucune tâche de mise à jour récente n’est disponible pour le fichier manifeste, cliquez sur Vérifier les mises à jour pour réexécuter une tâche de mise à jour de la version Dependabot et vérifier si de nouvelles mises à jour sont disponibles pour les dépendances de cet écosystème.

Vérification des logs et des tâches actives pour Dependabot updates

Vous pouvez afficher les journaux du flux de travail Dependabot sous l’onglet Actions de votre dépôt. Veillez à sélectionner la Dependabot tâche dans la barre latérale de gauche de la page Actions.
Vous pouvez afficher les jobs actifs dans la page contenant les informations sur le runner. Pour accéder à cette page, cliquez sur l’onglet Stratégies de l’entreprise, sélectionnez Actions dans la barre latérale gauche, cliquez sur l’onglet Groupe d’exécuteurs et sélectionnez votre exécuteur.

Configuration de règles IP de pare-feu de réseau virtuel Azure

Si votre environnement de réseau virtuel Azure est configuré avec un pare-feu avec une liste d'autorisation IP, vous devrez peut-être mettre à jour votre liste d’adresses IP autorisées pour utiliser les adresses IP des exécuteurs GitHub hébergés, provenant du point de terminaison API de métadonnées.

GitHub fournit le point de terminaison public suivant pour ses plages d’adresses IP :

GET https://api.github.com/meta

Copiez et collez la commande curl suivante dans votre terminal ou invite de commande, puis remplacez la valeur du jeton d'authentification par votre propre valeur.

Bash

      curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

      curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

Dans la réponse, recherchez la clé actions.
```
    "actions": [ ... ]
```
Il s’agit des plages d’adresses IP utilisées par GitHub Actions exécuteurs, y compris Dependabot et les exécuteurs hébergés.
Ajoutez ces adresses IP à la liste d’autorisation de votre pare-feu.