.
版本:v0.3
作者:河東西望
日期:2022-7-13
.
gerrit系統的上手使用有兩個難點:
想要上手使用gerrit的同仁們,搭建部署好gerrit系統之後,會發現gerrit的許可權設定不知道從哪裡下手。而預設的許可權設定非常簡單而且開放,不符合企業各種開發管理的需求場景。
gerrit系統上的官方幫助檔案很全面,各種概念都講解得很細緻。但是使用gerrit的方式,每個人可能都有不同的方式。只要研發團隊用起來上手簡單,操作流暢,每種方式都是可行的。
在AOSP的專案開發中,gerrit的使用方式有多種:
本檔案不講解gerrit的概念和原理,主要介紹專案實踐中存取控制是如何設定使用的。repo倉庫的部署搭建可以參看我的其他博文。
使用gerrit之前,我們還是要了解幾個關鍵概念:群組Group,倉庫Repository,參照Refernece,許可權Permission。
群組Group
gerrit的許可權所授予的物件主要是群組Group(雖然也可以針對個人,但它不是常態的許可權設定方式)。每個人總是屬於一個或者多個群組。
倉庫Repository
gerrit中的倉庫有多種:正常的程式碼倉庫,許可權倉庫,專案清單倉庫,repo工具倉庫等等。
gerrit的存取控制是通過許可權倉庫來完成的,預設的兩個許可權倉庫是all-projects和all-users(all-users倉庫我個人基本沒有用到)。許可權倉庫對普通使用者是唯讀的。
所有的倉庫都是通過繼承all-projects來設定許可權的。我們要設定許可權,就是建立子倉庫,然後設定這個子倉庫的許可權,提供給程式碼倉庫繼承來實現的。
參照Reference
就是git倉庫的各種參照,包括分支,標籤,meta屬性等。
許可權Permission
許可權,也就是存取控制Access Control,它的作用物件是倉庫的參照reference。
可以歸納一句話來理解:倉庫的存取控制就是把其參照Reference的許可權授予給群組。(也不好理解?!往下看)
作為企業的開發團隊來說,一般的需求場景是這樣的:
我們可以看一下部門矩陣圖:
部門
├── DEV01
│ ├── 專案組
│ ├── 評審組
│ └── 開發組
├── DEV02
│ ├── 專案組
│ ├── 評審組
│ └── 開發組
└── DEV03
├── 專案組
├── 評審組
└── 開發組
還有倉庫分支圖:
倉庫分支
├── develop
├── test
└── product
根據上述的需求場景,我們可以採取如下許可權管理策略:
我這裡對應建立三個群組:
在每個倉庫中,我們只需要設定如下幾個參照,其他以後逐步細化設定:
而在許可權設定中,我們只需要設定如下幾個基本許可權:
| 許可權 | 作用於 |
|---|---|
| Abandon | git abandon |
| Create Reference | git branch/git tag |
| Delete Reference | git branch |
| Forge Committer Identity | git push origin HEAD:refs/for/xxx |
| Push | git push --all |
| Add Patch Set | git apply |
| Push Merge Commits | git merge |
| Create Annotated Tag | git tag -a |
| Create Signed Tag | git tag -s |
| Read | git clone/pull/fetch |
| Rebase | git rebase |
| Revert | git revert |
| Submit | web頁面的submit許可權 |
實際上,gerrit許可權設定之所以上手比較複雜,就在這兩個點上: 一個是reference,一個是permission。弄清他們的意義,以及跟git參照的對應關係,是需要時間的。官網上概念雖然很詳細,但是具體怎麼用,還是一頭霧水。這裡就化繁為簡,採取簡單方式,設定出基本的許可權控制策略。
all-projectx倉庫的Access控制操作,由管理員在頁面上進行,操作步驟:
下面是組態檔Project.config模板:
[access]
inheritFrom = All-Projects
[submit]
action = inherit
[access "refs/head/develop"]
abandon = group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = deny group developers
create = group leaders
create = group reviewers
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = deny group reviewers
delete = group leaders
forgeCommitter = group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = group developers
push = +force group leaders
push = group reviewers
pushMerge = group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
rebase = group developers
rebase = group leaders
rebase = group reviewers
revert = group developers
revert = group leaders
revert = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/head/product"]
abandon = deny group developers
abandon = group leaders
abandon = group reviewers
addPatchSet = deny group developers
addPatchSet = group leaders
addPatchSet = group reviewers
create = group leaders
createTag = deny group developers
createTag = group leaders
createTag = group reviewers
delete = deny group developers
delete = group reviewers
forgeCommitter = deny group developers
forgeCommitter = group leaders
forgeCommitter = group reviewers
push = deny group developers
push = +force group leaders
push = group reviewers
pushMerge = deny group developers
pushMerge = group leaders
pushMerge = group reviewers
read = group developers
read = group leaders
read = group reviewers
submit = deny group developers
submit = group leaders
submit = group reviewers
[access "refs/for/*"]
push = group developers
push = +force group leaders
push = group reviewers
read = group developers
read = group leaders
read = group reviewersFILE