.

版本:v0.3

作者:河东西望

日期:2022-7-13

.

gerrit系统的上手使用有两个难点:

  1. 部署repo仓库。
  2. 配置访问控制。

想要上手使用gerrit的同仁们,搭建部署好gerrit系统之后,会发现gerrit的权限配置不知道从哪里下手。而默认的权限配置非常简单而且开放,不符合企业各种开发管理的需求场景。

gerrit系统上的官方帮助文档很全面,各种概念都讲解得很细致。但是使用gerrit的方式,每个人可能都有不同的方式。只要研发团队用起来上手简单,操作流畅,每种方式都是可行的。

在AOSP的项目开发中,gerrit的使用方式有多种:

  1. 仅仅作为代码仓库系统使用,可以跟gitlab一样作为纯git仓库,也可以是大型repo仓库。
  2. 仅仅作为代码评审系统使用。一般较多的使用方式是gitlab+gerrit组合。这种方式不少公司在使用。
  3. 作为完整的代码仓库系统+代码评审系统使用。

本文档不讲解gerrit的概念和原理,主要介绍项目实践中访问控制是如何配置使用的。repo仓库的部署搭建可以参看我的其他博文。

1 关键概念

使用gerrit之前,我们还是要了解几个关键概念:群组Group,仓库Repository,引用Refernece,权限Permission。

群组Group

gerrit的权限所授予的对象主要是群组Group(虽然也可以针对个人,但它不是常态的权限配置方式)。每个人总是属于一个或者多个群组。

仓库Repository

gerrit中的仓库有多种:正常的代码仓库,权限仓库,项目清单仓库,repo工具仓库等等。

gerrit的访问控制是通过权限仓库来完成的,默认的两个权限仓库是all-projects和all-users(all-users仓库我个人基本没有用到)。权限仓库对普通用户是只读的。

所有的仓库都是通过继承all-projects来配置权限的。我们要配置权限,就是创建子仓库,然后配置这个子仓库的权限,提供给代码仓库继承来实现的。

引用Reference

就是git仓库的各种引用,包括分支,标签,meta属性等。

权限Permission

权限,也就是访问控制Access Control,它的作用对象是仓库的引用reference。

可以归纳一句话来理解:仓库的访问控制就是把其引用Reference的权限授予给群组。(也不好理解?!往下看)

2 需求场景

作为企业的开发团队来说,一般的需求场景是这样的:

  • 有多个不同的部门,每个部门不能互相看到其他部门的代码。
  • 所有部门有如下几种角色:开发者developer、评审者reviewer,项目owner。
  • 不同部门的项目代码仓库的分支策略可能不一样,但是一般有这几个分支:develop、test、product。
  • 开发组developer只能操作develop分支:clone,push权限,review+1权限,其他分支只可clone,不能push。
  • 评审组reviewer只能操作developer分支:除了developer权限之外,还有review+2,submit权限。
  • 项目组owner可以操作所有分支,权限还包括merge,增删分支、增删标签等。

我们可以看一下部门矩阵图:

部门

├── DEV01

│   ├── 项目组

│   ├── 评审组

│   └── 开发组

├── DEV02

│   ├── 项目组

│   ├── 评审组

│   └── 开发组

└── DEV03

    ├── 项目组

    ├── 评审组

    └── 开发组

还有仓库分支图:

仓库分支

├── develop

├── test

└── product

3 配置策略

根据上述的需求场景,我们可以采取如下权限管理策略:

  1. 原始的all-projects仓库不要动,创建自己的权限仓库all-projectx。所有的仓库继承这个权限仓库。
  2. 在all-projectx上修改权限配置。
  3. 如果还想要继续创建更多的权限配置,就继承这个all-projectx。
  4. 在子仓库继承的引用权限中,可以通过Exclusive选项来确认是否需要继承父系权限。

我这里对应创建三个群组:

  • developers
  • reviewers
  • leaders

在每个仓库中,我们只需要配置如下几个引用,其他以后逐步细化配置:

  • refs/for/* : 源代码
  • refs/head/XXX: XXX分支
  • refs/tag/*: 标签

而在权限配置中,我们只需要配置如下几个基本权限:

权限 作用于
Abandon git abandon
Create Reference git branch/git tag
Delete Reference git branch
Forge Committer Identity git push origin HEAD:refs/for/xxx
Push git push --all
Add Patch Set git apply
Push Merge Commits git merge
Create Annotated Tag git tag -a
Create Signed Tag git tag -s
Read git clone/pull/fetch
Rebase git rebase
Revert git revert
Submit web页面的submit权限

实际上,gerrit权限配置之所以上手比较复杂,就在这两个点上: 一个是reference,一个是permission。弄清他们的意义,以及跟git引用的对应关系,是需要时间的。官网上概念虽然很详细,但是具体怎么用,还是一头雾水。这里就化繁为简,采取简单方式,配置出基本的权限控制策略。

all-projectx仓库的Access控制操作,由管理员在页面上进行,操作步骤:

  • Add Reference (refs/for/, refs/tags/, refs/head/develop, refs/head/product ...)
  • Add Permission (Abandon, Create Reference, ...... Submit)
  • Add Group (developers, reviewers, leaders)
  • 配置控制 (Allow, Deny, Block)。需要给谁什么权限就配置Allow。

下面是配置文件Project.config模板:

[access]

	inheritFrom = All-Projects

[submit]

	action = inherit

[access "refs/head/develop"]

	abandon = group developers

	abandon = group leaders

	abandon = group reviewers

	addPatchSet = group developers

	addPatchSet = group leaders

	addPatchSet = group reviewers

	create = deny group developers

	create = group leaders

	create = group reviewers

	createTag = deny group developers

	createTag = group leaders

	createTag = group reviewers

	delete = deny group developers

	delete = deny group reviewers

	delete = group leaders

	forgeCommitter = group developers

	forgeCommitter = group leaders

	forgeCommitter = group reviewers

	push = group developers

	push = +force group leaders

	push = group reviewers

	pushMerge = group developers

	pushMerge = group leaders

	pushMerge = group reviewers

	read = group developers

	read = group leaders

	read = group reviewers

	rebase = group developers

	rebase = group leaders

	rebase = group reviewers

	revert = group developers

	revert = group leaders

	revert = group reviewers

	submit = deny group developers

	submit = group leaders

	submit = group reviewers

[access "refs/head/product"]

	abandon = deny group developers

	abandon = group leaders

	abandon = group reviewers

	addPatchSet = deny group developers

	addPatchSet = group leaders

	addPatchSet = group reviewers

	create = group leaders

	createTag = deny group developers

	createTag = group leaders

	createTag = group reviewers

	delete = deny group developers

	delete = group reviewers

	forgeCommitter = deny group developers

	forgeCommitter = group leaders

	forgeCommitter = group reviewers

	push = deny group developers

	push = +force group leaders

	push = group reviewers

	pushMerge = deny group developers

	pushMerge = group leaders

	pushMerge = group reviewers

	read = group developers

	read = group leaders

	read = group reviewers

	submit = deny group developers

	submit = group leaders

	submit = group reviewers

[access "refs/for/*"]

	push = group developers

	push = +force group leaders

	push = group reviewers

	read = group developers

	read = group leaders

	read = group reviewersFILE

gerrit系统如何配置访问控制的更多相关文章

  1. ASP.NET Core的身份认证框架IdentityServer4--(3)令牌服务配置访问控制跟UI添加

    使用密码保护API OAuth 2.0 资源所有者密码授权允许一个客户端发送用户名和密码到IdentityServer并获得一个表示该用户的可以用于访问api的Token. 该规范建议仅对" ...

  2. Gerrit系统框架介绍

    Gerrit目录介绍 转自:https://blog.csdn.net/tanshizhen119/article/details/79889242 先上图 bin/ : 主要是放gerrit.sh启 ...

  3. Gerrit 系统初探 (已转移到 https://steemit.com/gerrit/@linvictor88/gerrit )

    Gerrit 使用简介        Gerrit,一种免费.开放源代码的代码审查软件,使用网页界面.利用网页浏览器,同一个团队的软件程序员,可以相互审阅彼此修改后的程序代码,决定是否能够提交,退回或 ...

  4. .NET Core采用的全新配置系统[10]: 配置的同步机制是如何实现的?

    配置的同步涉及到两个方面:第一,对原始的配置文件实施监控并在其发生变化之后从新加载配置:第二,配置重新加载之后及时通知应用程序进而使后者能够使用最新的配置.要了解配置同步机制的实现原理,先得从认识一个 ...

  5. Linux 桌面系统字体配置要略

    字体显示效果测试 这一段是为了测试宋体字的显示效果,包括宋体里面自带的英文字体,“This is english,how does it look like?”.这一行是小字.后面几个字是加粗的宋体. ...

  6. 在Mac系统上配置Android真机调试环境

    在Mac系统上配置Android真机调试环境 mac上配置安卓环境还说挺方便的,真机调试也比win上要好一些.win上被各种软件强行安装了xxx助手. 在mac上就了一个干净的感觉. 下载Androi ...

  7. 全新重装win8.1系统后 配置开发及办公环境步骤

    全新重装win8.1系统后 配置开发及办公环境步骤 这两天,系统因配置开发环境出错,重装了一下,为日后方便,故此记录系统配置流程,防日后重装系统计划不周. 安装前,对照步骤,准备好下列安装文件. 0. ...

  8. C/C++通过WMI和系统API函数获取获取系统硬件配置信息

    转载:http://www.cnblogs.com/renyuan/archive/2012/12/29/2838716.html 转载:http://blog.csdn.net/jhqin/arti ...

  9. Win7系统上配置使用Intellij Idea 13的SVN插件

    Win7系统上配置使用Intellij Idea 13的SVN插件 http://blog.csdn.net/jeepxiaozi/article/details/39856081

随机推荐

  1. Maven基础学习笔记

    Maven基础学习笔记 下载链接 官网:https://maven.apache.org/ 所有版本:https://archive.apache.org/dist/maven/maven-3/ 阿里 ...

  2. 代码源 每日一题 分割 洛谷 P6033合并果子

    ​ 题目链接:切割 - 题目 - Daimayuan Online Judge 数据加强版链接: [NOIP2004 提高组] 合并果子 加强版 - 洛谷 题目描述 有一个长度为 ∑ai 的木板,需要 ...

  3. Git在项目中使用技巧

    1.常用的命令 mkdir 文件夹名 创建文件夹 clear 清楚屏幕 ls或者ll 将当前目录下的子文件和子目录平铺在控制台 find 目录名 将对应目录下的子孙文件或子孙目录平铺在控制台 rm 文 ...

  4. asp.net swagger的使用

    最近要从其他系统获取一些数据,准备写个接口让别人把数据塞进来,顺便学习一下如何使用Swagger. 参考大神的教程:asp.net  https://mp.weixin.qq.com/s/SHNNQo ...

  5. os模块,sys模块,json模块,subprocess模块

    os模块 一·什么是os模块 os模块提供了多数操作系统的功能接口函数.当os模块被导入后,它会自适应于不同的操作系统平台,根据不同 的平台进行相应的操作,在python编程时,经常和文件.目录打交道 ...

  6. 数据库与MySQL的下载使用

    目录 数据存储演变史 数据库应用发展史 数据库本质 数据库分类 关系型数据库 非关系型数据库 SQL与NoSQL MySQL简介 版本问题 下载使用 目录结构 基本使用 简单使用 系统服务 修改密码 ...

  7. 双webview模式,子窗口打不开或者无法切换

    iOS 真机调试时,发现window.open 无效.可以结合plusReady里面不执行一起参考,博主在当时遇到这个问题只查询了资料,而后并没有来得及自己亲自验证以下方法的可行性.来日再遇上mui的 ...

  8. React设置proxy后依旧报CROS错误

    1.判断表单数据是否为后端接收的类型 POST GET2.axios自动转换问题 手动添加标头这份表单数据包括了files (二进制数据)而标头显示是JSON格式 不符 所以报CROS 更多文章请移步 ...

  9. SQL Server 2017 各版本之间的差异

    SQL Server 2017的亮点 您选择的语言和平台 使用您选择的语言在本地和云中(现在在 Windows.Linux 和 Docker 容器上)构建现代应用程序. 行业领先的性能 充分利用任务关 ...

  10. 3D编程模式:依赖隔离模式

    大家好~本文提出了"依赖隔离"模式 系列文章详见: 3D编程模式:开篇 本文相关代码在这里: 相关代码 目录 编辑器需要替换引擎 设计意图 定义 应用 扩展 最佳实践 更多资料推荐 ...