Einrichten von Dependabot für die Ausführung auf github-gehosteten Aktionsläufern mithilfe des Azure privaten Netzwerks

Ein Azure Virtual Network (VNET) kann so konfiguriert werden, um Dependabot auf GitHub-gehosteten Runnern auszuführen.

Wer kann dieses Feature verwenden?

Benutzer*innen mit Schreibzugriff

In diesem Artikel

Konfigurieren von VNET für Dependabot updates

Dieser Artikel enthält schrittweise Anleitungen zum Ausführen von Dependabot auf GitHub-gehosteten Runners, die mit einem VNET konfiguriert sind. In diesem Artikel wird Folgendes erläutert:

  • So erstellst du Runner-Gruppen für dein Unternehmen oder deine Organisation mit einer VNET-Konfiguration.
  • Wie man GitHub-gehostete Runner für Dependabot in der Runnergruppe erstellt.
  • So aktivieren Sie Dependabot auf großen Runnern.
  • Konfigurieren Sie Azure VNET-Firewall-IP-Regeln.

Um die von GitHub gehosteten Runner mit Azure VNET zu verwenden, müssen Sie zuerst Ihre Azure-Ressourcen konfigurieren und dann eine private Netzwerkkonfiguration in GitHub erstellen.

Konfigurieren von Azure Ressourcen

Informationen darüber, wie Sie GitHub-gehostete Runner mit einem privaten Azure-Netzwerk verwenden, finden Sie unter Konfigurieren Ihrer Azure-Ressourcen in der GitHub Enterprise Cloud-Dokumentation.

Hinweis

  • Die databaseId, die im Skript für die Konfiguration der Azure-Ressourcen erforderlich ist, können auf eine der folgenden Elemente verweisen, je nachdem, ob Sie die Ressourcen für ein Unternehmen oder eine Organisation konfigurieren:
  • Der Unternehmens-Slug, den du anhand der URL deines Unternehmens identifizieren kannst, https://github.com/enterprises/SLUG, oder
  • Die Anmeldung für das Konto der Organisation, die du über die URL deiner Organisation herausfinden kannst, https://github.com/organizations/ORGANIZATION_LOGIN.
  • Das Skript gibt die vollständige Payload für die erstellte Ressource zurück. Der GitHubId Hashwert, der in der Nutzlast der erstellten Ressource zurückgegeben wird, ist die Ressourcen-ID der Netzwerkeinstellungen, die Sie bei der Einrichtung der Netzwerkkonfiguration in GitHub verwenden werden.

Konfigurieren eines eingebundenen VNET-Runners für Dependabot updates in Ihrem Unternehmen

Nachdem Sie Ihre Azure-Ressourcen konfiguriert haben, können Sie ein Azure Virtual Network (VNET) für private Netzwerke verwenden, indem Sie eine Netzwerkkonfiguration erstellen auf Organisationsebene. Anschließend kannst du diese Netzwerkkonfiguration Runnergruppen zuordnen.

  1. Füge eine neue Netzwerkkonfiguration für dein Unternehmen hinzu. Weitere Informationen finden Sie in der Dokumentation unter GitHub Enterprise Cloud.
  2. Erstellen Sie eine Runner-Gruppe auf Unternehmensebene und wählen Sie die Organisationen aus, für die Sie Dependabot updates ausführen möchten. Siehe Erstellen einer Läufergruppe für Ihr Unternehmen in der GitHub Enterprise Cloud Dokumentation.
  3. Erstellen und Hinzufügen eines GitHub-gehosteten Runners zur Enterprise-Runner-Gruppe. Siehe Hinzufügen eines größeren Runners zu einem Unternehmen in der GitHub Enterprise Cloud Dokumentation. Wichtige Punkte sind die folgenden:

    • Der Name des Runners muss dependabot lauten.

    • Wähle eine Linux x64 Plattform.

    • Wähle die passende Ubuntu-Version aus.

    • Wenn Sie Ihren GitHubgehosteten Läufer zu einer Läufergruppe hinzufügen, wählen Sie die Läufergruppe aus, die Sie im vorherigen Schritt erstellt haben.

    Hinweis

    Durch die Benennung des GitHubgehosteten Runners zu "dependabot" wird das Label dependabot dem Runner zugewiesen, sodass er Jobs aufnehmen kann, die durch Aktionen von Dependabot ausgelöst werden.

Aktivierung von Dependabot für die Organisation

Sie müssen jetzt Dependabot auf selbst-gehosteten Runnern für Ihre Organisation aktivieren, um Dependabot auf großen Runnern zu aktivieren. Siehe Aktivieren oder Deaktivieren Dependabot von größeren Runnern.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot der Registerkarten im Profil einer Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Wählen Sie im Abschnitt "Sicherheit" der Randleiste das Advanced Security Dropdownmenü aus, und klicken Sie dann auf Global settings.

  4. Unter Dependabot, wählen Sie Dependabot für selbst gehostete Runner. Dieser Schritt ist erforderlich, da sichergestellt wird, dass zukünftige Dependabot Aufträge auf dem größeren GitHub-gehosteten Runner mit dem Namen dependabot ausgeführt werden.

Auslösen einer Dependabot Ausführung

Nachdem Sie nun private Netzwerke mit VNET eingerichtet haben, können Sie eine Dependabot Ausführung starten.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf die Registerkarte Insights.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

    Screenshot der Registerkarte Abhängigkeitsdiagramm. Die Registerkarte ist mit einer orangefarbenen Kontur hervorgehoben.

  4. Klicke unter „Abhängigkeitsdiagramm“ auf Dependabot .

  5. Klicke rechts neben dem Namen der relevanten Manifestdatei auf Recent update jobs.

  6. Wenn keine kürzlichen Aktualisierungsaufträge für die Manifestdatei vorhanden sind, klicke auf Check for updates, um einen Dependabot-Versionsupdateauftrag erneut auszuführen und nach neuen Updates für Abhängigkeiten für dieses Ökosystem zu suchen.

Protokolle und aktive Aufträge für Dependabot updates überprüfen

  • Sie können die Protokolle des Dependabot Workflows auf der Registerkarte "Aktionen " Ihres Repositorys anzeigen. Stellen Sie sicher, dass Sie den Dependabot Auftrag auf der linken Randleiste der Seite "Aktionen" auswählen.

    Beispiel für ein Protokoll des Workflows „Dependabot in vnets“. Der Dependabot Job ist mit einem orangefarbenen Umriss hervorgehoben.

  • Du kannst die aktiven Jobs auf der Seite mit den Informationen über den Runner einsehen. Um diese Seite aufzurufen, klicke auf die Registerkarte Richtlinien für das Unternehmen, wähle Aktionen in der linken Seitenleiste, klicke auf die Registerkarte Runner-Gruppe und wähle deinen Runner aus.

    Ein Screenshot zeigt die aktiven Jobs eines Dependabot Runners.

Konfigurieren Azure VNET-Firewall-IP-Regeln

Wenn Ihre Azure VNET-Umgebung mit einer Firewall mit einer IP-Zulassungsliste konfiguriert ist, müssen Sie möglicherweise Ihre Liste der zulässigen IP-Adressen aktualisieren, um die GitHub-hosted runners IP-Adressen zu verwenden, die vom Meta-API-Endpunkt stammen.

  • GitHub stellt den folgenden öffentlichen Endpunkt für seine IP-Bereiche bereit:

    GET https://api.github.com/meta

  • Kopiere den folgenden curl-Befehl und füge ihn in dein Terminal oder Prompt ein und ersetze den Wert des Bearer Token durch deinen tatsächlichen Wert.

    Bash
          curl -L \
      -H "Accept: application/vnd.github+json" \
      -H "Authorization: Bearer YOUR-TOKEN" \
      -H "X-GitHub-Api-Version: 2022-11-28" \
      https://api.github.com/meta

  • In der Antwort suchst du nach dem Schlüssel actions.

        "actions": [ ... ]

    Dies sind die IP-Bereiche, die von GitHub Actions Läufern verwendet werden, einschließlich Dependabot und gehosteten Läufern.

  • Füge diese IPs zu deiner Firewall Zulassungsliste hinzu.