📘 Déploiement Blog Hugo

25 août 2023 | ~ 2 mins | 404 mots

Article original du 2023-05-06 :

Pour déployer facilement mon blog avec hugo en auto-hébergé tout en gardant le code sur gitlab, j’utilise la méthode suivante :

Un repository gitlab distant avec mon code.
Une intégration continue gitlab qui génère une archive du site : voir ici, mais qui n’est pas déployé
Un script local sur mon serveur me permettant de déployer mon site sans difficulté en modifiant le contenu d’un répertoire présenté par mon serveur web

Voici ainsi le type de script que j’ai ainsi utilisé, le principe est de récupérer le dernier artefact de gitlab et ensuite de le déployer dans le dossier /var/www/public :

#!/bin/bash

# CONFIG
ARCHIVE_PATH="/tmp/artifacts.zip"
PROJECT_NUMBER="YOURPROJECTNUMBER"
DEST_PATH="/var/www/"
GITLAB_ACCESS_TOKEN="YOURTOKEN"
GITLAB_INSTANCE="YOURINSTANCE"
BRANCH="YOUR BRANCHE"
JOB_NAME="pages"

# DEPLOY
set -e
curl --location --header "PRIVATE-TOKEN: $GITLAB_ACCESS_TOKEN" "https://$GITLAB_INSTANCE/api/v4/projects/$PROJECT_NUMBER/jobs/artifacts/$BRANCH/download?job=$JOB_NAME" --output "$ARCHIVE_PATH"
sudo rm -R "$DEST_PATH/public"
sudo unzip "$ARCHIVE_PATH" -d "$DEST_PATH"
sudo chown -R www-data:www-data "$DEST_PATH/public"
rm "$ARCHIVE_PATH"

Il suffit alors d’attendre que la CI passe et soit validé côté gitlab pour pouvoir appliquer le script. 😀

Mise à jour 2023-08-25 : J’ai amélioré le mécanisme pour le rendre automatique. Voici comment faire :

On peut aller plus loin et rendre le système automatique.

Optionel: Régénération du pipeline à intervalles réguliers, pour gérer les articles futurs ou expirés.
Ajout d’un webhook Pipeline events dans Gitlab.
Installation d’un serveur webhook pour répondre aux hooks Gitlab et lance le script bash ci-dessus.

Voici un exemple naif de configuration du serveur webhook :

[
  {
    "id": "blog_update",
    "execute-command": "/home/me/monscript.sh",
    "command-working-directory": "/home/me",
    "response-message": "redeploy blog",
    "trigger-rule": {
      "and": [
        {
          "match": {
            "type": "value",
            "value": "DONOTLEAKTHIS",
            "parameter": {
              "source": "header",
              "name": "X-Gitlab-Token"
            }
          }
        },
        {
          "match": {
            "type": "value",
            "value": "Pipeline Hook",
            "parameter": {
              "source": "header",
              "name": "X-Gitlab-Event"
            }
          }
        },
        {
          "match": {
            "type": "value",
            "value": "success",
            "parameter": {
              "source": "payload",
              "name": "builds.0.status"
            }
          }
        }
      ]
    }
  }
]

Des ajustements sont nécessaires pour gérer ça correctement et de façon sécurisée. En effet, l’utilisation d’un webhook est potentiellement dangereux, il pourrait rendre possible à un tier d’exécuter du code non voulu, il faut donc :

Empêcher au maximum la possibilité d’éditer le script.
Donner juste assez de droits pour que l’utilisateur du script soit en capacité de le lancer sans pouvoir modifier d’autres choses.
Gérer https pour ne pas faire transiter le token en clair.

Voilà si vous avez fait tout ça bien, vous pouvez pousser votre code sur Gitlab et tada, automatiquement, il sera mis à jour.