こんにちは、クラウド事業部 CI/CDサービスメニューチームの山路です。

今回はGitLabのDeployment approvalsを紹介します。Deployment approvalsは指定した環境へのデプロイ実行に特定ユーザーからの承認を要求し、意図しないタイミングのデプロイを防ぎます。

背景

GitLabのDeployment approvalsは、GItLab Environmentに対する保護を実現する機能です。GitLab Environmentは簡単に言うとコードがデプロイされる場所をGitLab上で表すリソースで、デプロイ履歴の記録やアクセス用URLの提供、GitLab agent for Kubernetesと連携したDashboardの提供といった機能を実現します。

※参考:

Deployment approvalsは、GitLab CI/CDからEnvironmentへのデプロイを実施する際に、特定のRoleやユーザーからの承認を義務付けることで、予期せぬタイミングやメンバーによって本番環境へのデプロイが実行されるのを防ぐことができます。具体的には以下2つの行動に対する承認を設定し、承認者として割り当てられたメンバーが手動デプロイを承認・実行できます。

デプロイを許可する: CI/CD Jobからデプロイを実行することを承認します。承認前はCI/CDパイプライン画面からデプロイを選択することができません。
デプロイを実行する: パイプライン画面から実際にデプロイを実行できます。

なおDeployment approvalsはPremiumプランから利用可能です。

検証

ここからDeployment approvalsを検証します。

今回は事前に手動で検証用の production Environmentを用意しておきます。

Deployment approvalsの設定は、GitLabの設定画面 ( 設定 → CI/CD → 保護された環境 ) から行います。

保護された環境 画面を開き、まずは保護対象のEnvironment (今回は production ) を設定します。

Environmentを選択後、 デプロイ許可 承認者 という項目が表示されます。これら項目は「実際にデプロイを実行することを許可する」「デプロイの実行自体を許可する」メンバーをそれぞれ設定します。

※なお検証時は 承認者 に対してRoleのみを付与した場合は正常に動作せず、メンバーを特定する必要がありました。何か設定を誤っている可能性もありますが、記載しておきます。

設定後は以下のように、設定されたルールの種別の数が表示されます。

Deployment approvalsを設定したので実際にデプロイを実施するための .gitlab-ci.yml ファイルを配置します。なお今回は実際にどこかの環境を操作することはせず、テキストの表示のみ行いました。

※使用した .gitlab-ci.yml はこちら

stages:
  - deploy

production:
  stage: deploy
  script:
    - 'echo "Deploying to production again & again"'
  environment:
    name: production
    action: start