谷歌的 Android 开源项目在 Git 的使用上有两个重要的创新,一个是为多版本库协同而引入的 repo,另外一个重要的创新就是 Gerrit —— 代码审核服务器。Gerrit 为 git 引入的代码审核是强制性的,就是说除非特别的授权设置,向 Git 版本库的推送(Push)必须要经过 Gerrit 服务器,修订必须经过代码审核的一套工作流之后,才可能经批准并纳入正式代码库中。
Gerrit工作原理和流程
首先贡献者的代码通过 git 命令(或git review封装)推送到 Gerrit 管理下的 Git 版本库,推送的提交转化为一个一个的代码审核任务,审核任务可以通过 refs/changes/下的引用访问到。代码审核者可以通过 Web 界面查看审核任务、代码变更,通过 Web 界面做出通过代码审核或者打回等决定。测试者也可以通过 refs/changes/引用获取(fetch)修订对其进行测试,如果测试通过就可以将该评审任务设置为校验通过(verified)。最后经过了审核和校验的修订可以通过 Gerrit 界面中提交动作合并到版本库对应的分支中。更详细的流程描述见下图所示:
创建gerrit用户
sudo adduser gerrit
#给用户添加sudo权限
chmod u+w /etc/sudoers
sudo vi /etc/sudoers
#在root ALL=(ALL) ALL添加下面一行
gerrit ALL=(ALL) ALL
su gerritGerrit安装与配置
安装Gerrit需要装有最低1.6版本的JDK:
sudo apt-get install default-jre
sudo apt-get install githttps://code.google.com/p/gerrit/
https://gerrit-releases.storage.googleapis.com/gerrit-2.12.war
安装Gerrit
java -jar gerrit-2.11.war init -d review_site*** Git Repositories
***
Location of Git repositories [git]: /home/gerrit/repositories
*** SQL Database
***
Database server type [h2]: postgresql
Server hostname [localhost]:
Server port [(postgresql default)]:
Database name [reviewdb]:
Database username [gerrit]:
gerrit's password :
confirm password :
*** User Authentication
***
Authentication method [OPENID/?]: http
Get username from custom HTTP header [y/N]?
SSO logout URL
*** Review Labels
***
Install Verified label [y/N]? y
*** Email Delivery
***
SMTP server hostname [localhost]: smtp.163.com
SMTP server port [(default)]: 25
SMTP encryption [NONE/?]:
SMTP username [gerrit]: your_name
gerrit's password :
confirm password :
*** SSH Daemon
***
Listen on address [*]:
Listen on port [29418]:
*** HTTP Daemon
***
Behind reverse proxy [y/N]y
Use SSL (https://) [y/N]?
Listen on address [*]:
Listen on port [8080]: 8081
Canonical URL [http://learnLinux:8081/]: http://localhost:8080
*** Plugins
***
Installing plugins.
Install plugin download-commands version v2.11 [y/N]? y
Install plugin reviewnotes version v2.11 [y/N]? y
Install plugin singleusergroup version v2.11 [y/N]? y
Install plugin replication version v2.11 [y/N]? y
Install plugin commit-message-length-validator version v2.11 [y/N]? y
Initializing plugins.
- 59
Gerrit支持H2(内置) / MySQL / PostgreSQL数据库,简单使用默认数据库H2,mysql和postgreSQL数据库在认证人数比较多时选用.
Gerrit支持OpenID / HTTP / LDAP, 认证方式没有选择OpenId, 而是http, 因为这样会使得gerrit对外部系统有依赖, 目前gerrit支持google和yahoo提供的openid.
选择http需要反向代理支持, 这和http认证有关.
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP
配置文件review_site/etc/gerrit.config,邮箱密码存在review_site/etc/secure.config文件中.
vi ./review_site/etc/gerrit.config
#将canonicalWebUrl修改为代理服务器地址
[gerrit]
basePath = /home/gerrit/repositories
canonicalWebUrl = http://localhost:8090/
[database]
type = postgresql
hostname = localhost
database = reviewdb
username = gerrit
[index]
type = LUCENE
[auth]
type = HTTP
[sendemail]
enable = true
smtpServer = smtp.163.com
smtpServerPort = 25
smtpUser = your_name@163.com
from = gerrit<your_name@163.com>
[sshd]
listenAddress = *:29418
[httpd]
listenUrl = proxy-http://*:8081/
[cache]
directory = cachevi etc/secure.config
[database]
password = your_password
[auth]
registerEmailPrivateKey = your_password
restTokenPrivateKey = your_password
[sendemail]
smtpPass = your_password配置nginx代理服务器
nginx作为代理服务器更加方便,在/etc/nginx/sites-enabled添加一个server模块
server {
listen *:8090;
server_name localhost;
location / {
auth_basic "Welcomme to Gerrit Code Review Site";
#确保passwd路径正确
auth_basic_user_file /home/gerrit/review_site/etc/passwd;
proxy_pass http://localhost:8081;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
}
location /login/ {
proxy_pass http://localhost:8081;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Host $host;
}
} touch ./review_site/etc/passwd
#添加gerrit账号
htpasswd -b ./review_site/etc/passwd yourname yourpassword
#重启gerrit,账号才会生效
./review_site/bin/gerrit.sh restart账户配置
第一次成功登录的用户会被gerrit作为管理员用户。登录后点击右上角的”匿名懦夫”Anonymous Coward -> Settings来配置账户。 
添加SSH公钥
要使用gerrit必须要提供用户的公钥。选择页面左侧的SSH Public Keys为当前用户添加公钥。直接将公钥粘贴到Add SSH Public Key框内,然后点击add即可。
添加其他普通账户
如果采用http认证,那么添加其他账户时,需要现添加http认证账户。用htpasswd创建的用户时,并没有往gerrit中添加账号,只有当该用户通过web登陆gerrit服务器时,该账号才会被添加进gerrit数据库中。
为什么不能Sign Out
也行你会发现用gerrit+HTTP认证,通过web登陆后,点击右上角的Sign Out无法登出。要么是依然保持登陆的状态,要么就是直接出错。
不要以为怎么了,其实这是正常现象,以下这段话是从网上看到的:You are using HTTP Basic authentication. There is no way to tell abrowser to quit sending basic authentication credentials, to logout with basicauthentication is to close the Webbrowser.
SSH访问
#默认使用.ssh/id_rsa.pub公钥
ssh -p 29418 -i admin@localhost
**** Welcome to Gerrit Code Review ****
Hi admin, you have successfully connected over SSH.
Unfortunately, interactive shells are disabled.
To clone a hosted Git repository, use:
git clone ssh://admin@learnLinux:29418/REPOSITORY_NAME.git
Connection to localhost closed.git仓库
新建一个gerritRepo仓库,git clone http://127.0.0.1:8080/gerritRepo
在推送时
remote: Unauthorized
fatal: Authentication failed for 'http://admin@127.0.0.1:8080/gerritRepo/'改用ssh方式push
git remote remove origin
git remote add origin ssh://admin@127.0.0.1:29418/gerritRepo
git push origin master将commit提交到服务器接受代码审核。
remote: Branch refs/heads/master:
remote: You are not allowed to perform this operation.
remote: To push into this reference you need 'Push' rights.
remote: User: member
remote: Please read the documentation and contact an administrator
remote: if you feel the configuration is incorrect
remote: Processing changes: refs: 1, done
To ssh://member@127.0.0.1:29418/hello1
! [remote rejected] master -> master (prohibited by Gerrit)
error: 无法推送一些引用到 'ssh://member@127.0.0.1:29418/hello1'这就是gerrit的精髓所在了。原因是gerrit不允许直接将本地修改同步到远程仓库。客户机必须先push到远程仓库的refs/for/*分支上,等待审核。这也是为什么我们需要使用gerrit的原因。gerrit本身就是个代码审核工具。
提交changes
gerrit项目分支权限
#提交master分支
git push origin HEAD:refs/for/master
#提交所有分支
git push origin refs/heads/*:refs/for/*
#修改.git/config文件,添加push时的引用
[remote "origin"]
url = ssh://chenjianhua@127.0.0.1:29418/hello1
fetch = +refs/heads/*:refs/remotes/origin/*
push = HEAD:refs/for/*下载hook
再次推送到服务器
remote: Processing changes: refs: 1, done
remote: ERROR: missing Change-Id in commit message footer
remote:
remote: Hint: To automatically insert Change-Id, install the hook:
remote: gitdir=$(git rev-parse --git-dir); scp -p -P 29418 root@ubuntu:hooks/commit-msg ${gitdir}/hooks/
remote: And then amend the commit:
remote: git commit --amend
remote:
To ssh://member@127.0.0.1:29418/hello1
! [remote rejected] master -> refs/for/master (missing Change-Id in commit message footer)
error: 无法推送一些引用到 'ssh://member@127.0.0.1:29418/gerritRepo'push时提示需要Change-Id在提交信息中, 需要从gerrit server上下载一个脚本
钩子的目的是在提交信息中自动创建 ‘Change-Id:’ 标签
scp -p -P 29418 admin@127.0.0.1:hooks/commit-msg gerritRepo/.git/hooks/
#修改上次提交记录,或者再次提交修改
git commit --amend
remote: Processing changes: new: 1, refs: 1, done
remote:
remote: New Changes:
remote: http://localhost:8081/2 vi README
remote:
To ssh://member@127.0.0.1:29418/gerritRepo
* [new branch] master -> refs/for/master审查代码
配置项目权限
给refs/head/*分支Label Verified权限添加用户分组,这里分配Administrators组.
项目评审过程中,需要几个条件,代码才能最终提交到分支
- Review >=+2
- Verify >=+1
评审过程通常有三个人参与,代码提交,代码验证(Verify),代码审查(Review). 通常由自动测试工具jenkins完成代码验证(Verify).
Needs Verified , Needs Code-Review
验证和审查通过后,显示Ready to Submit状态,现在就可以合并代码到head/*分支中
查看合并结果
jenkins自动验证
patch补丁集
开发者的代码需要先提交到refs/for/master分支上,变动的代码称作补丁集,保存在 refs/changes/* 命名空间下.
git ls-remote
From ssh://admin@localhost:29418/gerrit_ci
5f8ed98b0f88787c22e705595e2818db62874f56 HEAD
eeaef9da4ea27d7c23bfb5f9a2ed1b5357ebbba8 refs/changes/01/1/1
5f8ed98b0f88787c22e705595e2818db62874f56 refs/changes/02/2/1
bfdb700f4aab3afc32ec79a29b0e25f8be758f8f refs/changes/03/3/1
5f8ed98b0f88787c22e705595e2818db62874f56 refs/heads/master
887107fcb25c48d1a1eb116ec466fc4f9b298a5c refs/meta/config
21be8fce8a38d9437363128d214739c64bdd5710 refs/notes/review
#下载补丁
git fetch ssh://admin@localhost:29418/gerrit_ci refs/changes/03/3/1Draft草案
Topic主题
使用postgreSQL数据库
安装postgreSQL
sudo apt-get install postgresql
#次安装后,会默认生成名为postgres的Linux系统用户、数据库和数据库用户(作为数据库管理员),首先修改postgres数据库用户的密码,然后增加Gerrit需要的数据库
#切换到postgres用户
sudo su postgres
#登录postgres数据库
psql postgres
#修改postgres用户登录密码
ALTER USER postgres with PASSWORD 'password'
#输入密码
postgres=#
#输入第二遍密码
postgres=# q
#创建gerrit用户
CREATE USER gerrit WITH PASSWORD 'password';
#创建数据库
CREATE DATABASE reviewdb OWNER gerrit;
#将reviewdb所有权限赋予gerrit
GRANT ALL PRIVILEGES ON DATABASE reviewdb to gerrit;#vi etc/gerrit.config
[database]
type = postgresql
hostname = localhost
database = reviewdb
username = gerrit
#vi etc/secure.config
[database]
password = password使用mysql数据库
#连接数据库
mysql -u root -p
#查看帮助
help contents;
help Administration;
#创建gerrit用户和reviewdb数据库
CREATE USER 'git'@'localhost' IDENTIFIED BY 'git';
CREATE DATABASE reviewdb;
ALTER DATABASE reviewdb charset=latin1;
GRANT ALL ON reviewdb.* TO 'git'@'localhost';
FLUSH PRIVILEGES;
#查看所有数据库
SHOW DATABASES;
#查看所有用户
SELECT DISTINCT CONCAT('User: ''',user,'''@''',host,''';') AS query FROM mysql.user;*** SQL Database
***
Database server type [h2]: mysql
Gerrit Code Review is not shipped with MySQL Connector/J 5.1.21
** This library is required for your configuration. **
Download and install it now [Y/n]? y
Downloading http://repo2.maven.org/maven2/mysql/mysql-connector-java/5.1.21/mysql-connector-java-5.1.21.jar ... OK
Checksum mysql-connector-java-5.1.21.jar OK
Server hostname [localhost]:
Server port [(mysql default)]: 3306
Database name [reviewdb]: reviewdb
Database username [gerrit]: gerrit
gerrit's password :
confirm password : 也可以将mysql-connector-Java-5.1.21.jar放入lib目录下