Verwalten des Zugriffs auf selbstgehostete Runner mithilfe von Gruppen

In diesem Artikel

Du kannst mithilfe von Richtlinien den Zugriff auf selbstgehostete Runner beschränken, die einer Organisation hinzugefügt wurden.

Wer kann dieses Feature verwenden?

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

Informationen zu Runnergruppen

Um den Zugriff auf Runner auf der Organisationsebene zu steuern, können Organisationen, die den GitHub Team-Plan verwenden, Runnergruppen nutzen.

Runnergruppen werden verwendet, um Gruppen von Runnern zusammenzufassen und eine Sicherheitsabgrenzung um sie herum schaffen. Anschließend kannst du entscheiden, welche Organisationen oder Repositorys Aufträge auf diesen Computergruppen ausführen dürfen.Organisationseigentümer*innen können Zugriffsrichtlinien konfigurieren, die steuern, welche Repositorys in einer Organisation Zugriff auf die Runnergruppe haben.

Wenn du Zugriff auf eine Runnergruppe gewährst, kannst du die aufgelistete Runnergruppe in den Runnereinstellungen der Organisation anzeigen. Optional kannst du der Runnergruppe weitere präzise Zugriffsrichtlinien für Repositorys zuweisen.

Neu erstellte Runner werden automatisch der Standardgruppe zugewiesen, sofern nichts anderes angegeben ist. Runner können immer nur Mitglied einer Gruppe sein. Du kannst Runner von einer Runnergruppe in eine andere verschieben. Weitere Informationen findest du unter Verschieben eines Runners in eine Gruppe.

Informationen zum Weiterleiten von Aufträgen an Runner in einer bestimmten Gruppe findest du unter Auswählen des Runners für einen Auftrag.

Erstellen einer selbstgehosteten Runnergruppe für eine Organisation

Warnung: Es wird empfohlen, nur selbstgehostete Runner mit privaten Repositorys zu verwenden. Der Grund hierfür liegt darin, dass Forks deines öffentlichen Repositorys möglicherweise gefährlichen Code auf deinem selbstgehosteten Runnercomputer ausführen können, indem sie einen Pull Request erstellen, der den Code in einem Workflow ausführt.

Weitere Informationen findest du unter Informationen zu selbstgehosteten Runnern.

Alle Organisationen verfügen über eine einzige Standardrunnergruppe. Organisationen, die den GitHub Team-Plan verwenden können zusätzliche Gruppen erstellen. Organisationsadministratoren können einzelnen Repositorys Zugriff auf eine Runnergruppe gewähren. Weitere Informationen zum Erstellen einer Runnergruppe mit der REST-API findest du unter Aktionen.

Wenn während des Registrierungsprozesses keine Gruppe angegeben wird, werden Runner automatisch einer Standardgruppe hinzugefügt. Du kannst den Runner später aus der Standardgruppe in eine beliebige Gruppe verschieben. Weitere Informationen findest du unter Verschieben eines Runners in eine Gruppe.

Beim Erstellen einer Gruppe musst du eine Richtlinie auswählen, die definiert, welche Repositorys Zugriff auf die Runnergruppe erhalten.

  1. Navigiere auf GitHub.com zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Runnergruppen.

  4. Klicke im Abschnitt „Runnergruppen“ auf Neue Runnergruppe.

  5. Gib einen Namen für die Runnergruppe ein.

  6. Weise eine Richtlinie für den Repositoryzugriff zu.

    Du kannst eine Runnergruppe so konfigurieren, dass nur eine bestimmte Liste von Repositorys oder alle Repositorys in der Organisation darauf zugreifen können. Standardmäßig können nur private Repositorys auf Runner in einer Runnergruppe zugreifen. Diese Einstellung kannst du bei Bedarf überschreiben. Diese Einstellung kann nicht überschrieben werden, wenn du die von einem Unternehmen freigegebene Runnergruppe einer Organisation konfigurierst.

  7. Klicke auf Gruppe erstellen, um die Gruppe zu erstellen und die Richtlinie anzuwenden.

Ändern der Repositorys, die auf eine Runnergruppe zugreifen können

Warnung: Es wird empfohlen, nur selbstgehostete Runner mit privaten Repositorys zu verwenden. Der Grund hierfür liegt darin, dass Forks deines öffentlichen Repositorys möglicherweise gefährlichen Code auf deinem selbstgehosteten Runnercomputer ausführen können, indem sie einen Pull Request erstellen, der den Code in einem Workflow ausführt.

Weitere Informationen findest du unter Informationen zu selbstgehosteten Runnern.

Du kannst für Runnergruppen in einer Organisation ändern, welche Repositorys in der Organisation auf eine Runnergruppe zugreifen können.

  1. Navigiere zur Hauptseite der Organisation, in der sich deine Runnergruppen befinden.

  2. Klicke auf -Einstellungen.

  3. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Runnergruppen.

  4. Klicke in der Liste der Gruppen auf die Runnergruppe, die du konfigurieren möchtest.

  5. Verwende unter „Repositoryzugriff“ das Dropdownmenü, um auf Ausgewählte Organisationen zu klicken.

    1. Klicke rechts neben dem Dropdownmenü auf .
    2. Wähle mit den Kontrollkästchen im Popup die Repositorys aus, die auf diese Runnergruppe zugreifen können.

  6. Klicke auf Gruppe speichern.

Ändern des Namens einer Runnergruppe

  1. Navigiere zur Hauptseite der Organisation, in der sich deine Runnergruppen befinden.

  2. Klicke auf -Einstellungen.

  3. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Runnergruppen.

  4. Klicke in der Liste der Gruppen auf die Runnergruppe, die du konfigurieren möchtest.

  5. Gib den Namen der neuen Runnergruppe in das Textfeld unter „Gruppenname“ ein.

  6. Klicke auf Speichern.

Automatisches Hinzufügen eines selbstgehosteten Runners zu einer Gruppe

Mithilfe des Konfigurationsskripts kannst du einen neuen Runner automatisch einer Gruppe hinzufügen. Mit diesem Befehl wird z. B. ein neuer Runner registriert und mithilfe des Parameters --runnergroup einer Gruppe mit dem Namen rg-runnergroup hinzugefügt.

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

Der Befehl kann nicht ausgeführt werden, wenn die Runnergruppe nicht vorhanden ist:

Could not find any self-hosted runner group named "rg-runnergroup".

Verschieben eines selbstgehosteten Runners in eine Gruppe

Wenn du bei der Registrierung keine Runnergruppe angibst, werden deine neuen Runner automatisch der Standardgruppe zugewiesen und können dann in eine andere Gruppe verschoben werden.

  1. Navigiere auf GitHub.com zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option Einstellungen. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Die Registerkarte „Einstellungen“ ist dunkelorange umrandet.

  3. Klicke in der linken Seitenleiste auf Aktionen und dann auf Runner.

  4. Klicke in der Liste „Runner“ auf den Runner, den du konfigurieren möchtest.

  5. Wähle die Dropdownliste Runnergruppe aus.

  6. Wähle unter „Runner in Gruppe verschieben“ eine Zielgruppe für den Runner aus.

Entfernen einer selbstgehosteten Runnergruppe

Um eine Runnergruppe zu entfernen, musst du zuerst alle Runner aus der Gruppe verschieben oder entfernen.

  1. Navigiere zur Hauptseite der Organisation, in der sich deine Runnergruppen befinden.

  2. Klicke auf -Einstellungen.

  3. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Runnergruppen.

  4. Klicke in der Liste der Gruppen rechts neben der Gruppe, die du löschen möchtest, auf .

  5. Klicke auf Gruppe entfernen, um die Gruppe zu entfernen.

  6. Überprüfe die Bestätigungsaufforderungen, und klicke auf Diese Runnergruppe entfernen.