GitHub AE 目前处于受限版。

使用组管理对自托管运行程序的访问

本文内容

可以使用策略来限制对已添加到组织或企业的自托管运行器的访问。

谁可以使用此功能

Enterprise accounts, organizations owned by enterprise accounts, and organizations using GitHub Team can create and manage additional runner groups.

关于运行器组

要在组织和/或企业级别控制对运行器的访问权限,企业和组织所有者可以使用运行器组。

运行器组用于收集运行器集,并围绕它们创建安全边界。 随后可以确定允许哪些组织或存储库在这些计算机集上运行作业。企业管理员可以配置访问策略,用于控制企业中的哪些组织和工作流有权访问运行器组。

当你授予对运行器组的访问权限时,可以看到组织的运行器设置中列出的运行器组。 或者,你可以为运行器组分配更精细的存储库和工作流访问策略。

在创建新运行器时,除非另有指定,否则它们将自动分配给默认组。 运行器每次只能在一个组中。 可以将运行器从一个运行器组移动到另一个运行器组。 有关详细信息,请参阅“将运行器移动到组”。

为组织创建自托管的运行器组

所有组织都有单个默认运行器组。 企业帐户内的组织可以创建其他组。 组织管理员可以允许单个仓库访问运行器组。 有关如何使用 REST API 创建运行器组的信息,请参阅“操作”。

如果在注册过程中未指定任何组,则运行器会自动添加到默认组。 稍后可以将运行器从默认组移动到自定义组。 有关详细信息,请参阅“将运行器移动到组”。

创建组时,你必须选择一个策略,用于定义哪些存储库和工作流有权访问运行器组。

  1. 在 你的企业 上,导航到组织的主页。

  2. 在组织名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。

    组织的水平导航栏的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器组” 。

  4. 在“运行器组”部分,单击“新建运行器组”。

  5. 为运行器组输入名称。

  6. 分配存储库访问策略。

    可以将运行器组配置为可供特定的存储库列表或组织中的所有存储库访问。

  7. 分配用于工作流访问的策略。

    可以将运行器组配置为可供特定工作流列表或所有工作流访问。 如果是配置企业共享的组织运行器组,则不能覆盖此设置。 如果指定可以访问运行器组的工作流,则必须使用工作流的完整路径,包括存储库名称和所有者,并且必须将工作流固定到分支、标记或完整 SHA。 例如:octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main

    只有直接在所选工作流程中定义的作业才能访问运行器组。 组织拥有的运行器组无法访问企业中其他组织的工作流;而你必须创建企业拥有的运行器组。 1. 单击“创建组”以创建组并应用策略。

为企业创建自托管运行器组

企业可以将其运行器添加到组以进行访问管理。 企业可以创建运行器组,这些组可供企业帐户中的特定组织或特定工作流访问。 然后,组织所有者可以为企业运行器组分配更精细的存储库和工作流访问策略。 有关如何使用 REST API 创建运行器组的信息,请参阅 GitHub Actions REST API 中的企业终结点。

如果在注册过程中未指定任何组,则运行器会自动添加到默认组。 稍后可以将运行器从默认组移动到自定义组。 有关详细信息,请参阅“将运行器移动到组”。

创建组时,必须选择用于定义哪些组织有权访问运行器组的策略。

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器组”选项卡。

  5. 单击“新建运行器组”。

  6. 在“组名称”下,键入运行器组的名称。

  7. 要选择组织访问策略,请选择“组织访问”下拉列表,然后单击一个策略。 您可以将运行器组配置为可供特定组织列表或企业中的所有组织访问。

  8. 分配用于工作流访问的策略。

    可以将运行器组配置为可供特定工作流列表或所有工作流访问。 如果是配置企业共享的组织运行器组,则不能覆盖此设置。 如果指定可以访问运行器组的工作流,则必须使用工作流的完整路径,包括存储库名称和所有者,并且必须将工作流固定到分支、标记或完整 SHA。 例如:octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main

    只有直接在所选工作流程中定义的作业才能访问运行器组。

  9. 单击“保存组”以创建组并应用策略。

更改可以访问运行器组的组织

对于企业中的运行器组,你可以更改企业中哪些组织可以访问运行器组。

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器组”选项卡。

  5. 在“组织访问”下,使用下拉菜单单击“所选组织”。

    1. 在下拉菜单右侧,单击
    2. 在弹出窗口中,使用复选框选择可以使用此运行器组的组织。

  6. 单击 “保存组”

更改可以访问运行器组的存储库

对于组织中的运行器组,你可以更改组织中哪些存储库可以访问运行器组。

  1. 导航到运行器组所在的组织的主页。

  2. 单击 “设置”。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器组” 。

  4. 在组列表中,单击要配置的运行器组。

  5. 在“存储库访问”下,使用下拉菜单单击“所选组织”。

    1. 在下拉菜单右侧,单击
    2. 在弹出窗口中,使用复选框选择可以访问此运行器组的存储库。

  6. 单击 “保存组”

更改可以访问运行器组的工作流

可以将运行器组配置为运行选定工作流或所有工作流。 例如,可以使用此设置来保护存储在运行器上的机密,或者通过将运行器组限制为仅运行特定的可重用工作流来标准化部署工作流。 如果配置企业共享的组织的运行组,则不能覆盖此设置。

更改可以访问组织运行器组的工作流

  1. 导航到运行器组所在的组织的主页。

  2. 单击 “设置”。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器组” 。

  4. 在组列表中,单击要配置的运行器组。

  5. 在“工作流访问”下,选择下拉菜单,然后单击“选定的工作流” 。

  6. 单击

  7. 输入以逗号分隔的可访问运行器组的工作流程列表。 使用完整路径,包括存储库名称和所有者。 将工作流程固定到分支、标记或完整 SHA。 例如:octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main

    只有直接在所选工作流程中定义的作业才能访问运行器组。

    组织拥有的运行器组无法访问企业中其他组织的工作流程。相反,您必须创建企业拥有的运行器组。

  8. 单击“ 保存”。

更改可以访问企业运行器组的工作流

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器组”选项卡。

  5. 在组列表中,单击要配置的运行器组。

  6. 在“工作流访问”下,选择下拉菜单,然后单击“选定的工作流” 。

  7. 单击

  8. 输入以逗号分隔的可访问运行器组的工作流程列表。 使用完整路径,包括存储库名称和所有者。 将工作流程固定到分支、标记或完整 SHA。 例如:octo-org/octo-repo/.github/workflows/build.yml@v2, octo-org/octo-repo/.github/workflows/deploy.yml@d6dc6c96df4f32fa27b039f2084f576ed2c5c2a5, monalisa/octo-test/.github/workflows/test.yml@main

    只有直接在所选工作流程中定义的作业才能访问运行器组。

    组织拥有的运行器组无法访问企业中其他组织的工作流程。相反,您必须创建企业拥有的运行器组。

  9. 单击“ 保存”。

更改运行器组的名称

可以在企业和组织级别编辑运行器组的名称。

更改组织运行器组的名称

  1. 导航到运行器组所在的组织的主页。

  2. 单击 “设置”。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器组” 。

  4. 在组列表中,单击要配置的运行器组。

  5. 在“组名称”下的文本字段中输入新的运行器组名称。

  6. 单击“ 保存”。

更改企业运行器组的名称

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器组”选项卡。

  5. 在组列表中,单击要配置的运行器组。

  6. 在“组名称”下的文本字段中输入新的运行器组名称。

  7. 单击“ 保存”。

自动向组添加自托管运行器

可以使用配置脚本自动向组添加新运行器。 例如,此命令会注册一个新运行器,并使用 --runnergroup 参数将其添加到名为 rg-runnergroup 的组。

./config.sh --url $org_or_enterprise_url --token $token --runnergroup rg-runnergroup

如果运行器组不存在,命令将失败:

Could not find any self-hosted runner group named "rg-runnergroup".

将自托管的运行器移动到组

如果在注册过程中没有指定运行器组,新运行器会自动分配到默认组,然后可以移到另一个组。

将组织运行器移动到组

  1. 在 你的企业 上,导航到组织的主页。

  2. 在组织名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择 下拉菜单,然后单击“设置” 。

    组织的水平导航栏的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器” 。

  4. 在“Runners(运行器)”列表中,单击您要配置的运行器。

  5. 选择“运行器组”下拉列表。

  6. 在“Move runner to group(将运行器移动到组)”中,选择运行器的目的地组。

将企业运行器移动到组

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器”选项卡。

  5. 在“Runners(运行器)”列表中,单击您要配置的运行器。

  6. 选择“运行器组”下拉列表。

  7. 在“Move runner to group(将运行器移动到组)”中,选择运行器的目的地组。

删除自托管运行器组

若要删除运行器组,必须首先从组中移动或删除所有运行器。

从组织中删除运行器组

  1. 导航到运行器组所在的组织的主页。

  2. 单击 “设置”。

  3. 在左侧边栏中,单击 “操作”,然后单击“运行器组” 。

  4. 在组列表中,在要删除的组右侧,单击

  5. 若要删除组,请单击“删除组”。

  6. 查看确认提示,然后单击“删除此运行器组”。

从企业中删除运行器组

  1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。

    单击 GitHub Enterprise Server 上的个人资料照片时显示下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 在企业帐户边栏中,单击“ 策略”。

  3. 在“ 策略”下,单击“操作”。****

  4. 单击“运行器组”选项卡。

  5. 在组列表中,在要删除的组右侧,单击

  6. 若要删除组,请单击“删除组”。

  7. 查看确认提示,然后单击“删除此运行器组”。