# 配置 Runners[](#configuring-CODECHINA-runners "Permalink")

在 CODECHINA CI/CD 中，runners 运行[`.codechina-ci.yml`](/docs/ci/yaml)定义的代码。Runner 是一种轻量级，高度可扩展的代理，它通过 CI/CD 的协调器 API 提取 CI 流水线任务，运行该流水线任务，并将结果发送回 CODECHINA 实例。

Runners 由管理员创建，并在 CODECHINA UI 中可见。

Runners 可以特定于某些项目，也可以适用于所有项目。

## Runners 类型[](#types-of-runners "Permalink")

Runners 共有三种类型：

*   [共享 runners](#shared-runners) 对于所有组织和项目。
*   [组 runners](#group-runners) 对于组中的所有项目和子组织。
*   [特定 runners](#specific-runners) 针对特定项目。

### 共享 Runners[](#shared-runners "Permalink")

CODECHINA 实例中的每个项目都可以使用*共享 Runners* 。

当你有多个要求相似的流水线任务时，请使用共享 Runners。 你可以让几个 Runner 处理多个项目，而不是在许多项目中有多个 Runner 空闲。

如果你使用的是 CODECHINA 的自我管理实例：

*   你的管理员可以通过查看[此处](https://docs.gitlab.com/runner/install/index.html)的说明来安装和注册共享 runner。
*   管理员还可以为每个组配置最大的共享 Runner 流水线分钟数。

如果你使用的是 CODECHINA：

*   你可以从 CODECHINA 维护的共享 runners 列表中进行选择。
*   共享 runners 消耗你帐户中包含的流水线分钟数 。

#### 共享 Runners 如何选择流水线任务[](#how-shared-runners-pick-jobs "Permalink")

共享 runners 通过使用合理使用队列来处理流水线任务。 此队列可防止项目创建数百个流水线任务并使用所有可用的共享 Runners 资源。

合理使用队列算法根据已在共享 Runners 上运行的流水线任务数量最少的项目分配流水线任务。

**示例 1**

如果这些流水线任务在队列中：

*   项目 1 的工作 1
*   项目 1 的工作 2
*   项目 1 的工作 3
*   项目 2 的工作 4
*   项目 2 的工作 5
*   项目 3 的工作 6

合理使用算法按以下顺序分配流水线任务：

1. 首先选择流水线任务 1，因为它在没有正在运行的流水线任务的项目（即所有项目）中具有最低的流水线任务编号。
2. 接下来是流水线任务 4，因为现在 4 是来自没有正在运行的流水线任务的项目中最低的流水线任务编号（项目 1 有正在运行的流水线任务）。
3. 接下来是流水线任务 6，因为 6 现在是没有正在运行的流水线任务的项目中最低的流水线任务编号（项目 1 和 2 有正在运行的流水线任务）。
4. 接下来是流水线任务 2，因为在运行的流水线任务数量最少的项目（每个都有 1）中，它是最低的流水线任务数量。
5. 接下来是流水线任务 5，因为项目 1 现在有 2 个正在运行的流水线任务，而流水线任务 5 是项目 2 和项目 3 之间剩余的最低编号。
6. 最后是工作 3…，因为这是剩下的唯一工作。

**示例 2**

如果这些流水线任务在队列中：

*   项目 1 的工作 1
*   项目 1 的工作 2
*   项目 1 的工作 3
*   项目 2 的工作 4
*   项目 2 的工作 5
*   项目 3 的工作 6

合理使用算法按以下顺序分配流水线任务：

1. 首先选择流水线任务 1，因为它在没有正在运行的流水线任务的项目（即所有项目）中具有最低的流水线任务编号。
2. 我们完成工作 1。
3. 接下来是流水线任务 2，因为完成流水线任务 1 后，所有项目都再次运行 0 个流水线任务，而 2 是最低的可用流水线任务号。
4. 接下来是流水线任务 4，因为在项目 1 运行流水线任务的情况下，项目 4 在没有运行流水线任务的项目（项目 2 和 3）中是最低的。
5. 我们完成工作 4。
6. 接下来是流水线任务 5，因为完成了流水线任务 4，所以项目 2 没有再次运行的流水线任务。
7. 接下来是流水线任务 6，因为项目 3 是唯一没有运行流水线任务的项目。
8. 最后，我们选择流水线任务 3…，因为它再次是唯一剩下的流水线任务。

#### 启用共享 Runners[](#enable-shared-runners "Permalink")

在 CODECHINA 上，默认情况下在所有项目中启用[共享 runners](#shared-runners) 。

你还可以为单个项目启用共享 runners。

要启用共享 runners：

1. 转到项目的 **设置> DevOps**，然后展开 **Runners**部分。
2. 点击 **为此项目启用共享 runners**。

#### 禁用共享 Runners[](#disable-shared-runners "Permalink")

你可以为单个项目禁用共享 runners。 你必须具有项目或组织的所有者权限。

要为项目禁用共享 runners：

1. 转到项目的 **设置> DevOps**， 然后展开 **Runners**部分。
2. 在 **共享 runners**区域中，单击 **为此项目启用共享 runners** 使开关变灰。

### 组织 Runners[](#group-runners "Permalink")

当你希望组中的所有项目都可以访问一组 runners 时，请使用" *组 runners"* 。

组 runners 使用先进先出 ([FIFO](https://en.wikipedia.org/wiki/FIFO_(computing_and_electronics))) 队列处理流水线任务。

#### 创建组 Runner[](#create-a-group-runner "Permalink")

你可以为自己管理的 CODECHINA 实例或 CODECHINA.com 创建一个组 Runner。 你必须具有该组的[所有者权限](/docs/user/permissions#group-members-permissions) 。

创建组 runner：

1. 安装 Runner。
2. 转到你要使 Runner 运行的组。
3. 去 **设置> DevOps**，然后展开 **Runners** 部分。
4. 记下 URL 和令牌。
5. 注册 Runner。

#### 查看和管理组 Runners[](#view-and-manage-group-runners "Permalink")

你可以查看和管理组，其子组和项目的所有 runners。 你可以为自己管理的 CODECHINA 实例或 codechina.csdn.net 执行此操作。 你必须具有该组的[所有者权限](/docs/user/permissions#group-members-permissions) 。

1. 转到要查看 runners 的组。
2. 去 **设置> DevOps**，然后展开 **Runners** 部分。
3. 显示以下字段。

    | Attribute | Description |
    | --- | --- |
    | 类型 | 以下一种或多种状态：共享，组，特定，锁定或暂停 |
    | Runner 令牌 | 令牌用于标识 Runner，并且 Runner 用于与 CODECHINA 实例进行通信 |
    | 描述 | 创建 runner 时的描述 |
    | 版本 |  Runner 版本 |
    | IP 地址 | 注册了运行程序的主机的 IP 地址 |
    | 项目 | Runner 分配到的项目数 |
    | 流水线任务 | Runner所从事的流水线任务总数 |
    | 标签 | 与 Runner 相关的标签 |
    | 最后联络人 | 指示 CODECHINA 实例最后一次与 Runner 联系的时间戳 |

在此页面上，你可以从组、其子组和项目中编辑、暂停和删除 runners。

#### 暂停或移除组 runner[](#pause-or-remove-a-group-runner "Permalink")

你可以为自己管理的 CODECHINA 实例或 codechina.csdn.net 暂停或删除组 runner。 你必须具有该组的[所有者权限](/docs/user/permissions#group-members-permissions) 。

1. 转到你要删除或暂停 Runner 的组。
2. 去 **设置> DevOps**，然后展开 **Runners**部分。
3. 点击 **暂停** 或 **移除 runner**。
    * 如果你暂停由多个项目使用的组 Runner，则 Runner 会暂停所有项目。
    * 从组视图中，你无法删除分配给多个项目的 runner。 你必须先从每个项目中将其删除。
4. 在确认对话框中，单击**确定** 。

### 特定 Runners[](#specific-runners "Permalink")

当你想为特定项目使用 runners 时，可使用*特定 runners* 。 例如，当你拥有：

*   有特定要求的流水线任务，例如需要凭据的部署流水线任务。
*   具有大量CI 活动的项目可以从与其他 runners 分离中受益。

你可以设置一个特定的 Runner，以供多个项目使用。 必须为每个项目明确启用特定的 runner。

特定 runner 通过使用先进先出（ [FIFO](https://en.wikipedia.org/wiki/FIFO_(computing_and_electronics)) ）队列来处理流水线任务。

**注意**：特定 runners 不会自动与 fork 项目共享。 fork *确实会*复制克隆存储库的 CI/CD 设置。

#### 创建一个特定的 Runner[](#create-a-specific-runner "Permalink")

你可以为自己管理的 CODECHINA 实例或 codechina.csdn.net 创建特定的 Runner。 你必须具有项目的[所有者权限](/docs/user/permissions#project-members-permissions) 。

要创建特定的 runner：

1. 安装 Runner。
2. 转到项目的 **设置> DevOps**，然后展开 **Runners** 部分。
3. 记下 URL 和令牌。
4. 注册 Runner。

#### 为特定项目启用特定 Runner [](#enable-a-specific-runner-for-a-specific-project "Permalink")

在为其创建的项目中提供了特定的 Runner。 管理员可以使特定的 Runner 应用于其他项目。

*   你必须具有项目的所有者权限。
*   特定的跑步者一定不能被[锁定](#prevent-a-specific-runner-from-being-enabled-for-other-projects) 。

要为项目启用或禁用特定的 runners：

1. 转到项目的 **设置> DevOps**，然后展开 **Runners** 部分。
2. 点击 **为此项目启用** 或 **为此项目禁用**。

#### 防止为其他项目启用特定 Runner [](#prevent-a-specific-runner-from-being-enabled-for-other-projects "Permalink")

你可以配置一个特定的 runner，使其"锁定"并且不能为其他项目启用。 首次[注册 Runner](https://docs.gitlab.com/runner/register/)时可以启用此设置，但以后也可以更改。

锁定或解锁 runner：

1. 转到项目的 **设置> DevOps**，然后展开 **Runners** 部分。
2. 找到你想要锁定或解锁的 runner。 确保已启用。
3. 单击铅笔按钮。
4. 选中 **锁定到当前项目**选项。
5. 点击 **保存更改**。

## 为 Runner 设置最大流水线任务超时[](#set-maximum-job-timeout-for-a-runner "Permalink")

对于每个 runner，你可以指定*最大流水线任务超时时间* 。 如果此超时时间小于[项目定义的超时时间](/docs/ci/pipelines/settings#timeout) ，则优先。

此功能可用于防止共享的 Runner 被具有较长超时（例如，一个星期）的工作的项目淹没。

未配置时，Runner 将不会覆盖项目超时。

此功能的工作原理：

**示例 1- Runner 超时大于项目超时**

1. 你将 runner 的*最大流水线任务超时* 设置为 24 小时
2. 你将项目的*CI/CD 超时* 设置为**2 小时**
3. 你开始一个流水线任务
4. 如果流水线任务时间更长，则**2 小时**后将超时

**示例 2-未配置 Runner 超时**

1. 你从 runner 中删除*最大流水线任务超时* 配置
2. 你将项目的*CI/CD 超时* 设置为**2 小时**
3. 你开始一个流水线任务
4. 如果流水线任务时间更长，则**2 小时**后将超时

**示例 3- Runner 超时小于项目超时**

1. 你将 runner 的*最大流水线任务超时* 设置为**30 分钟**
2. 你将项目的*CI/CD 超时* 设置为 2 小时
3. 你开始一个流水线任务
4. 如果流水线任务时间更长，则**30 分钟**后将超时

## 小心敏感信息[](#be-careful-with-sensitive-information "Permalink")

使用某些Runner Executors ，如果可以在 Runner 上运行流水线任务，则可以完全访问文件系统，从而可以运行该文件的任何代码以及 Runner 的令牌。 使用共享的 runner ，这意味着在 runner 上运行流水线任务的任何人都可以访问在 runner 上运行的任何其他人的代码。

另外，由于你可以访问 Runner 令牌，因此可以创建 Runner 的克隆并提交错误的流水线任务。

通过限制在大型公共 CODECHINA 实例上共享Runner 的使用、控制对 CODECHINA 实例的访问以及使用更安全的 Runner Executor ，可以轻松避免上述情况。

### 防止 Runners 泄露敏感信息[](#prevent-runners-from-revealing-sensitive-information "Permalink")

你可以保护 runners ，使他们不会泄露敏感信息。 当 runner 受到保护时，runner 仅选择在[受保护分支](/docs/user/project/protected-branches)或[受保护标签](/docs/user/project/protected-tags)上创建的流水线任务，而忽略其他流水线任务。

保护或取消保护 runner：

1. 转到项目的 **设置> DevOps**，然后展开  **Runner** 部分。
2. 找到你要保护或取消保护的 runner。 确保已启用。
3. 单击铅笔按钮。
4. 检查**受保护的**选项。
5. 点击 **保存更改**。

### Forks[](#forks "Permalink")

每当 fork 一个项目时，它都会复制与其相关的流水线任务的设置。 这意味着，如果你已经为项目设置了共享的 Runners，并且有人 fork 了该项目，则共享的 Runners 也将为该项目的工作提供服务。

### Runners 中的攻击向量[](#attack-vectors-in-runners "Permalink")

前面已经简要提到过，但是可以利用 Runners 的以下功能。 我们一直在寻找可以减轻这些[安全注意事项的因素](https://docs.gitlab.com/runner/security/) 。

### 重置项目的 Runner 注册令牌[](#reset-the-runner-registration-token-for-a-project "Permalink")

如果你认为某个项目的注册令牌已公开，则应将其重置。 令牌可用于为该项目注册另一个 Runner。 然后可以使用该新 Runner 来获取秘密变量的值或克隆项目代码。

重置令牌：

1. 转到项目的 **设置> DevOps** 。
2. 展开**流水线通用设置**部分。
3. 找到 **Runner 令牌**表单字段，然后单击 **显示值**按钮。
4. 删除值并保存表单。
5. 刷新页面后，展开 **Runners 设置**部分并检查注册令牌-应该更改它。

从现在开始，旧令牌将不再有效，并且不会在项目中注册任何新的 runner。 如果你使用任何工具来供应和注册新的 runner，则应更新这些工具中使用的令牌以反映新令牌的价值。

## 确定 Runner 的 IP 地址[](#determine-the-ip-address-of-a-runner "Permalink")

知道 Runner 的 IP 地址可能很有用，以便你可以解决该 Runner 的问题。 CODECHINA 通过在轮询流水线任务时查看向 CODECHINA 发出的 HTTP 请求的源来存储和显示 IP 地址。 IP 地址始终保持最新，因此，如果 Runner IP 更改，它将在 CODECHINA 中自动更新。

共享 runners 和特定 runners 的 IP 地址可以在不同位置找到。

### 确定共享 Runner 的 IP 地址[](#determine-the-ip-address-of-a-shared-runner "Permalink")

要查看共享运 runner 的 IP 地址，你必须具有对 CODECHINA 实例的管理员访问权限。 要确定这一点：

1. 访问 **管理区域>概述> Runner**。
2. 在表中查找 Runner，你应该会看到**IP Address**列。

[![shared Runner IP address](/docs/img/shared_runner_ip_address.png)](/docs/img/shared_runner_ip_address.png)

### 确定特定 Runner 的 IP 地址[](#determine-the-ip-address-of-a-specific-runner "Permalink")

若要查找特定项目的 runner 的 IP 地址，你必须具有该项目的所有者[权限](/docs/user/permissions#project-members-permissions) 。

1. 转到项目的 **设置> DevOps**，然后展开 **Runners**部分。
2. 在详细信息页面上，你应该看到**IP 地址**行。

[![specific Runner IP address](/docs/img/specific_runner_ip_address.png)](/docs/img/specific_runner_ip_address.png)

## 使用标签来限制使用 Runner 的流水线任务数量[](#use-tags-to-limit-the-number-of-jobs-using-the-runner "Permalink")

你必须设置一个 Runner 才能运行它在共享项目上可能遇到的所有不同类型的流水线任务。 如果不是标签，这对于大量项目将是有问题的。

通过将 Runner 标记为它可以处理的流水线任务类型，可以确保共享的 Runners [仅运行其能够运行的流水线任务](/docs/ci/yaml#tags) 。

例如，在 CODECHINA 上，如果 Runners 包含运行 Rails 测试套件的适当依赖项，我们会将它们标记为`rails` 。

注册 Runner 时 ，其默认行为是**仅选择带** [标签的流水线任务](/docs/ci/yaml#tags) 。 要更改此设置，你必须具有项目的所有者[权限](/docs/user/permissions#project-members-permissions) 。

要使 runner 选择无标签的工作，请执行以下操作：

1. 转到项目的 **设置> DevOps**，然后展开 **Runners**部分。
2. 找到你要选择未加标签的流水线任务的 Runner，并确保已启用它。
3. 单击铅笔按钮。
4. 选中**运行未加标签的流水线任务**选项。
5. 单击**保存更改**按钮以使更改生效。

**注意**：不允许选择未标记的流水线任务时，runner 标签列表不能为空。

以下是一些不同变化的示例场景。

### Runner 只运行标记的流水线任务[](#runner-runs-only-tagged-jobs "Permalink")

以下示例说明了将 Runner 设置为仅运行带标签的流水线任务的潜在影响。

示例 1：

1. Runner 配置为仅运行带标签的流水线任务，并具有`docker`标签。
2. 具有`hello`标签的流水线任务将被执行并卡住。

示例 2:

1. Runner 配置为仅运行带标签的流水线任务，并具有`docker`标签。
2. 具有`docker`标签的流水线任务将被执行并运行。

示例 3：

1. Runner 配置为仅运行带标签的流水线任务，并具有`docker`标签。
2. 没有定义标签的流水线任务将被执行并卡住。

### Runner 可以运行未标记的流水线任务[](#runner-is-allowed-to-run-untagged-jobs "Permalink")

以下示例说明了将 Runner 设置为运行带标签和未带标签的流水线任务的潜在影响。

示例 1：

1. Runner 配置为运行未加标签的流水线任务，并具有`docker`标签。
2. 没有定义标签的流水线任务将被执行并运行。
3. 执行并运行定义了`docker`标签的第二项流水线任务。

示例 2：

1. Runner 配置为运行未加标签的流水线任务，并且未定义标签。
2. 没有定义标签的流水线任务将被执行并运行。
3. 卡有定义了`docker`标签的第二项流水线任务。