管理从 Bitbucket Server 迁移的访问权限

在使用 GitHub Enterprise Importer 之前,请确保您拥有迁移源和目标的相应访问权限。

本文内容

关于 GitHub Enterprise Importer 的所需访问权限

为保护您的数据,GitHub 对使用 GitHub Enterprise Importer 实施了特定的访问要求。这些要求根据您尝试执行的任务而有所不同。为避免错误,您应仔细阅读本文并验证您是否满足要完成的任务的所有要求。

要将仓库从 Bitbucket Server 迁移到 GitHub,您需要对源(您的 Bitbucket Server 实例)和目标(GitHub 上的组织)都拥有足够的访问权限。要拥有足够的访问权限,您需要具备以下所有内容。

  • GitHub 上目标组织中的所需角色
  • 可以访问 GitHub 上目标组织的个人访问令牌
    • 个人访问令牌必须具有所有所需的作用域,这取决于您的角色和您想要完成的任务。
    • 如果目标组织对 GitHub 使用 SAML 单点登录,则必须为 SSO 授权个人访问令牌。
  • 在 Bitbucket Server 上,所需权限和 SFTP 或 SMB 访问权限

此外,如果您在目标组织中使用 IP 允许列表,则可能需要配置允许列表以允许 GitHub Enterprise Importer 访问。

关于迁移者角色

为了避免组织所有者需要完成迁移,GitHub 包含一个用于使用 GitHub Enterprise Importer 的独特角色。

授予迁移者角色允许您指定其他团队或个人来处理您的迁移。

  • 您只能为 GitHub.com 或 GHE.com 上的组织授予迁移者角色。
  • 您可以将迁移者角色授予单个用户或团队。我们强烈建议您将迁移者角色分配给团队。然后,您可以通过调整团队成员身份来进一步自定义谁可以运行迁移。请参阅“将组织成员添加到团队”或“从团队中移除组织成员”。
  • 迁移者必须使用满足运行迁移的所有要求的个人访问令牌。

警告

当您将组织中的迁移者角色授予用户或团队时,您授予他们导入或导出该组织中任何仓库的能力。

要授予迁移者角色,请参阅“授予迁移者角色”。

GitHub 的所需角色

对于 GitHub 上的目标组织,不同任务需要不同的角色。

下表列出了每个角色可以执行的任务。

任务组织所有者迁移者
为仓库迁移分配迁移者角色
运行仓库迁移
下载迁移日志
回收虚拟模型

个人访问令牌所需权限

要运行迁移,您需要一个可以访问 GitHub 上目标组织的个人访问令牌。

GitHub 个人访问令牌(经典版)所需的权限取决于您的角色和您想要完成的任务。

注意

您只能使用个人访问令牌(经典版),不能使用细粒度个人访问令牌。这意味着如果您的组织使用了“限制个人访问令牌(经典版)访问您的组织”策略,则无法使用 GitHub Enterprise Importer。有关更多信息,请参阅“在您的企业中实施个人访问令牌策略”。

任务组织所有者迁移者
为仓库迁移分配迁移者角色admin:org
运行仓库迁移(目标组织)repoadmin:orgworkflowreporead:orgworkflow
下载迁移日志repoadmin:orgworkflowreporead:orgworkflow
回收虚拟模型admin:org

Bitbucket Server所需权限

要从 Bitbucket Server 迁移,您需要:

  • 具有管理员或超级管理员权限的 Bitbucket Server 帐户的用户名和密码
  • 如果您的 Bitbucket Server 实例运行在 Linux 上,则需要对 Bitbucket Server 实例进行 SFTP 访问(请参阅“SSH 密钥”。一般而言,如果您可以通过 SSH 访问服务器,则也可以使用 SFTP。
  • 如果您的 Bitbucket Server 实例运行在 Windows 上,则需要对 Bitbucket Server 实例进行文件共享 (SMB) 访问。

SSH 密钥

如果您的 Bitbucket Server 实例运行在 Linux 上,则必须使用符合以下要求的 SSH 密钥:

  • 没有密码短语
  • 使用以下密码之一:
    • aes256-ctr
    • 3des-cbc
    • aes128-cbc
    • aes192-cbc
    • aes256-cbc
    • blowfish-cbc
    • twofish-cbc
    • twofish192-cbc
    • twofish128-cbc
    • twofish256-cbc
    • arcfour
    • arcfour128
    • arcfour256
    • cast128-cbc
    • aes128-ctr
    • aes192-ctr

如果在运行迁移时收到类似于 cipher name aes256-ctr for openssh key file is not supported 的错误,则您的 SSH 私钥使用了不受支持的密码。有关如何生成兼容私钥的更多信息,请参阅“使用 GitHub Enterprise Importer 排查迁移问题”。

授予迁移者角色

要允许组织所有者以外的人员运行迁移或下载迁移日志,您可以向用户或团队授予迁移者角色。有关更多信息,请参阅“关于迁移者角色”。

您可以使用 GitHub CLI 的 BBS2GH 扩展或 GraphQL API 授予迁移者角色。

使用 BBS2GH 扩展授予迁移者角色

要使用 CLI 授予迁移者角色,您必须已安装 GitHub CLI 的 BBS2GH 扩展。有关更多信息,请参阅“将仓库从 Bitbucket Server 迁移到 GitHub Enterprise Cloud”。

  1. 在 GitHub 上,创建并记录一个满足授予迁移者角色的所有要求的个人访问令牌。有关更多信息,请参阅“为 GitHub Enterprise Importer 创建个人访问令牌”。

  2. 将个人访问令牌设置为环境变量,在下面的命令中将 TOKEN 替换为您上面记录的个人访问令牌。

    • 如果您使用的是终端,请使用 export 命令。

      Shell
      export GH_PAT="TOKEN"

    • 如果您使用的是 PowerShell,请使用 $env 命令。

      Shell
      $env:GH_PAT="TOKEN"

  3. 使用 gh bbs2gh grant-migrator-role 命令,将 ORGANIZATION 替换为您要为其授予迁移者角色的组织,将 ACTOR 替换为用户或团队名称,并将 TYPE 替换为 USERTEAM

    Shell
    gh bbs2gh grant-migrator-role --github-org ORGANIZATION --actor ACTOR --actor-type TYPE

    注意

    如果您要为 GHE.com 授予迁移者角色,则还必须包含企业子域的目标 API URL。例如:--target-api-url https://api.octocorp.ghe.com

使用 GraphQL API 授予迁移者角色

您可以使用 grantMigratorRole GraphQL 变异来分配迁移者角色,并使用 revokeMigratorRole 变异来撤销迁移者角色。

您必须使用满足所有访问要求的个人访问令牌 (PAT)。有关更多信息,请参阅“个人访问令牌所需权限”。

grantMigratorRole 变异

此 GraphQL 变异设置迁移角色。

mutation grantMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  grantMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}
查询变量描述
organizationId来自 GetOrgInfo 查询的组织的 ownerId(或组织 ID)。
actor您要为其分配迁移角色的团队或用户名。
actor_type指定迁移者是 USER 还是 TEAM

revokeMigratorRole 变异

此变异删除迁移者角色。

mutation revokeMigratorRole (
  $organizationId: ID!,
  $actor: String!,
  $actor_type: ActorType!
) {
  revokeMigratorRole( input: {
    organizationId: $organizationId,
    actor: $actor,
    actorType: $actor_type
  })
   { success }
}

为 GitHub Enterprise Importer 创建个人访问令牌

  1. 验证您是否具有完成所需任务的足够角色。有关更多信息,请参阅“所需角色”。
  2. 创建一个个人访问令牌(经典版),确保授予完成所需任务的所有权限。您只能使用个人访问令牌(经典版),不能使用细粒度个人访问令牌。有关更多信息,请参阅“管理您的个人访问令牌”和“个人访问令牌所需权限”。
  3. 如果为您需要访问的组织强制执行 SAML 单点登录,请为 SSO 授权个人访问令牌。有关更多信息,请参阅“授权个人访问令牌与 SAML 单点登录一起使用”。

配置迁移的 IP 允许列表

如果您的迁移目标使用 IP 允许列表(GitHub 的 IP 允许列表功能或您的身份提供商 (IdP) 的 IP 允许列表限制),则需要在 GitHub 上配置 IP 允许列表。

  • 如果您使用 GitHub 的 IP 允许列表功能,则必须将下面的 GitHub IP 范围添加到目标组织的允许列表中。
  • 如果您使用 IdP 的 IP 允许列表来限制对 GitHub 上企业的访问,则应在迁移完成后再在您的企业帐户设置中禁用这些限制。

有关更多信息,请参阅“管理组织的允许 IP 地址”和“使用 IP 允许列表限制对企业的网络流量”。

GitHub.com 的 IP 范围

您需要将以下 IP 范围添加到您的 IP 允许列表:

  • 192.30.252.0/22
  • 185.199.108.0/22
  • 140.82.112.0/20
  • 143.55.64.0/20
  • 40.71.233.224/28
  • 2a0a:a440::/29
  • 2606:50c0::/32
  • 20.125.12.8/29 (自 2023 年 11 月 8 日 00:00 UTC 起生效)

您可以随时使用 REST API 的“获取 GitHub 元信息”端点获取 GitHub Enterprise Importer 使用的 IP 范围的最新列表。

响应中的 github_enterprise_importer 密钥包含用于迁移的 IP 范围列表。

有关更多信息,请参阅“元数据的 REST API 端点”。

GHE.com 的 IP 范围

您需要将以下 IP 范围添加到您的 IP 允许列表:

  • 192.30.252.0/22
  • 185.199.108.0/22
  • 140.82.112.0/20
  • 143.55.64.0/20
  • 2a0a:a440::/29
  • 2606:50c0::/32
  • 4.231.155.80/29
  • 4.225.9.96/29
  • 51.12.144.32/29
  • 20.199.1.232/29
  • 51.12.152.184/29
  • 20.199.6.80/29
  • 51.12.152.240/29
  • 20.19.101.136/29
  • 51.12.252.16/28
  • 74.241.131.48/28
  • 20.240.211.176/28
  • 108.143.221.96/28
  • 20.61.46.32/28
  • 20.224.62.160/28

此外,如果您使用具有防火墙规则的 Blob 存储帐户:

  • 您必须允许访问 GHE.com 的出站 IP 范围。请参阅“GHE.com 的网络详细信息”。
  • 如果您使用的是 Azure Blob Storage,您可能需要执行一些额外的配置。请联系 GitHub 支持

进一步阅读