Для начала разберем основные термины.

Как уже было сказано, когда CI понимает, что нужно что-то собрать, он стартует pipeline. Pipeline – это его верхнеуровневый компонент, который состоит из job-ов и stage-ов. Job-ы мы уже разобрали. Stage – это этапы, когда происходят джобы. Например, может быть 3 стейджа: build, test, deploy. Несколько джобов на первом стейдже (build) сделают сборки, несколько прогонят тесты на стейдже test, и несколько джобов загрузят сборки на стейдже deploy.

Также отмечу, что в данном примере мы хотим запускать CI/CD не на каждый пуш, а только на пуши в ветки, которые находятся в прке или когда создана merge request. А также на все пуши (и мерджи) в мастер и в релиз-ветки.

Посмотрим пример .gitlab-ci.yml файла (напомню, его нужно положить в корень). В этом файле будут сборки – debug и release, и собирается 2 флейвора – dev для дебага и prod для релиза. Если у вас есть только один флейвор, просто уберите из команд testDevDebug, assembleDevDebug, testProdRelease, assembleProdRelease части про флейвор (dev, prod). Release сборка будет подписана. После сборки будет деплой в Firebase App Distribution.

.gitlab-ci.yml

workflow: # тут опишем правила запуска пайплайна: автоматическая сборка ветки master, веток release/* (например, release/2.1.0), merge request-ов и пушей в существующие merge request.
  rules:
    - if: '$CI_COMMIT_BRANCH =~ /release*/ || $CI_COMMIT_BRANCH == "master"' # правило: если ветка, в которой произошел коммит, называется master или release*, то запускаем пайплайн всегда, дальше условия не смотрятся
      when: always
    - if: '$CI_PIPELINE_SOURCE == "push"' # правило: если произошел пуш, то ничего не запускаем (если мы на прошлом шаге решили запускать, то это условие уже не важно)
      when: never
    - when: always # если пред условия неактуальны, то любой другой триггер запустит сборку. Например, если сделали merge request - будет запущен pipeline.

stages: # определяем 2 стейджа - build и deploy
  - build
  - deploy

assembleDevDebug: # описываем джобу для дебаг сборки с dev флейвором
  image: lenant255/android:latest # будем использовать образ из моего аккаунта на docker hub - в этот образ вшиты android-sdk для 29 версии и нужные тулзы 
  stage: build # эта джоба выполнится на build stage
  script: 
    - ./gradlew testDevDebug assembleDevDebug # собственно команда тестирования и сборки. Напишите нужную вам, подставьте верный flavor.
  artifacts:
    paths:
      - app/build/outputs/ # путь внутри docker контейнера, куда попадут apk файлы

assembleProdRelease:  # описываем джобу для release сборки с prod флейвором - тут все то же самое, но есть доп шаги для подписания
  image: lenant255/android:latest
  stage: build
  script:
    - echo $KEYSTORE_FILE | base64 -d > my.keystore
    - ./gradlew testProdRelease assembleProdRelease # для подписания передадим некоторые параметры в gradlew, они определяются в интферейсе gitlab ci, о них позже
      -Pandroid.injected.signing.store.file=$(pwd)/my.keystore
      -Pandroid.injected.signing.store.password=$KEYSTORE_PASSWORD
      -Pandroid.injected.signing.key.alias=$KEY_ALIAS
      -Pandroid.injected.signing.key.password=$KEY_PASSWORD
  artifacts:
    paths:
      - app/build/outputs/

deployDev: # джоба для деплоя дев сборки
  image: node:latest # нам нужен npm для установки firebase-tools, так что используем образ с node 
  stage: deploy
  needs: [assembleDevDebug] # опишем, что с предыдущего стейджа нам нужно только чтобы завершилась джоба assembleDevDebug. Это позволит не дожидаться завершения assembleProdRelease, кроме того у нас в этой джобе будут только артифакты из assembleDevDebug
  script:
    - npm install -g firebase-tools # установим firebase-tools
    - apkfile=$(find . -name "*.apk") # найдем апк файл и запишем в переменную apkfile
    - firebase appdistribution:distribute $apkfile --app $FIREBASE_APP_DEV_ID # выполним команду, которая в отправит нашу сборку в firebase
      --release-notes "$CI_COMMIT_MESSAGE" # в качестве release-notes будем использовать сообщение из коммита, в котором должен быть написан ключ таски
      --groups "your-app-testers" # укажите группу тестировщиков, которые получат сборку, о настройке группы ниже
      --token "$FIREBASE_TOKEN"

deployProd: # джоба для деплоя прод сборки, тут все как в предыдущей джобе, только другой id приложения и другая джоба указана в needs
  image: node:latest
  stage: deploy
  needs: [assembleProdRelease]
  script:
    - npm install -g firebase-tools
    - apkfile=$(find . -name "*.apk")
    - firebase appdistribution:distribute $apkfile --app $FIREBASE_APP_PROD_ID
      --release-notes "$CI_COMMIT_MESSAGE" 
      --groups "your-app-testers"
      --token "$FIREBASE_TOKEN"

Комментарии в файле объясняют, что есть что.

Посмотрим, как завести переменные окружения KEYSTORE_PASSWORD, KEY_ALIAS, KEY_PASSWORD, KEYSTORE_FILE, FIREBASE_APP_DEV_ID, FIREBASE_APP_PROD_ID и FIREBASE_TOKEN.