Nieritreritra ny hanao automatique ny fametrahana ny tetikasako aho indray mandeha. Ny gitlab.com dia manome tsara ny fitaovana rehetra ho an'izany, ary mazava ho azy fa nanapa-kevitra ny hanararaotra izany aho, hamantatra izany ary hanoratra script fandefasana kely. Amin'ity lahatsoratra ity dia mizara ny traikefako amin'ny fiarahamonina aho.
TL, DR
- Manangana VPS: esory ny fakany, midira amin'ny tenimiafina, mametraka dockerd, manamboatra ufw
- Mamorona taratasy fanamarinana ho an'ny mpizara sy mpanjifa Alefaso ny fanaraha-maso dockerd amin'ny alΓ lan'ny tcp socket: esory ny safidy -H fd:// amin'ny docker config.
- Soraty ny lalana mankany amin'ny fanamarinana ao amin'ny docker.json
- Misoratra anarana amin'ny gitlab variables amin'ny fikandrana CI/CD miaraka amin'ny votoatin'ny fanamarinana. Manorata script .gitlab-ci.yml ho fametrahana.
Hasehoko ny ohatra rehetra momba ny fizarana Debian.
Fametrahana VPS voalohany
Ka nividy ohatra ianao ohatra tamin'ny , ny zavatra voalohany tokony hataonao dia ny miaro ny mpizaranao amin'ny tontolo ivelany mahery setra. Tsy hanaporofo na hanamafy na inona na inona aho, hasehoko fotsiny ny log /var/log/messages of my virtual server:
ΓΒ‘ΓΒΊΓ β¬ ΓΒΈΓΒ½ΓΓΒΎΓ,
Voalohany, apetraho ny firewall ufw:
apt-get update && apt-get install ufwAlefaso ny politikan'ny default: sakanana ny fifandraisana miditra rehetra, avelao ny fifandraisana mivoaka rehetra:
ufw default deny incoming
ufw default allow outgoingZava-dehibe: aza adino ny mamela ny fifandraisana amin'ny ssh:
ufw allow OpenSSHNy fehezanteny ankapobeny dia toy izao: Avelao hifandray amin'ny seranan-tsambo: ufw mamela 12345, izay 12345 no laharana seranan-tsambo na anaran'ny serivisy. Deny: ufw deny 12345
Alefaso ny firewall:
ufw enableMivoaka ny session izahay ary miditra indray amin'ny ssh.
Ampio mpampiasa iray, omeo tenimiafina ary ampio izy ao amin'ny vondrona sudo.
apt-get install sudo
adduser scoty
usermod -aG sudo scotyManaraka, araka ny drafitra, dia tokony hanaisotra ny tenimiafina fidirana. Mba hanaovana izany, kopia ny fanalahidin'ny ssh anao amin'ny mpizara:
ssh-copy-id [email protected]Ny ip mpizara dia tsy maintsy anao. Andramo izao ny miditra amin'ny alΓ lan'ny mpampiasa noforoninao teo aloha; tsy mila mampiditra tenimiafina intsony ianao. Manaraka, ao amin'ny firafitry ny configuration, hanova izao manaraka izao:
sudo nano /etc/ssh/sshd_configesory ny tenimiafina fidirana:
PasswordAuthentication noAvereno indray ny daemon sshd:
sudo systemctl reload sshdAmin'izao fotoana izao raha toa ianao na olon-kafa manandrana miditra amin'ny maha-mpampiasa faka azy dia tsy mandeha izany.
Manaraka, apetraho ny dockerd, tsy hamariparitra ny dingana eto aho, satria efa azo ovaina ny zava-drehetra, araho ny rohy mankany amin'ny tranokala ofisialy ary mandehana amin'ny dingana fametrahana docker amin'ny milina virtoaly anao:
Mamorona taratasy fanamarinana
Mba hifehezana ny daemon docker avy lavitra dia ilaina ny fifandraisana TLS misy encryption. Mba hanaovana izany dia mila manana taratasy fanamarinana sy lakile ianao, izay tsy maintsy amboarina sy afindra any amin'ny milina lavitra anao. Araho ny dingana omena ao amin'ny torolΓ lana ao amin'ny tranokalan'ny docker ofisialy: Ny rakitra *.pem rehetra noforonina ho an'ny mpizara, izany hoe ca.pem, server.pem, key.pem, dia tsy maintsy apetraka ao amin'ny lahatahiry /etc/docker amin'ny mpizara.
Fametrahana dockerd
Ao amin'ny script fanombohana daemon docker dia esorinay ny safidy -H df://, ity safidy ity dia mamaritra hoe iza no mpampiantrano ny daemon docker azo fehezina.
# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerdManaraka, tokony hamorona fisie fikandrana ianao, raha tsy mbola misy izany, ary mamaritra ny safidy:
/etc/docker/docker.json
{
"hosts": [
"unix:///var/run/docker.sock",
"tcp://0.0.0.0:2376"
],
"labels": [
"is-our-remote-engine=true"
],
"tls": true,
"tlscacert": "/etc/docker/ca.pem",
"tlscert": "/etc/docker/server.pem",
"tlskey": "/etc/docker/key.pem",
"tlsverify": true
}Andeha isika hamela fifandraisana amin'ny port 2376:
sudo ufw allow 2376Andao hanomboka indray ny dockerd miaraka amin'ireo fanovana vaovao:
sudo systemctl daemon-reload && sudo systemctl restart dockerAndeha hojerentsika:
sudo systemctl status dockerRaha "maitso" ny zava-drehetra, dia heverintsika fa nahavita nanamboatra docker tamin'ny mpizara.
Mametraka fandefasana tsy tapaka amin'ny gitlab
Mba hahafahan'ny mpiasa Gitalaba afaka manatanteraka baiko amin'ny mpampiantrano Docker lavitra, dia ilaina ny manapa-kevitra ny fomba sy ny toerana hitahirizana ny mari-pankasitrahana sy ny lakile ho an'ny fifandraisana misy miafina miaraka amin'i Dockerd. Namaha ity olana ity aho tamin'ny fampidirana fotsiny ireto manaraka ireto amin'ny variables ao amin'ny fikandrana gitlbab:
Lohateny spoiler
Alefaso fotsiny amin'ny alΓ lan'ny cat ny votoatin'ny mari-pankasitrahana sy fanalahidy: cat ca.pem. Adikao sy apetaho amin'ny sanda miovaova.
Andao hanoratra script ho an'ny fametrahana amin'ny alΓ lan'ny GitLab. Ny sary docker-in-docker (dind) no hampiasaina.
.gitlab-ci.yml
image:
name: docker/compose:1.23.2
# ΠΏΠ΅ΡΠ΅ΠΏΠΈΡΠ΅ΠΌ entrypoint , ΡΡΠΎΠ±Ρ ΡΠ°Π±ΠΎΡΠ°Π»ΠΎ Π² dind
entrypoint: ["/bin/sh", "-c"]
variables:
DOCKER_HOST: tcp://docker:2375/
DOCKER_DRIVER: overlay2
services:
- docker:dind
stages:
- deploy
deploy:
stage: deploy
script:
- bin/deploy.sh # ΡΠΊΡΠΈΠΏΡ Π΄Π΅ΠΏΠ»ΠΎΡ ΡΡΡ
Ny votoatin'ny script fametrahana miaraka amin'ny fanehoan-kevitra:
bin/deploy.sh
#!/usr/bin/env sh
# ΠΠ°Π΄Π°Π΅ΠΌ ΡΡΠ°Π·Ρ, Π΅ΡΠ»ΠΈ Π²ΠΎΠ·Π½ΠΈΠΊΠ»ΠΈ ΠΊΠ°ΠΊΠΈΠ΅-ΡΠΎ ΠΎΡΠΈΠ±ΠΊΠΈ
set -e
# ΠΡΠ²ΠΎΠ΄ΠΈΠΌ, ΡΠΎ , ΡΡΠΎ Π΄Π΅Π»Π°Π΅ΠΌ
set -v
#
DOCKER_COMPOSE_FILE=docker-compose.yml
# ΠΡΠ΄Π° Π΄Π΅ΠΏΠ»ΠΎΠΈΠΌ
DEPLOY_HOST=185.241.52.28
# ΠΡΡΡ Π΄Π»Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠΎΠ² ΠΊΠ»ΠΈΠ΅Π½ΡΠ°, ΡΠΎ Π΅ΡΡΡ Π² Π½Π°ΡΠ΅ΠΌ ΡΠ»ΡΡΠ°Π΅ - gitlab-Π²ΠΎΡΠΊΠ΅ΡΠ°
DOCKER_CERT_PATH=/root/.docker
# ΠΏΡΠΎΠ²Π΅ΡΠΈΠΌ, ΡΡΠΎ Π² ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅ΡΠ΅ Π²ΡΠ΅ ΠΈΠΌΠ΅Π΅ΡΡΡ
docker info
docker-compose version
# ΡΠΎΠ·Π΄Π°Π΅ΠΌ ΠΏΡΡΡ (ΡΠ΅ΠΉΡΠ°Ρ ΡΠ°Π±ΠΎΡΠ°Π΅ΠΌ Π² ΠΊΠ»ΠΈΠ΅Π½ΡΠ΅ - Π²ΠΎΡΠΊΠ΅ΡΠ΅ gitlab'Π°)
mkdir $DOCKER_CERT_PATH
# ΠΈΠ·ΡΠΌΠ°Π΅ΠΌ ΡΠΎΠ΄Π΅ΡΠΆΠΈΠΌΠΎΠ΅ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ
, ΠΏΡΠΈ ΡΡΠΎΠΌ ΡΠ΄Π°Π»ΡΠ΅ΠΌ Π»ΠΈΡΠ½ΠΈΠ΅ ΡΠΈΠΌΠ²ΠΎΠ»Ρ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π½ΡΠ΅ ΠΏΡΠΈ ΡΠΎΡ
ΡΠ°Π½Π΅Π½ΠΈΠΈ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ
.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# Π½Π° Π²ΡΡΠΊΠΈΠΉ ΡΠ»ΡΡΠ°ΠΉ Π΄Π°Π΅ΠΌ ΡΠΎΠ»ΡΠΊΠΎ ΡΠΈΡΠ°ΡΡ
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem
# Π΄Π°Π»Π΅Π΅ Π½Π°ΡΠΈΠ½Π°Π΅ΠΌ ΡΠΆΠ΅ ΡΠ°Π±ΠΎΡΠ°ΡΡ Ρ ΡΠ΄Π°Π»Π΅Π½Π½ΡΠΌ docker-Π΄Π΅ΠΌΠΎΠ½ΠΎΠΌ. Π‘ΠΎΠ±ΡΡΠ²Π΅Π½Π½ΠΎ, ΡΠ°ΠΌ Π΄Π΅ΠΏΠ»ΠΎΠΉ
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376
# ΠΏΡΠΎΠ²Π΅ΡΠΈΠΌ, ΡΡΠΎ ΠΊΠΎΠ½Π½Π΅ΠΊΡΠΈΡΡΡ Π²ΡΠ΅ ΡΡΠΏΠ΅ΡΠ½ΠΎ
docker-compose
-f $DOCKER_COMPOSE_FILE
ps
# Π»ΠΎΠ³ΠΈΠ½ΠΈΠΌΡΡ Π² docker-ΡΠ΅Π³ΠΈΡΡΡΠΈ, ΡΡΡ ΠΌΠΎΠΆΠ΅ΡΠ΅ ΡΠΊΠ°Π·Π°ΡΡ ΡΠ²ΠΎΠΉ "ΠΌΠ΅ΡΡΠ½ΡΠΉ" ΡΠ΅Π³ΠΈΡΡΡΠΈ
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD
docker-compose
-f $DOCKER_COMPOSE_FILE
pull app
# ΠΏΠΎΠ΄Π½ΠΈΠΌΠ°Π΅ΠΌ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅
docker-compose
-f $DOCKER_COMPOSE_FILE
up -d app
Ny olana lehibe dia ny "misintona" ny votoatin'ny mari-pankasitrahana amin'ny endrika mahazatra avy amin'ny gitlab CI / CD variables. Tsy azoko hoe nahoana no tsy mandeha ny fifandraisana amin'ny mpampiantrano lavitra. Tao amin'ny mpampiantrano aho dia nijery ny log sudo journalctl -u docker, nisy hadisoana nandritra ny fifampikasohana. Nanapa-kevitra ny hijery izay voatahiry amin'ny ankapobeny amin'ny variables aho, mba hanaovana izany dia azonao atao ny mijery toy izao: cat -A $DOCKER_CERT_PATH/key.pem. Nandresy ny hadisoana aho tamin'ny fampidirana ny fanesorana ny toetran'ny fiara tr -d 'r'.
Manaraka izany dia azonao atao ny manampy asa aorian'ny famoahana ny script araka ny fanapahan-kevitrao. Azonao atao ny mijery ny dikan-teny miasa ao amin'ny fitahirizanao
Source: www.habr.com