Minsan naisip ko ang pag-automate ng deployment ng aking proyekto. Ang gitlab.com ay magiliw na nagbibigay ng lahat ng mga tool para dito, at siyempre nagpasya akong gamitin ito sa pamamagitan ng pag-uunawa nito at pagsulat ng isang maliit na script ng pag-deploy. Sa artikulong ito, ibinabahagi ko ang aking karanasan sa komunidad.
Tl; DR
- I-set up ang VPS: huwag paganahin ang root, password login, i-install ang dockerd, i-configure ang ufw
- Bumuo ng mga sertipiko para sa server at kliyente Paganahin ang dockerd control sa pamamagitan ng tcp socket: alisin ang -H fd:// na opsyon mula sa docker config.
- Magtakda ng mga path sa mga certificate sa docker.json
- Magrehistro sa mga variable ng gitlab sa mga setting ng CI / CD kasama ang mga nilalaman ng mga sertipiko. Sumulat ng .gitlab-ci.yml script para sa deployment.
Ipapakita ko ang lahat ng mga halimbawa sa pamamahagi ng Debian.
Paunang pag-setup ng VPS
Dito ka bumili ng isang instance halimbawa sa , ang unang bagay na dapat gawin ay protektahan ang iyong server mula sa agresibong labas ng mundo. Hindi ko patunayan o igigiit ang anuman, ipapakita ko lang ang /var/log/messages log ng aking virtual server:
Screenshot
Una, i-install ang ufw firewall:
apt-get update && apt-get install ufwPaganahin ang default na patakaran: i-block ang lahat ng papasok na koneksyon, payagan ang lahat ng papalabas na koneksyon:
ufw default deny incoming
ufw default allow outgoingMahalaga: huwag kalimutang payagan ang koneksyon sa pamamagitan ng ssh:
ufw allow OpenSSHAng pangkalahatang syntax ay: Payagan ang koneksyon sa port: ufw allow 12345, kung saan ang 12345 ay ang port number o pangalan ng serbisyo. Deny: ufw deny 12345
I-on ang firewall:
ufw enableLumabas kami sa session at mag-log in muli sa pamamagitan ng ssh.
Magdagdag ng user, magtalaga sa kanya ng password, at idagdag siya sa sudo group.
apt-get install sudo
adduser scoty
usermod -aG sudo scotySusunod, ayon sa plano, dapat mong huwag paganahin ang pag-login sa password. para magawa ito, kopyahin ang iyong ssh key sa server:
ssh-copy-id [email protected]Ang ip ng server ay dapat na sa iyo. Ngayon subukang mag-log in sa ilalim ng user na nilikha ng mas maaga, hindi mo na kailangang magpasok ng isang password. Susunod, sa mga setting ng pagsasaayos, baguhin ang sumusunod:
sudo nano /etc/ssh/sshd_confighuwag paganahin ang pag-login ng password:
PasswordAuthentication noI-restart ang sshd daemon:
sudo systemctl reload sshdNgayon kung ikaw o ibang tao ay sumusubok na mag-log in bilang root, ito ay mabibigo.
Susunod, nag-install kami ng dockerd, hindi ko ilalarawan ang proseso dito, dahil ang lahat ay maaari nang mabago, sundin ang link sa opisyal na website at dumaan sa mga hakbang ng pag-install ng docker sa iyong virtual machine:
Pagbuo ng sertipiko
Upang makontrol ang docker daemon nang malayuan, kinakailangan ang isang naka-encrypt na koneksyon sa TLS. Para magawa ito, kailangan mong magkaroon ng certificate at key na kailangan mong gawin at ilipat sa iyong remote na makina. Sundin ang mga hakbang na ibinigay sa mga tagubilin sa opisyal na website ng docker: Lahat ng nabuong *.pem file para sa server, katulad ng ca.pem, server.pem, key.pem, ay dapat ilagay sa /etc/docker directory sa server.
setup ng docker
Sa docker daemon startup script, alisin ang -H df:// na opsyon, ang opsyong ito ay nagsasabi kung aling host ang docker daemon ay maaaring kontrolin.
# At /lib/systemd/system/docker.service
[Service]
Type=notify
ExecStart=/usr/bin/dockerdSusunod, lumikha ng isang file ng mga setting kung wala pa ito at itakda ang mga pagpipilian:
/etc/docker/docker.json
{
"hosts": [
"unix:///var/run/docker.sock",
"tcp://0.0.0.0:2376"
],
"labels": [
"is-our-remote-engine=true"
],
"tls": true,
"tlscacert": "/etc/docker/ca.pem",
"tlscert": "/etc/docker/server.pem",
"tlskey": "/etc/docker/key.pem",
"tlsverify": true
}Payagan ang mga koneksyon sa port 2376:
sudo ufw allow 2376I-restart ang dockerd gamit ang mga bagong setting:
sudo systemctl daemon-reload && sudo systemctl restart dockerSuriin natin:
sudo systemctl status dockerKung berde ang lahat, pagkatapos ay isinasaalang-alang namin na matagumpay naming na-configure ang docker sa server.
Pagse-set up ng tuluy-tuloy na paghahatid sa gitlab
Upang ang manggagawang gitalab ay makapagsagawa ng mga utos sa isang malayuang docker host, kailangan mong magpasya kung paano at saan mag-iimbak ng mga sertipiko at isang susi para sa isang naka-encrypt na koneksyon sa dockerd. Nalutas ko ang problemang ito sa pamamagitan lamang ng pagsulat sa mga variable sa mga setting ng gitlbab:
pamagat ng spoiler
I-output lamang ang mga nilalaman ng mga sertipiko at susi sa pamamagitan ng pusa: cat ca.pem. Kopyahin at i-paste sa mga variable na halaga.
Sumulat tayo ng script para sa pag-deploy sa pamamagitan ng gitlab. Ang docker-in-docker (dind) na imahe ay gagamitin.
.gitlab-ci.yml
image:
name: docker/compose:1.23.2
# ΠΏΠ΅ΡΠ΅ΠΏΠΈΡΠ΅ΠΌ entrypoint , ΡΡΠΎΠ±Ρ ΡΠ°Π±ΠΎΡΠ°Π»ΠΎ Π² dind
entrypoint: ["/bin/sh", "-c"]
variables:
DOCKER_HOST: tcp://docker:2375/
DOCKER_DRIVER: overlay2
services:
- docker:dind
stages:
- deploy
deploy:
stage: deploy
script:
- bin/deploy.sh # ΡΠΊΡΠΈΠΏΡ Π΄Π΅ΠΏΠ»ΠΎΡ ΡΡΡ
Ang mga nilalaman ng script ng deployment na may mga komento:
bin/deploy.sh
#!/usr/bin/env sh
# ΠΠ°Π΄Π°Π΅ΠΌ ΡΡΠ°Π·Ρ, Π΅ΡΠ»ΠΈ Π²ΠΎΠ·Π½ΠΈΠΊΠ»ΠΈ ΠΊΠ°ΠΊΠΈΠ΅-ΡΠΎ ΠΎΡΠΈΠ±ΠΊΠΈ
set -e
# ΠΡΠ²ΠΎΠ΄ΠΈΠΌ, ΡΠΎ , ΡΡΠΎ Π΄Π΅Π»Π°Π΅ΠΌ
set -v
#
DOCKER_COMPOSE_FILE=docker-compose.yml
# ΠΡΠ΄Π° Π΄Π΅ΠΏΠ»ΠΎΠΈΠΌ
DEPLOY_HOST=185.241.52.28
# ΠΡΡΡ Π΄Π»Ρ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠΎΠ² ΠΊΠ»ΠΈΠ΅Π½ΡΠ°, ΡΠΎ Π΅ΡΡΡ Π² Π½Π°ΡΠ΅ΠΌ ΡΠ»ΡΡΠ°Π΅ - gitlab-Π²ΠΎΡΠΊΠ΅ΡΠ°
DOCKER_CERT_PATH=/root/.docker
# ΠΏΡΠΎΠ²Π΅ΡΠΈΠΌ, ΡΡΠΎ Π² ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅ΡΠ΅ Π²ΡΠ΅ ΠΈΠΌΠ΅Π΅ΡΡΡ
docker info
docker-compose version
# ΡΠΎΠ·Π΄Π°Π΅ΠΌ ΠΏΡΡΡ (ΡΠ΅ΠΉΡΠ°Ρ ΡΠ°Π±ΠΎΡΠ°Π΅ΠΌ Π² ΠΊΠ»ΠΈΠ΅Π½ΡΠ΅ - Π²ΠΎΡΠΊΠ΅ΡΠ΅ gitlab'Π°)
mkdir $DOCKER_CERT_PATH
# ΠΈΠ·ΡΠΌΠ°Π΅ΠΌ ΡΠΎΠ΄Π΅ΡΠΆΠΈΠΌΠΎΠ΅ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ
, ΠΏΡΠΈ ΡΡΠΎΠΌ ΡΠ΄Π°Π»ΡΠ΅ΠΌ Π»ΠΈΡΠ½ΠΈΠ΅ ΡΠΈΠΌΠ²ΠΎΠ»Ρ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π½ΡΠ΅ ΠΏΡΠΈ ΡΠΎΡ
ΡΠ°Π½Π΅Π½ΠΈΠΈ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ
.
echo "$CA_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/ca.pem
echo "$CERT_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/cert.pem
echo "$KEY_PEM" | tr -d 'r' > $DOCKER_CERT_PATH/key.pem
# Π½Π° Π²ΡΡΠΊΠΈΠΉ ΡΠ»ΡΡΠ°ΠΉ Π΄Π°Π΅ΠΌ ΡΠΎΠ»ΡΠΊΠΎ ΡΠΈΡΠ°ΡΡ
chmod 400 $DOCKER_CERT_PATH/ca.pem
chmod 400 $DOCKER_CERT_PATH/cert.pem
chmod 400 $DOCKER_CERT_PATH/key.pem
# Π΄Π°Π»Π΅Π΅ Π½Π°ΡΠΈΠ½Π°Π΅ΠΌ ΡΠΆΠ΅ ΡΠ°Π±ΠΎΡΠ°ΡΡ Ρ ΡΠ΄Π°Π»Π΅Π½Π½ΡΠΌ docker-Π΄Π΅ΠΌΠΎΠ½ΠΎΠΌ. Π‘ΠΎΠ±ΡΡΠ²Π΅Π½Π½ΠΎ, ΡΠ°ΠΌ Π΄Π΅ΠΏΠ»ΠΎΠΉ
export DOCKER_TLS_VERIFY=1
export DOCKER_HOST=tcp://$DEPLOY_HOST:2376
# ΠΏΡΠΎΠ²Π΅ΡΠΈΠΌ, ΡΡΠΎ ΠΊΠΎΠ½Π½Π΅ΠΊΡΠΈΡΡΡ Π²ΡΠ΅ ΡΡΠΏΠ΅ΡΠ½ΠΎ
docker-compose
-f $DOCKER_COMPOSE_FILE
ps
# Π»ΠΎΠ³ΠΈΠ½ΠΈΠΌΡΡ Π² docker-ΡΠ΅Π³ΠΈΡΡΡΠΈ, ΡΡΡ ΠΌΠΎΠΆΠ΅ΡΠ΅ ΡΠΊΠ°Π·Π°ΡΡ ΡΠ²ΠΎΠΉ "ΠΌΠ΅ΡΡΠ½ΡΠΉ" ΡΠ΅Π³ΠΈΡΡΡΠΈ
docker login -u $DOCKER_USER -p $DOCKER_PASSWORD
docker-compose
-f $DOCKER_COMPOSE_FILE
pull app
# ΠΏΠΎΠ΄Π½ΠΈΠΌΠ°Π΅ΠΌ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅
docker-compose
-f $DOCKER_COMPOSE_FILE
up -d app
Ang pangunahing problema ay ang "bunutin" ang mga nilalaman ng mga sertipiko sa normal na anyo mula sa mga variable ng gitlab CI / CD. Hindi ko maisip kung bakit hindi gumana ang koneksyon sa remote host. Tiningnan ko ang sudo journalctl -u docker log sa host, may error sa handshake. Nagpasya akong tingnan kung ano ang karaniwang nakaimbak sa mga variable, para dito makikita mo ang cat -A $DOCKER_CERT_PATH/key.pem. Napagtagumpayan ang error sa pamamagitan ng pagdaragdag ng pag-alis ng character na caret na tr -d 'r'.
Dagdag pa, maaari kang magdagdag ng mga post-release na gawain sa script ayon sa iyong paghuhusga. Maaari mong tingnan ang gumaganang bersyon sa aking imbakan
Pinagmulan: www.habr.com