前言
在開始之前���,我們先來簡單介紹下Travis-ci��,Travis-ci是一款持續(xù)集成(Continuous Integration)服務(wù)����,它能夠很好地與Github結(jié)合��,每當代碼更新時自動地觸發(fā)集成過程�����。
Travis-ci配置簡單���,很多nodejs項目都用它做自動測試�����。然而��,對于持續(xù)集成�,僅做到自動測試是不夠的,還要有后續(xù)的自動部署��,才能完成“提交代碼 => 自動測試 => 自動部署”的集成鏈條�����。
本文以nodejs應(yīng)用為例�,來談?wù)勅绾卫胻ravis-ci完成自動部署。話不多說��,來一起看看詳細的介紹:
基本原理
從自動測試到自動部署的核心問題是測試機與生產(chǎn)服務(wù)器的信任問題�����,即如何安全地把程序包傳輸?shù)缴a(chǎn)服務(wù)器��。市面上的部署工具如scp��、ansible����、chef�,都繞不開這個核心問題�。
以scp為例�,測試機登錄生產(chǎn)服務(wù)器的方式有兩種:密碼和秘鑰。密碼登錄方式需要交互式地輸入密碼����,總不能每次測試的時候,人為地輸入密碼吧��,所以密碼方式行不通�。
秘鑰的方式可以實現(xiàn)自動登錄,但首次將測試機的公鑰傳輸給生產(chǎn)服務(wù)器仍然需要密碼�。似乎走入了死胡同,但辦法總是有的��。我們知道開發(fā)機是可以登錄到生產(chǎn)服務(wù)器的�����,那么我們就可以將開發(fā)機的公鑰復(fù)制到生產(chǎn)服務(wù)器��,將開發(fā)機的私鑰復(fù)制到測試機�,測試機通過私鑰來偽裝成開發(fā)機,自動地登錄到生產(chǎn)服務(wù)器���。
解決了自動登錄的問題�,另一個問題是怎么將開發(fā)機的私鑰復(fù)制到測試機上。由于測試機每次都是新開的一個虛擬機��,這個新開的虛擬機IP不固定�����,所以沒辦法直接登錄上去���。解決辦法是將私鑰文件作為代碼庫的一部分提交���,這樣測試機每次從代碼庫上拉取代碼的同時也獲取到了秘鑰文件,通過這種方式就實現(xiàn)了私鑰從開發(fā)機復(fù)制到測試機�。
將私鑰文件提交到代碼庫有一個很嚴重的安全性問題,即任何人只要得到了這個私鑰文件�,他就可以隨心所欲的操縱生產(chǎn)服務(wù)器。幸好��,travis-ci提供了加密方案�����,它能夠?qū)⑺借€文件加密�����,加密后的文件只在當前代碼庫有效。
總的來說�����,通過復(fù)制私鑰完成自動登錄以及對私鑰加密來保障安全性���,我們就可以建立起測試機與生產(chǎn)服務(wù)器的信任通道,測試機就可以安全地操作生產(chǎn)服務(wù)器完成自動部署�。
配置
現(xiàn)在我以scp方式部署nodejs應(yīng)用為例,來說明travis-ci做自動部署的配置�。
首先,建立起開發(fā)機與生產(chǎn)服務(wù)器的信任關(guān)系:
ssh-copy-id username@host
然后�,加密你的私鑰,私鑰文件通常在~/.ssh/id_rsa�����。加密私鑰文件需要使用travis這個命令行工具���,它是一個ruby包�����,使用gem安裝:
gem install travis
travis login
輸入賬號密碼登錄成功后���,使用travis encrypt-file加密:
travis encrypt-file ~/.ssh/id_rsa --add
上面命令執(zhí)行完后����,會生成一段解密命令并添加到.travis.yml中:
before_install:
- openssl aes-256-cbc -K $encrypted_830d3b21a25d_key -iv $encrypted_830d3b21a25d_iv
-in ~/.ssh/id_rsa.enc -out ~/.ssh/id_rsa -d
接下來���,把加密后的私鑰文件(id_rsa.enc)復(fù)制到代碼庫中���,千萬要注意不要錯把未加密的私鑰文件(id_rsa)復(fù)制到你的代碼庫中。然后把上面的解密命令的-in ~/.ssh/id_rsa.enc改為-in id_rsa.enc�。
通過上面的過程就基本建立測試機與生產(chǎn)服務(wù)器的信任關(guān)系,但還有一些小細節(jié)要處理���。例如����,降低id_rsa文件的權(quán)限����,否則ssh處于安全方面的原因會拒絕讀取秘鑰;將生產(chǎn)服務(wù)器地址加入到測試機的信任列表中����,否則連接時會詢問是否信任服務(wù)器�����。更改后的配置如下:
before_install:
- openssl aes-256-cbc -K $encrypted_830d3b21a25d_key -iv $encrypted_830d3b21a25d_iv
-in id_rsa.enc -out ~/.ssh/id_rsa -d
- chmod 600 ~/.ssh/id_rsa
- echo -e "Host 102.201.64.94\n\tStrictHostKeyChecking no\n" >> ~/.ssh/config
最后,測試機就可以愉快地操作生產(chǎn)服務(wù)器了���,例如下面是一個nodejs應(yīng)用的.travis.yml文件配置:
language: node_js
node_js:
- '4.4.4'
before_install:
- openssl aes-256-cbc -K $encrypted_830d3b21a25d_key -iv $encrypted_830d3b21a25d_iv
-in id_rsa.enc -out ~/.ssh/id_rsa -d
- chmod 600 ~/.ssh/id_rsa
- echo -e "Host 102.201.64.94\n\tStrictHostKeyChecking no\n" >> ~/.ssh/config
script:
- npm run test
after_success:
- npm prune --production # 刪除devDependencies
- tar -jcf indoor-server.tar.bz2 * # 打包并壓縮代碼
- scp indoor-server.tar.bz2 jingsam@102.201.64.94:~/ # 復(fù)制到生產(chǎn)服務(wù)器上
- ssh jingsam@102.201.64.94 'mkdir -p indoor-server && tar -jxf indoor-server.tar.bz2 -C indoor-server' # 解壓
- ssh jingsam@102.201.64.94 'cd indoor-server && pm2 startOrReload pm2.json' # 重啟pm2
總結(jié)
本篇文章講的自動部署其實與nodejs關(guān)系不大,完全適用于各種語言的自動部署�,其原理都是相通的。
好了��,
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識�,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理���。TEL:177 7030 7066 E-MAIL:11247931@qq.com
