一.背景
谈到到CI/CD,我们不禁会想到Gitlab + Jenkins + Docker等一些列优秀的工具,Jenkins以其丰富的插件及灵活配置已经非常好的满足我们日常工作中的CI/CD需求,通常的做法为Gitlab配置webhook,开发人员通过push代码或merge request可以触发执行一些列的测试部署上线工作,打通了开发到部署到整个生命周期,完成持续集成持续构建。
在Gitlab 也是具有一套CI/CD到框架,通过简单的注册Gitlab Runner,根据业务测试部署需求撰写 .gitlab-ci.yml文件,即可轻松的实现CI/CD,无需多余的工具介入,方便快捷。
本文对记录下利用Gitlab pipeline+supervisor来实战部署Python对tornado项目。
二.基础必备
2.1 Gitlab
2.1.1 Gitlab 简介
Gitlab为一套开源代码仓库管理系统,有CE(社区版)和EE(企业版),相较与共有的代码管理平台Githab,Gitlab常用与私有化部署在企业内网,方便对代码仓库及人员的分组及权限管控,轻松方便管理团队开发流程及多人合作开发规范,通过注册Runner,编写.gitlab-ci.yml实现快速项目CI/CD。
2.1.2 搭建部署
更新yum源
cat > /etc/yum.repos.d/gitlab-ce.repo <
[gitlab-ce]
name=Gitlab CE Repository
baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el\$releasever/
gpgcheck=0
enabled=1
EOF
安装
yum clean all && yum makecache
sudo yum install gitlab-ce #自动安装最新版
sudo yum install gitlab-ce-x.x.x #安装指定版本
配置启动
1.修改gitlab配置文件指定为安装gitlab服务器ip和自定义端口: vim /etc/gitlab/gitlab.r
2.重置并启动GitLab
执行:
gitlab-ctl reconfigure
gitlab-ctl restart
初始账户: root 密码: 5iveL!fe
自定义密码:
gitlab-rails console production #开始初始化密码
u=User.where(id:1).first 来查找与切换账号(User.all 可以查看所有用户)
u.password=12345678 设置密码
u.password_confirmation=12345678
u.save!
exit
修改默认存储路径
更改仓库存储位置 默认时GitLab的仓库存储位置在“/var/opt/gitlab/git-data/repositories”,在实际生产环境中我们会新建数据盘,将重要数据存储在单独的数据盘分区中,我这里规划把数据存放在“/data/gitlabdata”目录下。
mkdir -pv /data/gitlabdata
vim /etc/gitlab/gitlab.rb
git_data_dirs({ "default" => { "path" => "/data/gitlabdata" } })
1 在没有数据的情况下
[root@gitlab ~]# gitlab-ctl stop
[root@gitlab ~]# gitlab-ctl reconfigure //使修改生效
2.如果 /var/opt/gitlab/git-data 目录已经存在Git仓库数据, 你可以用下面的命令把数据迁移到新的位置:
# 准备迁移之前要停止GitLab服务,防止用户写入数据。
[root@gitlab ~]# gitlab-ctl stop
# 注意 'repositories'后面不带斜杠,而
# '/home/gitlab-data'后面是有斜杠的。
[root@gitlab ~]# rsync -av /var/opt/gitlab/git-data/repositories /data/gitlabdata/
# 如果需要修复权限设置,
# 可运行下面的命令进行修复。
[root@gitlab ~]# gitlab-ctl reconfigure
# 再次检查下 /data/gitlabdata 的目录. 正常情况应该有下面这个子目录:
# repositories
备份还原
备份
确保/var/opt/gitlab/backups 目录存在并且gitlab有权限写入文件
gitlab-rake gitlab:backup:create
还原
将备份文件拷贝到/var/opt/gitlab/backups下
停止相关数据连接服务
sudo gitlab-ctl stop unicorn
sudo gitlab-ctl stop sidekiq
1. 制定时间戳恢复
从备份恢复
从指定时间戳的备份恢复(backups目录下有多个备份文件时):
sudo gitlab-rake gitlab:backup:restore BACKUP=1500809139
2.从默认备份恢复(backups目录下只有一个备份文件时):
sudo gitlab-rake gitlab:backup:restore
启动Gitlab
sudo gitlab-ctl start
sudo gitlab-ctl reconfigure
修改默认备份目录【可选】
你也可以通过修改/etc/gitlab/gitlab.rb来修改默认存放备份文件的目录:
gitlab_rails['backup_path'] = '/data/gitlabbackup'
/data/gitlabbackup修改为你想存放备份的目录即可, 修改完成之后使用gitlab-ctl reconfigure命令重载配置文件即可
可配合定时任务或上传到对象存储,实现异地代码备份。
2.1.3 Gitlab CI/CD概念
CI/CD的优势:
尽可能快地检测错误:在开发人员的脑海中解决问题
减少集成问题:更小的问题更容易消化
避免复合问题:让团队更快,更自信地发展
确保每个更改都是可释放的:在调用之前测试所有内容,包括部署
降低每次发布的风险:使发布“无聊”
更频繁地提供价值:可靠的部署意味着更多的版本
严密的客户反馈循环:客户对变更的快速和频繁反馈
Gitlab runner
Gitlab ci/cd是由独立的runner程序完成,runner采用go语言编写,因此可以很好的进行跨平台,通常可以将runner部署到任何gitlab server之外的服务器,从而避免对gitlab server的影响,gitlab runner相当于一个agent安装在目标服务器,或这多个项目公用一个runner,runner服务器单独来执行构建任务。
runner类型:
GitLab-Runner可以分类两种类型:Shared Runner(共享型)和Specific Runner(指定型)。
Shared Runner:这种Runner(工人)是所有工程都能够用的。只有系统管理员能够创建Shared Runner。
Specific Runner:这种Runner(工人)只能为指定的工程服务。拥有该工程访问权限的人都能够为该工程创建Shared Runner。
根据上图可以看出,gitlab-runner可以安装到最终项目部署当服务器上,一个服务器可以部署多个runner,也可以单独一台服务器专用与common-runner来负责多个项目当部署。
Pipeline
Pipeline相当于一次整体的构建任务,其中包含有多个流程步骤(Stages),例如检测进程,清理环境,安装依赖,测试,编译,部署到dev/prod环境,进程检查等,可以对比jenkins构建工作流来理解。任何提交代码或者 Merge Request 的合并都可以触发 一条Pipeline。
Stages
Stages为一条Pipeline的基本构成步骤,一条pipeline的所有stages构成来一条完整的CI/CD工作流。
Stages特征:
顺序执行,第一个stage执行完毕,第二个stage开始
stage串行执行,前面的一个stage执行失败,后面的所有stage不会执行
所有的stage执行都成功,该pipeline任务为成功。
Jobs
Jobs为单个stage中的具体执行工作
Jobs特征:
同一个stage的jobs会并行执行
同一个stage中的所有jobs都执行成功,该stage为成功
一个stage中的任意一个jobs执行失败,该stage为失败,该stage所在的pipline执行失败
2.2 YAML
2.3 Supervisor
背景
在部署Python项目中,启动Django项目或Tornado项目,如果将进程放在前台或是利用nohup &放在后台,gitlab pipeline无法进行退出,可以通过编写脚本部署,但是耗时耗力且需要做单独对进程监控,不便于我们管理维护,因此利用Superviosr来实现对部署项目start/stop/restart/reload服务管理,通过fork/exec的方式把这些被管理的进程,当supervisor的子进程来启动,完美解决来项目部署对难题。
简介
Superviosr为用Python语言开发对一套通用进程管理系统,可利用pip或yum进行安装,其能将一个普通对命令行进程变为daemon,并监控其进程状态,可通过配置如果监控进程异常退出则自动对其进行重启,同时也拥有web管理界面方便管理查看。
配置部署
yum install supervisor # 安装
安装完成后配置文件会在/etc/supervisord.conf,对此可自行修改
[unix_http_server]
file=/tmp/supervisor.sock ;UNIX socket 文件,supervisorctl 会使用
;chmod=0700 ;socket文件的mode,默认是0700
;chown=nobody:nogroup ;socket文件的owner,格式:uid:gid
;[inet_http_server] ;HTTP服务器,提供web管理界面
;port=127.0.0.1:9001 ;Web管理后台运行的IP和端口,如果开放到公网,需要注意安全性
;username=user ;登录管理后台的用户名
;password=123 ;登录管理后台的密码
[supervisord]
logfile=/tmp/supervisord.log ;日志文件,默认是 $CWD/supervisord.log
logfile_maxbytes=50MB ;日志文件大小,超出会rotate,默认 50MB,如果设成0,表示不限制大小
logfile_backups=10 ;日志文件保留备份数量默认10,设为0表示不备份
loglevel=info ;日志级别,默认info,其它: debug,warn,trace
pidfile=/tmp/supervisord.pid ;pid 文件
nodaemon=false ;是否在前台启动,默认是false,即以 daemon 的方式启动
minfds=1024 ;可以打开的文件描述符的最小值,默认 1024
minprocs=200 ;可以打开的进程数的最小值,默认 200
[supervisorctl]
serverurl=unix:///tmp/supervisor.sock ;通过UNIX socket连接supervisord,路径与unix_http_server部分的file一致
;serverurl=http://127.0.0.1:9001 ; 通过HTTP的方式连接supervisord
; [program:xx]是被管理的进程配置参数,xx是进程的名称
[program:xx]
command=/opt/apache-tomcat-8.0.35/bin/catalina.sh run ; 程序启动命令
autostart=true ; 在supervisord启动的时候也自动启动
startsecs=10 ; 启动10秒后没有异常退出,就表示进程正常启动了,默认为1秒
autorestart=true ; 程序退出后自动重启,可选值:[unexpected,true,false],默认为unexpected,表示进程意外杀死后才重启
startretries=3 ; 启动失败自动重试次数,默认是3
user=tomcat ; 用哪个用户启动进程,默认是root
priority=999 ; 进程启动优先级,默认999,值小的优先启动
redirect_stderr=true ; 把stderr重定向到stdout,默认false
stdout_logfile_maxbytes=20MB ; stdout 日志文件大小,默认50MB
stdout_logfile_backups = 20 ; stdout 日志文件备份数,默认是10
; stdout 日志文件,需要注意当指定目录不存在时无法正常启动,所以需要手动创建目录(supervisord 会自动创建日志文件)
stdout_logfile=/opt/apache-tomcat-8.0.35/logs/catalina.out
stopasgroup=false ;默认为false,进程被杀死时,是否向这个进程组发送stop信号,包括子进程
killasgroup=false ;默认为false,向进程组发送kill信号,包括子进程
;包含其它配置文件
[include]
files = supervisord.d/*.conf ;可以指定一个或多个以.conf结束的配置文件
通常我们修改include 中的扩展名为.conf来在其下目录中配置为们自定义的项目。
在supervisord.d中配置我们对具体项目,例如:
[program:myproject]
command=/data/miniconda3/envs/go2cloud_api_env/bin/python /project/myproject/server.py 8011
user=root
stdout_logfile=/project/go2cloud_api/run.log
autostart=true
autorestart=true
startsecs=60
stopasgroup=true
ikillasgroup=true
startretries=1
redirect_stderr=true
启动程序
supervisord -c /etc/supervisord.conf
客户端命令
supervisorctl 是 supervisord的命令行客户端工具
supervisorctl status:查看所有进程的状态
supervisorctl stop myproject:停止es
supervisorctl start myproject:启动myproject
supervisorctl restart myproject: 重启myproject
supervisorctl update :配置文件修改后可以使用该命令加载新的配置
supervisorctl reload: 重新启动配置中的所有程序
...
把myproject 换成all 可以管理配置中的所有进程
注意事项
supervisor不能监控后台进程,command 不能为后台运行命令。
三.实战部署
3.1 服务器列表
名称
IP
软件
备注gitlab-server
10.57.61.138
gitlab-server
Gitlab 服务器
gitlab-common-runner
10.57.61.11
gitlab-runner
公用runner服务器
Des-server
172.21.0.10
miniconda/supervisor
项目部署服务器
3.2 架构图
根据上图,我们可以清晰当看清楚两种部署模式,多个项目公用一个gitlab-runner,和将gitlab-runner部署到目标服务器上。由于存在多个项目,方便后期多项目管理,本次我们利用到为公用gitlab-runner。
3.3 前期准备
Gitlab-runner服务区的gitlab-runner用户可以免密钥登录des-server服务器
Gitlab服务器安装配置
在目标服务器安装配置conda虚拟环境
supervisor部署配置
[program:go2cloud_platform]
command=/data/miniconda3/envs/go2cloud_platform/bin/python /project/go2cloud_platform/runserver start all
user=root
stdout_logfile=/var/log/go2cloud_platform.log
autostart=true
autorestart=true
startsecs=60
stopasgroup=true
ikillasgroup=true
startretries=1
redirect_stderr=true
3.4 配置部署
3.4.1 Gitalb Runner配置
Gitlab runner安装注册
gitlab-runner安装
# 配置yum源
curl -L https://packages.gitlab.com/install/repositories/runner/gitlab-ci-multi-runner/script.rpm.sh | sudo bash
# 安装runner
sudo yum install -y gitlab-ci-multi-runner
开启项目Pipelines
有的项目为开启pipeline,需要手动开启
settings->General->Visibility, project features, permissions->Pipelines
可以配置所有人或此项目到Members可以配置管理Pipeline
记录注册信息
settings->CI/CD>Runners
记录注册url和token
在gitlabrunner服务器进行注册
# gitlab runner注册到平台
sudo gitlab-ci-multi-runner register
此处我们选择的为单机shell执行,如果为docker可以选择docker,注册完成后可以返回gitlab web管理界面查看已经注册的runner。
也可以对runner进行配置。
配置runner
可以勾选Active,runner为公用对时候,暂停Runner不接受新的jobs
如果没有制定tag,可以运行在未指定tag的作业。
stages:
- clean_env # 清理环境及杀死进程
- deploy_src # 部署源码
- install_dependency # 更新依赖
- restart_server # 重启服务
- check_server # 检测服务
variables:
BASE_DIR: "/go2cloud_platform/"
job clean_env_job:
stage: clean_env
script:
- ssh -o stricthostkeychecking=no root@172.16.100.2 pkill supervisord || true
- ssh -o stricthostkeychecking=no root@172.16.100.2 killall /data/miniconda3/bin/python || true
- ssh -o stricthostkeychecking=no root@172.16.100.2 killall /data/miniconda3/envs/go2cloud_platform/bin/python || true
- ssh -o stricthostkeychecking=no root@172.16.100.2 rm -rf /project${BASE_DIR}*
tags:
- 51common-runner
only:
- dev
when: always
job deploy_src_job:
stage: deploy_src
script:
- scp -r /home/gitlab-runner/builds/QFafrHEq/0/devops/${BASE_DIR}* root@172.16.100.2:/project${BASE_DIR}
- ssh -o stricthostkeychecking=no root@172.16.100.2 cp /project/config/config.yml /project${BASE_DIR}
tags:
- 51common-runner
only:
- dev
when: always
job install_dependency_job:
stage: install_dependency
script:
- ssh -o stricthostkeychecking=no root@172.16.100.2 /data/miniconda3/envs/go2cloud_platform/bin/python -m pip install -r /project${BASE_DIR}requirements/requirements.txt
tags:
- 51common-runner
only:
- dev
when: manual
job restart_server_job:
stage: restart_server
script:
- ssh -o stricthostkeychecking=no root@172.16.100.2 sleep 7
- ssh -o stricthostkeychecking=no root@172.16.100.2 supervisord -c /etc/supervisord.conf
- ssh -o stricthostkeychecking=no root@172.16.100.2 ps -ef |grep supervisord |grep -v grep
tags:
- 51common-runner
only:
- dev
when: always
job check_server_job:
stage: check_server
script:
- ssh -o stricthostkeychecking=no root@172.16.100.2 sleep 7
- ssh -o stricthostkeychecking=no root@172.16.100.2 ps -ef|grep "8088"
tags:
- 51common-runner
only:
- dev
when: always
在此我们部署服务分为五个步骤
清理环境:可以配置为全部删除目标源代码或这rsync/scp增量覆盖到目标服务器,如果增量部署,需要考虑迁移数据库到重复执行。
部署源码:将gitlab-runner服务器pull下来到代码scp到目标服务器到目标部署目录,
安装依赖:此处有可能后期更新requirements,配置为manual手动去执行更新,如果有更新,手动去安装。
重启服务:此时启动为supervisord服务,启动后可以自动启动配置到项目服务。
检测进程:由于此项目为平台为写单元测试,部署上去存在可能代码有异常进程为能正常启动,检测进程是否正常启动可方便为们知道部署是否成功。
查看pipeline
查看具体jobs信息
如果那个jobs执行失败可以进行手动retry。
查看CI/CD charts
charts直观的展示来构建到成功及失败图表。
查看构建邮件
在des-server查看项目
通过web界面查看
至此一个完整到Gitlab runner就配置完成。
四.总结反思
gitlab-runner配置简单,与gitlab集成友好,无需单独搭建构建平台,告警有gitalb发送。当新建一个项目的时候,不需要配置webhook回调地址,将部署继承在代码的.gitlab-ci.yml 中易于维护管理。
gitlab-ci/cd没有代码审计,需要单独配置,随着业务增加,团队扩充需要单独构建代码审计平台。
如果小型Devops团队建议利用Gitlab CI/CD方便管理维护,如果大型gitlab ci/cd无法满足可以结合jenkins来实现CI/CD。
五.参考资料