构建CI/CD
前言
题目如下:
构建CI/CD
编写流水线脚本.gitlab-ci.yml触发自动构建,具体要求如下:
(1)基于镜像maven:3.6-jdk-8构建项目的drone分支;
(2)构建镜像的名称:demo:latest;
(3)将镜像推送到Harbor仓库demo项目中;
(4)将demo-2048应用自动发布到Kubernetes集群gitlab-ci命名空间下。
.gitlab-ci.yml
是 GitLab 中用来定义 CI/CD 流水线的配置文件,可以自动化执行定义的任务,并且在不同的环境中运行。通过.gitlab-ci.yml
,我们可以将项目的 CI/CD 流程集成到GitLab中,并利用其自动化功能来提高开发效率、减少部署错误。
使用的环境是之前搭建的容器云平台:2024广东省职业技能大赛云计算赛项实战——容器云平台搭建-CSDN博客,只有master节点,使用的IP是192.168.200.15/24
并且根据之前文章的操作部署了GitLab、GitLab Runner,和将K8S连接到GitLab中:2024广东省职业技能大赛云计算赛项实战——集群部署GitLab-CSDN博客、2024广东省职业技能大赛云计算赛项实战——集群部署GitLab Runner-CSDN博客、2024广东省职业技能大赛云计算赛项实战——集群部署GitLab Agent-CSDN博客
操作过程
我们先在浏览器输入宿主机IP访问Harbor,使用用户名/密码:admin/Harbor12345进行登录
在项目主页点击"新建项目",根据题目要求设置项目名为demo。将项目设为公开,然后确定,创建项目
提供的项目包里其实是有一个.gitlab-ci.yml
文件的,但是并不完全,需要我们修改一下
我们来到GitLab的Web界面,点击demo-2048项目左侧导航栏的"Code"→"Repository",切换到drone分支,可以在上方看到一个.gitlab-ci.yml
文件,我们点击名称进去查看
将其内容复制
点击左侧导航栏的“Build”→“Pipeline editor”,切换到drone分支,点击"Configure pipeline"配置CI/CD管道
将我们复制的内容粘贴进去并修改
#修改前:
stages:
- build
- release
- review
variables:
MAVEN_OPTS: "-Dmaven.repo.local=/opt/cache/.m2/repository"
maven_build:
image: maven:3.6-jdk-8
stage: build
only:
- drone
script:
- cp -r /opt/repository /opt/cache/.m2/
- mvn clean install -DskipTests=true
- cd target && jar -xf 2048.war
- cp -rfv 2048 /home/gitlab-runner/ci-build-cache
image_build:
image: docker:18.09.7
stage: release
variables:
DOCKER_DRIVER: overlay2
DOCKER_HOST: tcp://localhost:2375
#启用调试模式,在执行作业时会输出额外的调试信息,包括所有执行的命令、环境变量设置和脚本的输出等等。
#对于排查CI/CD作业中的问题非常有用,这个文件的编写者没有把它删掉,而是注释了
#是不是在侧面告诉了我们,这个文件并不完全呢~
#CI_DEBUG_TRACE: "true"
services:
- name: docker:18.09.7-dind
entrypoint: ["dockerd-entrypoint.sh"]
command: ["--insecure-registry", "10.24.2.14"]
script:
- docker login -u "${REGISTRY_USER}" -p "${REGISTRY_PASSWORD}" "${REGISTRY}"
- cp -rfv /home/gitlab-runner/ci-build-cache/2048 .
- sed -i "s/10.24.2.3/$REGISTRY/g" ./Dockerfiles/Dockerfile
- docker build -t "${REGISTRY_IMAGE}:latest" -f ./Dockerfiles/Dockerfile .
- docker tag "${REGISTRY_IMAGE}:latest" "${REGISTRY}/${REGISTRY_PROJECT}/${REGISTRY_IMAGE}:latest"
- docker push "${REGISTRY}/${REGISTRY_PROJECT}/${REGISTRY_IMAGE}:latest"
deploy_review:
image: kubectl:1.22
stage: review
only:
- drone
script:
- sed -i "s/REGISTRY/$REGISTRY/g" template/demo-2048.yaml
- kubectl apply -f template/
可以看到文件里多处使用了变量
我们需要设置这些变量的值。根据操作的内容不难判断出:
由于进行了docker login命令登录Harbor注册表,所以:
REGISTRY_USER
是我们Harbor的用户名
REGISTRY_PASSWORD
是我们Harbor的密码
REGISTRY
是我们Harbor的地址
题目要求我们将构建的镜像命名为demo:latest,所以docker build操作里面的
REGISTRY_IMAGE
的值要设置为demo
题目还要求我们将镜像推送到Harbor仓库demo项目中,所以docker push操作里面的
REGISTRY_PROJECT
的值也是demo
#修改后:
stages:
- build
- release
- review
variables:
MAVEN_OPTS: "-Dmaven.repo.local=/opt/cache/.m2/repository"
REGISTRY_USER: "admin"
REGISTRY_PASSWORD: "Harbor12345"
REGISTRY: "192.168.200.15"
REGISTRY_IMAGE: "demo"
REGISTRY_PROJECT: "demo"
maven_build:
##
image: maven:3.6-jdk-8
stage: build
only:
- drone
##满足题目要求1,基于镜像maven构建项目的drone分支
script:
- cp -r /opt/repository /opt/cache/.m2/
- mvn clean install -DskipTests=true
- cd target && jar -xf 2048.war
#这个目录需要我们自行创建
- mkdir -p /home/gitlab-runner/ci-build-cache
- cp -rfv 2048 /home/gitlab-runner/ci-build-cache
image_build:
image: docker:18.09.7
stage: release
#这里让我很疑惑,因为正常而言,在进行docker login操作时,默认是使用更安全的https进行连接,访问的是443端口,而我们的Harbor是启用的http,使用80端口。
#如果不做任何准备直接连接的话肯定是无法连接上的,所以文件的编写者才写了下面一大段,在command: ["--insecure-registry", "${REGISTRY}"]的这个地方,
#配置了docker的守护程序,让其允许连接到指定的不安全注册表地址,但是我当时在做这道题的时候却发现,无论我怎么改,docker login还是强制使用https,访问443端口,导致无法连接上。
#我当时猜想,也许是语法错误的原因没有生效,于是用了各种设置方式,此路不通,然后我猜想,会不会是使用镜像的问题,毕竟它提供的docker镜像里还有20.10.12版本以及其dind版本的,挨个尝试还是不行。
#我也尝试过在entrypoint:里使用"--tls=false",让Docker守护进程在启动时不使用TLS,不使用加密通信,结果还是以失败告终。然而,当我把这一段都删掉时,他居然莫名其妙的成功了,这让我百思不得其解...
#variables:
# DOCKER_DRIVER: overlay2
# DOCKER_HOST: tcp://localhost:2375
#CI_DEBUG_TRACE: "true"
#services:
# - name: docker:18.09.7-dind
# entrypoint: ["dockerd-entrypoint.sh"]
# command: ["--insecure-registry", "${REGISTRY}"]
script:
- docker login -u "${REGISTRY_USER}" -p "${REGISTRY_PASSWORD}" "${REGISTRY}"
- cp -rfv /home/gitlab-runner/ci-build-cache/2048 .
- sed -i "s/10.24.2.3/$REGISTRY/g" ./Dockerfiles/Dockerfile
#满足要求2,构建镜像名称为demo:latest
- docker build -t "${REGISTRY_IMAGE}:latest" -f ./Dockerfiles/Dockerfile .
- docker tag "${REGISTRY_IMAGE}:latest" "${REGISTRY}/${REGISTRY_PROJECT}/${REGISTRY_IMAGE}:latest"
#满足要求3,将镜像推送到Harbor的demo项目中
- docker push "${REGISTRY}/${REGISTRY_PROJECT}/${REGISTRY_IMAGE}:latest"
deploy_review:
image: kubectl:1.22
stage: review
only:
- drone
script:
- sed -i "s/REGISTRY/$REGISTRY/g" template/demo-2048.yaml
- kubectl apply -f template/
至于要求4,将应用自动发布到集群的gitlab-ci命名空间下这个要求,它在构建2048的yaml文件中已经完成了
[root@k8s-master-node1 gitlab-ci]# cat demo-2048/template/demo-2048.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: demo-2048
namespace: gitlab-ci #可以看到已经帮我们指定命名空间了
...
在执行脚本之前,我们还需要做一个操作,再次之前,我们先看一下构建2048的Dockerfile文件
[root@k8s-master-node1 gitlab-ci]# cat demo-2048/Dockerfiles/Dockerfile
FROM 10.24.2.3/library/tomcat:8.5.64-jdk8
RUN rm -rf /usr/local/tomcat/webapps/ROOT/
ADD 2048 /usr/local/tomcat/webapps/ROOT/
重点关注第一行,这里的ip地址在.gitlab.yml文件里我们已经通过sed命令改成Harbor仓库的地址了。可以看见,它基于的镜像是Harbor仓库的library项目里面的tomcat:8.5.64-jdk8这个镜像。但是我们的Harbor仓库还是空的呀,所以我们需要将这个镜像上传过去。
我们来到Harbor仓库,点击library项目进来,点击推送命令就可以查看上传镜像的命令示例
我们根据示例修改一下就行了
#首先先登录到Harbor注册表
[root@k8s-master-node1 gitlab-ci]# docker login -u admin -p Harbor12345 192.168.200.15
...
Login Succeeded
#给镜像打个标签
[root@k8s-master-node1 gitlab-ci]# docker tag tomcat:8.5.64-jdk8 192.168.200.15/library/tomcat:8.5.64-jdk8
#推送镜像
[root@k8s-master-node1 gitlab-ci]# docker push 192.168.200.15/library/tomcat:8.5.64-jdk8
成功后我们在Harbor仓库的library里能看见多了镜像
OK,现在我们可以执行流水线脚本了,直接点击下面的"Commit changes"
点击左侧导航栏的"Build"→"Pipelines"等待执行结果就行
居然报错了?!
原来是我的服务账号gitlab-ci:default没有足够的权限来获取和操作deployments和services资源啊
小问题,咱是在搞CI/CD,容错率大得很
#在gitlab-ci创建一个role,设置其对deployments和services的权限
[root@k8s-master-node1 gitlab-ci]# kubectl create role gitlab-role \
--verb=get,watch,list,create,update,patch,delete --resource=deployments.apps \
--verb=get,watch,list,create,update,patch,delete --resource=services -n gitlab-ci
#进行角色绑定,绑定角色为上面创建的role,绑定的服务账户为gitlab-ci:default
[root@k8s-master-node1 gitlab-ci]# kubectl create rolebinding gitlab-binding --role=gitlab-role --serviceaccount=gitlab-ci:default -n gitlab-ci
重新运行,解决
来到Harbor,可以看到demo项目下面多了个镜像
#来到宿主机,查看一下pod状态
[root@k8s-master-node1 gitlab-ci]# kubectl get pod -n gitlab-ci -owide
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES
demo-2048-56f5dddb69-sbgpg 1/1 Running 1 (73m ago) 4h57m 10.244.0.51 k8s-master-node1 <none> <none>
...
#查看一下服务状态
[root@k8s-master-node1 gitlab-ci]# kubectl get svc -n gitlab-ci
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
demo-2048 NodePort 10.96.106.201 <none> 8080:8889/TCP 4m59s
gitlab NodePort 10.96.55.63 <none> 80:30880/TCP 104m
#可以看到外部暴露的端口是8889
后语
至此,这道题的要求都满足了,此题完成。同时整个项目也完成了
我们可以直接在浏览器输入ip:8889访问2048的游戏界面进行游戏,点击"New Game"按钮,通过键盘方向键操作进行游玩~