Настройка Gitlab CI/CD для java приложения
1. Создание раннера
Для начала нам нужно организовать постоянно работающий процесс (runner), который будет выполнять все задачи по нашему CICD (т.е. задания билдинга, проверки, закрузки на сервер и выполнения в нём каких-то команд). Кстати, у гитлаба есть много разных публичных runner’ов, но, во-первых — я бы не хотел чтобы код моего закрытого репозитория улетал на какие-то непонятные раннеры, во-вторых — раннер надо настроить под конкретную задачу, чтобы адекватно кешировались промежуточные результаты и не тормозил весь процесс снова и снова проделывая одни и те же операции.
В общем, про установку гитлаб раннеров написано здесь. Я буду поднимать на имеющемся ubuntu сервере докер контейнер с раннером.
Установленный раннер регистрируется на gitlab и постоянно спрашивает у него новые задачи. Как только задача будет получена, то раннер создаёт ещё один докер-контейнер рядом с собой и задача уже выполняется в том контейнере. После выполнения контейнер удаляется. Для того чтобы это работало, раннеру, который сам будет запущен в докер-контейнере, будет нужен доступ к докеру хостовой машины, чтобы он сам мог создавать и запускать в нём другие контейнеры.
Для нормальной работы раннера нужно сохранять на жестком диске:
— конфигурацию раннера
— кэш раннера (кэш билдов + кэш maven)
Подготовлю директорию для хранения этих файлов:
mkdir /home/gitlab-runnermkdir /home/gitlab-runner/cachemkdir /home/gitlab-runner/cache/buildsmkdir /home/gitlab-runner/cache/mavenmkdir /home/gitlab-runner/config |
Теперь создам именованные volumes, которые понадабятся для настройки раннера (а именно — кэширования):
docker volume create --driver local -o o=bind -o type=none -o device=/home/gitlab-runner/cache/maven gitlab-runner-cachedocker volume create --driver local -o o=bind -o type=none -o device=/home/gitlab-runner/cache/builds gitlab-runner-builds |
Теперь нужно инициировать раннер, т.е. сгенерировать необходимые конфигурационные файлы, которые будут постоянно находиться в примаунтенном volume.
Для этого согласно документации выполняем команду:
docker run --rm -it --name gitlab_runner --mount type=bind,src=/home/gitlab-runner/config,destination=/etc/gitlab-runner --mount type=bind,src=/var/run/docker.sock,destination=/var/run/docker.sock gitlab/gitlab-runner register |
В консоль будет выведен запрос Enter the GitLab instance URL (for example, https://gitlab.com/):. Чтобы на него ответить, нужно зайти на свой гитлаб и перейти в репозиторий, для которого этот раннер настраивается. Далее Settings->CICD->Runners->Expand.
В разделе Specific runners указаны url и token. Вводим их в консоле при соответствующих запросах.
Далее в следующих запросах я вводил это:
- description: ubuntu_runner_1 #будет выводиться в списке раннеров как название раннер
- tags: javamaven #будет брать задачи только помеченные этим тэком (чтобы не брать, например, задачи сборки фронтенда)
- maintenance: knastnt #это можно не указывать
- executor: docker #х.з. что это, но в инструкции рекомендуют указывать docker
- default docker image: openjdk:11 #образ, на основе которого будут выполняться задачи
В результате регистрации в папке конфигов должен появиться файл config.toml.
Для того, чтобы все задачи могли использовать общий кэш, меняем в нём секцию volumes с:
volumes = ["/cache"] |
на:
volumes = ["gitlab-runner-builds:/builds", "gitlab-runner-cache:/cache"] |
в которой указываем ранее созданные volume’s.
В итоге получится файл следующего содержания cat /home/gitlab-runner/config/config.toml:
concurrent = 1check_interval = 0[session_server] session_timeout = 1800[[runners]] name = "ubuntu_runner_1" url = "https://gitlab.com/" token = "qwertyqwertyqwerty" executor = "docker" [runners.custom_build_dir] [runners.cache] [runners.cache.s3] [runners.cache.gcs] [runners.cache.azure] [runners.docker] tls_verify = false image = "openjdk:11" privileged = false disable_entrypoint_overwrite = false oom_kill_disable = false disable_cache = false volumes = ["gitlab-runner-builds:/builds", "gitlab-runner-cache:/cache"] shm_size = 0 |
Теперь запускаем раннер и идём в гитлаб его искать:
docker run --rm -d --name gitlab_runner --mount type=bind,src=/home/gitlab-runner/config,destination=/etc/gitlab-runner --mount type=bind,src=/var/run/docker.sock,destination=/var/run/docker.sock gitlab/gitlab-runner |
А вот и он:
Ещё нужно отключить использование публичных раннеров, чтобы они не лезли и не мешали жить (Enable shared runners for this project = false):
Особо не примудрствуя, я написал bash скрипт, который будет использоваться для старта раннера и для его перезагрузки:
#/bin/shecho "(Re)Start gitlab runner:"docker rm -f gitlab_runnerdocker run --rm -d --name gitlab_runner --mount type=bind,src=/home/gitlab-runner/config,destination=/etc/gitlab-runner --mount type=bind,src=/var/run/docker.sock,destination=/var/run/docker.sock gitlab/gitlab-runnerecho "Done." |
2. Настройка CI/CD в репозитории
Для этого нужно создать файл .gitlab-ci.yml, который будет содержать информацию о шагах (stages) и описании действий в каждом шаге.
В моём скрипте будут следующие шаги:
- build. Шаг, в котором будет собираться проект, т.е. выполнятся команда mvn compile. В этом шаге будет выкачан из интернета набор maven зависимостей и помещён в кэш, а также выполнится проверка возможности компиляции проекта.
- test. Шаг, на котором будут выполняться тесты. Этот шаг будет использовать заранее подготовленный кэш + докачаются зависимости необходимые для тестов.
- package. В результате этого шага будет сгенерирован jar и помещён в артифакты. Кстати, сгенерированные артифакты можно выкачать с самого гитлаба со страницы job’а.
- deploy. Самый трудный шаг, в котором нужно будет подключиться к удалённому серверу, закинуть туда jar и выполнить все команды по его инициализации. Этот шаг будет с речным запуском (не будет вызываться автоматически), кроме одной ветки — production.
В общем, вот мой рабочий .gitlab-ci.yml:
image: maven:3.8.6-jdk-11stages: - build - test - package - deploybuild: stage: build tags: - javamaven script: - 'mvn compile -Dmaven.repo.local=./.m2/repository' cache: paths: - ./target - ./.m2test: stage: test tags: - javamaven script: - 'mvn test -Dmaven.repo.local=./.m2/repository' cache: paths: - ./target - ./.m2package: stage: package tags: - javamaven script: - 'mvn package -Dmaven.repo.local=./.m2/repository -Dmaven.test.skip=true' artifacts: paths: - target/*.jar cache: policy: pull paths: - ./target - ./.m2deploy: stage: deploy tags: - javamaven rules: - if: $CI_COMMIT_BRANCH == "production" when: on_success - when: manual script:# Start update: - apt-get update# Update done. Start create authentication key: - echo -n "$DEPLOY_KEY" > key - chmod 600 key# Creating authentication key done. Start creating script for adding this key into ssh-agent: - touch r.sh - echo '#!/usr/bin/expect -f' >> r.sh - echo "spawn ssh-add key" >> r.sh - echo "expect \"Enter passphrase for key:\"" >> r.sh - echo "send $DEPLOY_KEY_PASS\r" >> r.sh# duplicate this because it's not work from first time. I dont know - echo "spawn ssh-add key" >> r.sh - echo "expect \"Enter passphrase for key:\"" >> r.sh - echo "send $DEPLOY_KEY_PASS\r" >> r.sh - echo "interact" >> r.sh - chmod +x r.sh# Creating script done. Install Expect - apt-get install expect -y# Installing Expect done. Start ssh-agent - eval `ssh-agent`# Ssh-agent started. Run script and remove it with key - ./r.sh - rm r.sh - rm key# Running script done. Start other native commands: - ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@$DEPLOY_DEST_HOST -p$DEPLOY_DEST_PORT "cd $DEPLOY_DEST_APP_BACK_PATH; pkill java; rm app.jar" - scp -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -P $DEPLOY_DEST_PORT target/app.jar root@$DEPLOY_DEST_HOST:$DEPLOY_DEST_APP_BACK_PATH/app.jar - ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no root@$DEPLOY_DEST_HOST -p$DEPLOY_DEST_PORT "cd $DEPLOY_DEST_APP_BACK_PATH; nohup java -verbose:gc -Xloggc:gc.log -XX:+PrintGCDetails -jar $DEPLOY_DEST_APP_BACK_PATH/app.jar --spring.config.location=file://$DEPLOY_DEST_APP_BACK_PATH/app.properties >/dev/null 2>&1 &" |
Ситуацию значительно усложнол тот факт, что для подключения к удалённому серверу у меня есть единственный ключ, который защищён паролем, но у ssh нет такой команды, которая позводяет передать этот пароль. Поэтому пришлось извращаться. Но по хорошему, Вам нужно сгенерировать отдельный ключ для деплоя и не защищать его паролем. Это будет гораздо проще.
Здесь же используется ssh-agent, в который закидывается ключ. При закидывании он спрашивает пароль, который с пишу при помощи библиотеки expect, которую тоже нужно установить. Процесс закидования ключа в ssh-agent организовывается внутри скрипта r.sh. После выполнения которого всё идёт нормальным чередом. Если у вас ключ не защищён паролем, то Вы просто используете директиву ssh -i yourkey и радуетесь, ведь заморочка с ssh-agent, expect и r.sh не понадобится.
Чтобы это всё заработало, нужно создать переменные окружения в gitlab (Settings->CICD->Variables->Expand):
- DEPLOY_KEY = ваш приватный ключ в формате OpenSSH. (начнётся c ——BEGIN RSA PRIVATE KEY——). Можно сгенерировать или сконвертировать при помощи PuTTYgen
- DEPLOY_KEY_PASS = у меня это пароль к ключу, Вам может быть он и не нужен, если Ваш ключ без пароля
- DEPLOY_DEST_HOST = ip сервера куда будем грузить jar
- DEPLOY_DEST_PORT = порт подключения ssh
- DEPLOY_DEST_APP_BACK_PATH = директория, куда будем грузить jar
Заранее нужно на сервере подготовить эту директорию и положить в неё app.properties для старта задеплоенного приложения.
Готово. Теперь можно наблюдать Ваши пайплайны в CI/CD->Pipelines