摘要:集成測試完成后,由運維同學從發起一個到分支,此時會會運行單元測試�����,構建鏡像���,并發布到預發布環境測試人員在預發布環境下再次驗證功能���,團隊做上線前的其他準備工作運維同學合并����,將為本次發布的代碼及鏡像自動打上版本號并書寫,同時發布到生產環境��。
云原生 (Cloud Native) 是伴隨的容器技術發展出現的的一個詞����,最早出自 Pivotal 公司(即開發了 Spring 的公司)的一本技術小冊子 Migrating to Cloud-Native Application Architectures�����, 其中定義了云原生應用應當具備的一些特質�,如無狀態�、可持續交付、微服務化等��。隨后云原生概念被廣為引用���,并圍繞這一概念由數家大廠牽頭�����,成立了 CNCF 基金會來推進云原生相關技術的發展�����,主要投資并孵化云原生生態內的若干項目�����,包括了如 Kubernetes / etcd / CoreDNS 等耳熟能詳的重要項目。而這張大大的云原生版圖仍然在不斷的擴展和完善�。
從個人理解來說���,傳統的應用由于年代久遠����,更多會考慮單機部署���、進程間通信等典型的“單機問題”���,雖然也能工作在容器下����,但由于歷史包袱等原因���,架構上已經很難做出大的調整�����。而“云原生”的應用大都是從一開始就為容器而準備�����,很少考慮在單機環境下使用,有些甚至無法脫離容器環境工作���;考慮的場景少,從而更輕量�����,迭代更快�。比如 etcd 之于 zookeeper , traefik 之于 nginx 等���,相信只要在容器環境下實現一次同樣的功能,就能強烈的體會到云原生應用所特有的便捷之處��。
在 CNCF 的版圖下���,持續集成與持續交付(Continuous Integration & Delivery)板塊一直缺少一個欽定的主角��,雖然也不乏 Travis CI、GitLab�、Jenkins 這樣的知名項目����,但最能給人云原生應用感覺的���,應該還是 Drone 這個項目��,本文將圍繞 Drone 結合 GitFlow 及 Kubernetes 介紹一些容器環境下持續集成���、持續發布 (CI/CD) 方面的實踐經驗��。
主流 CI/CD 應用對比
之前我也介紹過基于 Travis CI 的一些持續集成實踐。后來經過一些比較和調研,最終選擇了 Drone 作為主力 CI 工具��。截止本文�����,團隊已經使用 Drone 有 2 年多的時間�,從 v0.6 一路用到現在即將發布的 v1.0�,雖然也踩了不少坑,但總的來說 Drone 還是可以滿足大部分需求,并以不錯的勢頭在完善和發展的。
下面這張表總結了主流的幾個 CI/CD 應用的特點
| 項目名稱 |
開發語言 |
配置語言 |
公有云服務 |
私有部署 |
備注 |
| Travis CI |
Ruby |
YAML |
有 |
不支持 |
公共項目免費,私有項目 $69/單進程, $129/2 進程 |
| CircleCI |
Clojure |
YAML |
有 |
不支持 |
單進程免費���,$50/加 1 進程 |
| Gitlab CI |
Ruby |
YAML |
有 |
支持 |
綁定 Gitlab 代碼管理 |
| Jenkins |
Java |
Groovy |
無 |
支持 |
|
| Drone |
Go |
YAML |
有 |
支持 |
Cloud 版本不支持私有項目,自建版本無此限制 |
Travis CI 和 CircleCI 是目前占有率最高的兩個公有云 CI��,易用性上相差無幾,只是收費方式有差異。由于不支持私有部署,如果并行的任務量一大,按進程收費其實并不劃算����;而且由于服務器位置的原因��,如果推送鏡像到國內�����,速度很不理想���。
Gitlab CI 雖然好用��,但和 Gitlab 是深度綁定的,我們的代碼托管在 Github,整體遷移代碼庫的成本太大,放棄。
Jenkins 作為老牌勁旅���,也是目前市場占有率最高的 CI,幾乎可以覆蓋所有 CI 的使用場景,由于使用 Java 編寫���,配置文件使用 Groovy 語法,非常適合 Java 為主語言的團隊。Jenkins 顯然是可以滿足我們需要的,只是團隊并非 Java 為主�����,又已經習慣了使用 YAML 書寫 CI 配置����,抱著嘗鮮的心態,將 Jenkins 作為了保底的選擇����。
綜上��,最終選擇 Drone 的結論也就不難得出了,Drone 即開源�,又可以私有化部署��,同時作為云原生應用,官方提供了針對 Docker��、Docker Swarm�、K8s 等多種容器場景下的部署方案,針對不同容器場景還有特別優化��,比如在 Docker Swarm 下 Drone 是以 agent 方式運行 CI 任務的����,而在 K8s 下則通過創建 K8s Job 來實現�,顯然充分利用了容器的優勢所在,這也是 Drone 優于其他 CI 應用之處��。個人還覺得 Drone 的語法是所有 CI 中最容易理解和掌握的��,由于 Drone 每一個步驟都是運行一個 Docker 容器����,本地模擬或調試也非常容易��。
一句話概況 Drone���,可以將其看做是可以支持私有化部署的開源版 CircleCI�,并且目前仍然沒有看到有其他主打這個定位的 CI 工具�����,因此個人認為 Drone 是 CI/CD 方面云原生應用頭把交椅的有力競爭者�����。
容器環境下一次規范的發布應該包含哪些內容
技術選型完成后,我想首先演示一下最終的成果�,希望能直觀的體現出 CI 對自動化效率起到的提升�,不過這就涉及到一個問題:在容器環境下����,一次發布應該包含哪些內容,其中有哪些部分是可以被 CI 自動化完成的���。這個問題雖然每家公司各不相同,不過按經驗來說�,容器環境下一次版本發布通常包含這樣一個 Checklist:
[ ] 代碼的下載構建及編譯
[ ] 運行單元測試��,生成單元測試報告及覆蓋率報告等
[ ] 在測試環境對當前版本進行測試
[ ] 為待發布的代碼打上版本號
[ ] 編寫 ChangeLog 說明當前版本所涉及的修改
[ ] 構建 Docker 鏡像
[ ] 將 Docker 鏡像推送到鏡像倉庫
[ ] 在預發布環境測試當前版本
[ ] 正式發布到生產環境
看上去很繁瑣對嗎,如果每次發布都需要人工去處理上述的所有內容��,不僅容易出錯����,而且也無法應對 DevOps 時代一天至少數次的發布頻率,那么下面就來使用 CI 來解決所有問題吧����。
CI 流程演示
為了對 CI 流程有最直觀的認識���,我創建了一個精簡版的 Github 項目 AlloVince/drone-ci-demo 來演示完整的流程��,同時項目對應的 CI 地址是 cloud.drone.io/AlloVince/drone-ci-demo ,項目自動構建的 Docker 鏡像會推送到 docker registry 的 allovince/drone-ci-demo���,。為了方便說明�,假設這個項目的核心文件只有 index.html 一個靜態頁面�。
單人開發模式
目前這個項目背后的 CI 都已經配置部署好���,假設我是這個項目的唯一開發人員�,如何開發一個新功能并發布新版本呢?
Clone 項目到本地�����, 修改項目代碼��, 如將 Hello World 改為 Hello World V2��。
git add .,然后書寫符合約定的 Commit 并提交代碼����, git commit -m "feature: hello world v2”
推送代碼到代碼庫git push�����,等待數分鐘后�����,開發人員會看到單元測試結果���,Github 倉庫會產生一次新版本的 release���,release 內容為當前版本的 ChangeLog�����, 同時線上已經完成了新功能的發布。
雖然在開發者看來����,一次發布簡單到只需 3 個指令�,但背后經過了如下的若干次交互����,這是一次發布實際產生交互的時序圖,具體每個環節如何工作將在后文中詳細說明。
多人開發模式
一個項目一般不止一個開發人員����,比如我是新加入這個項目的成員�,在這個 Demo 中應該如何上線新功能呢���?同樣非常簡單:
Clone 項目到本地���,創建一個分支來完成新功能的開發, git checkout -b feature/hello-world-v3���。在這個分支修改一些代碼����,比如將Hello World V2修改為Hello World V3
git add .,書寫符合規范的 Commit 并提交代碼�����, git commit -m "feature: hello world v3”
將代碼推送到代碼庫的對應分支��, git push origin feature/hello-world
如果功能已經開發完畢����,可以向 Master 分支發起一個 Pull Request�,并讓項目的負責人 Code Review
Review 通過后,項目負責人將分支合并入主干��,Github 倉庫會產生一次新版本的 release�����,同時線上已經完成了新功能的發布�����。
這個流程相比單人開發來多了 2 個環節,很適用于小團隊合作,不僅強制加入了 Code Review 把控代碼質量,同時也避免新人的不規范行為對發布帶來影響����。實際項目中���,可以在 Github 的設置界面對 master 分支設置寫入保護,這樣就從根本上杜絕了誤操作的可能���。當然如果團隊中都是熟手,就無需如此謹慎�����,每個人都可以負責 PR 的合并���,從而進一步提升效率�����。
GitFlow 開發模式
在更大的項目中����,參與的角色更多�����,一般會有開發��、測試、運維幾種角色的劃分��;還會劃分出開發環境�、測試環境、預發布環境���、生產環境等用于代碼的驗證和測試;同時還會有多個功能會在同一時間并行開發�??上攵?CI 的流程也會進一步復雜��。
能比較好應對這種復雜性的���,首選 GitFlow 工作流, 即通過并行兩個長期分支的方式規范代碼的提交。而如果使用了 Github���,由于有非常好用的 Pull Request 功能,可以將 GitFlow 進行一定程度的簡化,最終有這樣的工作流:
以 dev 為主開發分支��,master 為發布分支
開發人員始終從 dev 創建自己的分支�����,如 feature-a
feature-a 開發完畢后創建 PR 到 dev 分支�,并進行 code review
review 后 feature-a 的新功能被合并入 dev����,如有多個并行功能亦然
待當前開發周期內所有功能都合并入 dev 后���,從 dev 創建 PR 到 master
dev 合并入 master���,并創建一個新的 release
上述是從 Git 分支角度看代碼倉庫發生的變化����,實際在開發人員視角里���,工作流程是怎樣的呢�。假設我是項目的一名開發人員,今天開始一期新功能的開發:
Clone 項目到本地��,git checkout dev����。從 dev 創建一個分支來完成新功能的開發, git checkout -b feature/feature-a。在這個分支修改一些代碼�,比如將Hello World V3修改為Hello World Feature A
git add .��,書寫符合規范的 Commit 并提交代碼, git commit -m "feature: hello world feature A"
將代碼推送到代碼庫的對應分支��, git push origin feature/feature-a:feature/feature-a
由于分支是以feature/命名的����,因此 CI 會運行單元測試�,并自動構建一個當前分支的鏡像,發布到測試環境�����,并自動配置一個當前分支的域名如 test-featue-a.avnpc.com
聯系產品及測試同學在測試環境驗證并完善新功能
功能通過驗收后發起 PR 到 dev 分支��,由 Leader 進行 code review
Code Review 通過后���,Leader 合并當前 PR��,此時 CI 會運行單元測試,構建鏡像,并發布到測試環境
此時 dev 分支有可能已經積累了若干個功能,可以訪問測試環境對應 dev 分支的域名,如 test.avnpc.com�,進行集成測試�。
集成測試完成后����,由運維同學從 Dev 發起一個 PR 到 Master 分支,此時會 CI 會運行單元測試,構建鏡像,并發布到預發布環境
測試人員在預發布環境下再次驗證功能��,團隊做上線前的其他準備工作
運維同學合并 PR����,CI 將為本次發布的代碼及鏡像自動打上版本號并書寫 ChangeLog,同時發布到生產環境�����。
由此就完成了上文中 Checklist 所需的所有工作����。雖然描述起來看似冗長����,但不難發現實際作為開發人員,并沒有任何復雜的操作��,流程化的部分全部由 CI 完成�,開發人員只需要關注自己的核心任務:按照工作流規范,寫好代碼��,寫好 Commit��,提交代碼即可���。
接下來將介紹這個以 CI 為核心的工作流���,是如何一步步搭建的���。
Step by Step 構建 CI 工作流
Step.0: 基于 K8s 部署 Drone v1.0.0
以 Github 為例����,截止本文完成時間(2019 年 3 月 28 日), Drone 剛剛發布了第一個正式版本 v1.0.0��。官方文檔已經提供了分別基于 Docker���、K8s 的 Drone 部署說明�����,不過比較簡略����,因此這里給出一個相對完整的配置文件���。
首先需要在 Github 創建一個 Auth App���,用于 repo 的訪問授權�����。應用創建好之后,會得到 Client ID 和 Client Secret ��。同時 Authorization callback URL 應填寫 Drone 服務對應域名下的 /login�,如https://ci.avnpc.com/login
Drone 支持 SQLite、MySQL���、Postgres、S3 等多種后端存儲��,主要用于記錄 build logs 等文本信息�����,這些信息并不是特別重要����,且我們的 CI 有可能做遷移�����,因此個人更推薦使用 SQLite�����。
而在 K8s 環境下,SQLite 更適合用掛載 NAS 的方式供節點使用,因此首先將存儲的部分獨立為文件drone-pvc.yml���,可以根據實際情況配置 nfs.path 和 nfs.server
kubectl apply -f drone-pvc.yaml
Drone 的配置主要涉及兩個鏡像:
drone/kubernetes-secrets 加密數據服務����,用于讀取 K8s 的 secrets
drone/drone:1.0.0-rc.6 就是 Drone 的 server 端,由于在 K8s 下 Drone 利用了 Job 機制,因此不需要部署 agent���。
這部分配置較長,可以直接參考示例 drone.yaml
主要涉及到的配置項包括:
drone/kubernetes-secrets 鏡像中
SECRET_KEY: 數據加密傳輸所用的 key,可以使用 openssl rand -hex 16 生成一個
drone/drone鏡像中
DRONE_KUBERNETES_ENABLED: 開啟 K8s 模式
DRONE_KUBERNETES_NAMESPACE: Drone 所使用的 Namespace�����, 這里使用 default
DRONE_GITHUB_SERVER: Github 服務器地址��,一般為 https://github.com
DRONE_GITHUB_CLIENT_ID: 上文創建 Github Auth App 得到的 Client ID
DRONE_GITHUB_CLIENT_SECRET: 上文創建 Github Auth App 得到的 Client Secret
DRONE_SERVER_HOST: Drone 服務所使用的域名
DRONE_SERVER_PROTO: http 或 https
DRONE_DATABASE_DRIVER: Drone 使用的數據庫類型�����,這里為 sqlite3
DRONE_DATABASE_DATASOURCE: 這里為 SQLite 數據庫的存放路徑
DRONE_SECRET_SECRET: 對應上文的 SECRET_KEY
DRONE_SECRET_ENDPOINT: 加密數據服務的地址,這里通過 k8s service 暴露,無需修改
最后部署即可
kubectl apply -f drone.yaml
部署后首次登錄 Drone 就會跳轉到 Github Auth App 進行授權�����,授權完畢后可以看到所有能讀寫的 Repo�����,選擇需要開啟 CI 的 Repo�����,點擊 ACTIVATE 即可�����。 如果開啟成功�����,在 Github Repo 的 Settings > Webhooks 下可以看到 Drone 的回調地址��。
Step.1: Hello World for Drone
在正式開始搭建工作流之前,首先可以測試一下 Drone 是否可用。Drone 默認的配置文件是 .drone.yml����, 在需要 CI 的 repo 根目錄下創建.drone.yml��, 內容如下,提交并git push到代碼倉庫即可觸發 Drone 執行 CI。
kind: pipeline
name: deploy
steps:
- name: hello-world
image: docker
commands:
- echo "hello world"
Drone v1 的語法主要參考的 K8s 的語法�����,非常直觀�����,無需閱讀文檔也可以知道��,我們首先定義了一個管道 (pipeline),管道由若干步驟 (step) 組成����,Drone 的每個步驟是都基于容器實現的����,因此 Step 的語法就回到了我們熟悉的 Docker���,一個 Step 會拉取 image 定義的鏡像��,然后運行該鏡像�,并順序執行 commands 定義的指令�。
在上例中�����,Drone 首先 clone git repo 代碼到本地���,然后根據 .drone.yml 所定義的�����,拉取 Docker 的官方鏡像,然后運行該進行并掛載 git repo 的代碼到 /drone/src 目錄�。
在 Drone 的界面中����,也可以清楚的看到這一過程�����。
本階段對應
代碼部分: https://github.com/AlloVince/...
Drone 構建記錄: https://cloud.drone.io/AlloVi...
Docker 鏡像: 無
Step.2: 單人工作流���,自動化單元測試與 Docker 鏡像構建
有了 Hello World 的基礎���,接下來我們嘗試將這個工作流進行擴充���。
為了方便說明�����,這里假設項目語言為 js�,項目內新增了test/index.js文件用于模擬單元測試�,一般在 CI 中�,只要程序的返回值為 0,即代表運行成功�。這個文件中我們僅僅輸出一行 Log Unit test passed用于模擬單元測試通過�。
我們希望將代碼打包成 Docker 鏡像�,根目錄下增加了 Dockerfile 文件,這里直接使用 Nginx 的官方鏡像��,構建過程只有 1 行COPY index.html /usr/share/nginx/html/�, 這樣鏡像運行后可以通過 http 請求看到index.html的內容。
至此我們可以將工作流改進為:
當 master 分支接收到 push 后���,運行單元測試
當 github 發布一次 release, 構建 Docker 鏡像���,并推送到鏡像倉庫
對應的 Drone 配置文件如下
kind: pipeline
name: deploy
steps:
- name: unit-test
image: node:10
commands:
- node test/index.js
when:
branch: master
event: push
- name: build-image
image: plugins/docker
settings:
repo: allovince/drone-ci-demo
username: allovince
password:
from_secret: DOCKER_PASSWORD
auto_tag: true
when:
event: tag
雖然比 Hello World 復雜了一些,但是可讀性仍然很好�,配置文件中出現了幾個新概念:
Step 運行條件�, 即 when 部分�,上例中展示了當代碼分支為 master,且收到一個 push�;以及當代碼被標記 tag 這兩種情況�。Drone 還支持 repo���、運行結果等很多其他條件�����,可以參考 Drone Conditions 文檔���。
Plugin 插件��,上例中用于構建和推送鏡像的是 plugins/docker 這個 Plugin, 一個 Plugin 本質上仍然是一個 Docker 鏡像�,只是按照 Drone 的規范接受特定的輸入�,并完成特定的操作�����。所以完全可以將 Plugin 看做一個無法更改 command 的 Docker 鏡像。
Docker 這個 Plugin 由 Drone 官方提供,用于 Docker 鏡像的構建和推送,具體的用法可以查看Docker 插件的文檔 ����。例子中演示的是將鏡像推送到私有倉庫�����,如果不做特殊配置,鏡像將被推送到 Docker 的官方倉庫。
此外 Docker 插件還有一個很方便的功能���,如果設置 auto_tag: true,將根據代碼的版本號自動規劃 Docker 鏡像的標簽���,如代碼版本為1.0.0,將為 Docker 鏡像打三個標簽 1, 1.0, 1.0.0��。如果代碼版本號不能被解析�,則鏡像標簽為 latest。
目前 Drone 的插件已經有很多��,可以覆蓋主流的云服務商和常見的工作流��,并且自己制作插件的成本也不高����。
Secret 加密數據�,鏡像倉庫的用戶名和密碼都屬于敏感信息,因此可以使用 from_secret 獲取加密數據。一條加密數據就是一個 key / value 對,如上例中的 DOCKER_PASSWORD 就是我們自己定義的加密數據 key��。即便加密數據在 log 中被打印�����,UI 也只能看到 ***��。加密數據的 value 需要提前保存好,保存的方式有 3 種:
通過 Drone UI 界面中, repo -> Settings -> Secrets 添加����,所添加的加密數據將保存在 Drone 的數據庫中,僅能在當前 repo 中使用�。
通過Drone cli 加密后保存在 .drone.yml文件中��, 使用范圍僅限 yaml 文件內
通過 K8s 保存為K8s Secret��,稱為 External Secrets,所有的 repo 都可以共享����。如果是團隊使用的話���,這種保存方式顯然是最方便的��,但也要注意安全問題,因此 External Secrets 還支持 repo 級別的權限管理���, 可以只讓有當前 repo 寫入權限的人才能使用對應 secret。
這個階段對應
代碼倉庫: https://github.com/AlloVince/...
push 時觸發的 Drone CI: https://cloud.drone.io/AlloVi...
release 時觸發的 Drone CI: https://cloud.drone.io/AlloVi...
release 后 CI 構建的 Docker 鏡像: allovince/drone-ci-demo:latest
Step.3: GitFlow 多分支團隊工作流
上面的工作流已經基本可以應付單人的開發了�����,而在團隊開發時�,這個工作流還需要一些擴展。不需要引入 Drone 的新功能,只需要在上文基礎上根據分支做一點調整即可����。
首先保證單元測試位于 steps 的第一位�,并且限定團隊工作的分支����,在 push 和 pull_request 時,都能觸發單元測試����。
- name: unit-test
image: node:10
commands:
- node test/index.js
when:
branch:
include:
- feature/*
- master
- dev
event:
include:
- push
- pull_request
然后根據 Gitflow 的流程對于不同的分支構建 Docker 鏡像并打上特定標簽���,以 feature 分支為例,下面的配置約定了當分支名滿足 feature/*���,并收到 push 時,會構建 Docker 鏡像并打標簽�,標簽名稱為當前分支名去掉 feature/����。如分支 feature/readme�, 對應 docker 鏡像為 allovince/drone-ci-demo:readme,考慮到 feature 分支一般都出于開發階段�����,因此新的鏡像會覆蓋舊的����。配置如下
- name: build-branch-image
image: plugins/docker
settings:
repo: allovince/drone-ci-demo
username: allovince
password:
from_secret: DOCKER_PASSWORD
tag:
- ${DRONE_BRANCH##feature/}
when:
branch: feature/*
event: push
鏡像的 Tag 處不再使用自動方式,其中DRONE_BRANCH是 Drone 的內置環境變量 (Environment)����,對應當前的分支名�����。##feature/是執行了一個字符串的替換操作 (Substitution)。更多的環境變量和字符串操作都可以在文檔中找到���。
以此類推,可以查看這個階段的完整 .drone.yml ���,此時我們的工作流示例如下:
團隊成員從 dev 分支 checkout 自己的分支 feature/readme
向feature/readme提交代碼并 push, CI 運行單元測試�����,構建鏡像allovince/drone-ci-demo:readme
功能開發完成后����,團隊成員向 dev 分支 發起 pull request ��, CI 運行單元測試
團隊其他成員 merge pull request��, CI 運行單元測試,構建鏡像allovince/drone-ci-demo:test
運維人員從 dev 向 master 發起 pull request���,CI 運行單元測試��,并構建鏡像allovince/drone-ci-demo:latest
運維人員 merge pull request, 并 release 新版本 pre-0.0.2, CI 構建鏡像allovince/drone-ci-demo:pre-0.0.2
可能細心的同學會發現 dev -> master 的 pull request 時�,構建鏡像失敗了���,這是由于 Drone 出于安全考慮限制了在 pull request 時默認無法讀取加密數據��,因此無法得到 Docker Registry 密碼。如果是私有部署的話��,可以在 Repo Settings 中勾選Allow Pull Requests�����,此處就可以構建成功����。
Step.4: 語義化發布
上面基本完成了一個支持團隊協作的半自動 CI 工作流���,如果不是特別苛刻的話����,完全可以用上面的工作流開始干活了。
不過基于這個工作流工作一段時間,會發現仍然存在痛點,那就是每次發布都要想一個版本號�����,寫 ChangeLog��,并且人工去 release。
標記版本號涉及到上線后的回滾���,追溯等一系列問題,應該是一項嚴肅的工作,其實如何標記早已有比較好的方案�����,即語義化版本�����。在這個方案中���,版本號一共有 3 位���,形如 1.0.0����,分別代表:
主版本號:當你做了不兼容的 API 修改��,
次版本號:當你做了向下兼容的功能性新增����,
修訂號:當你做了向下兼容的問題修正�。
雖然有了這個指導意見,但并沒有很方便的解決實際問題����,每次發布要搞清楚代碼的修改到底是不是向下兼容的��,有哪些新的功能等��,仍然要花費很多時間���。
而語義化發布 (Semantic Release) 就能很好的解決這些問題���。
語義化發布的原理很簡單����,就是讓每一次 Commit 所附帶的 Message 格式遵守一定規范�����,保證每次提交格式一致且都是可以被解析的���,那么進行 Release 時��,只要統計一下距離上次 Release 所有的提交�,就分析出本次提交做了何種程度的改動���,并可以自動生成版本號���、自動生成 ChangeLog 等��。
語義化發布中�,Commit 所遵守的規范稱為約定式提交 (Conventional Commits)����。比如 node.js、 Angular�����、Electron 等知名項目都在使用這套規范�。
語義化發布首先將 Commit 進行分類�,常用的分類 (Type) 有:
feat: 新功能
fix: BUG 修復
docs: 文檔變更
style: 文字格式修改
refactor: 代碼重構
perf: 性能改進
test: 測試代碼
chore: 工具自動生成
每個 Commit 可以對應一個作用域(Scope),在一個項目中作用域一般可以指不同的模塊���。
當 Commit 內容較多時,可以追加正文和腳注���,如果正文起始為BREAKING CHANGE,代表這是一個破壞性變更��。
以下都是符合規范的 Commit:
feat: 增加重置密碼功能
fix(郵件模塊): 修復郵件發送延遲BUG
feat(API): API重構
BREAKING CHANGE: API v3上線����,API v1停止支持
有了這些規范的 Commit,版本號如何變化就很容易確定了���,目前語義化發布默認的規則如下
| Commit |
版本號變更 |
| BREAKING CHANGE |
主版本號 |
| feat |
次版本號 |
|
fix / perf
|
修訂號 |
因此在 CI 部署 semantic-release 之后,作為開發人員只需要按照規范書寫 Commit 即可�,其他的都由 CI 完成�。
具體如何將語義化發布加入 CI 流程中呢�, semantic-release 是 js 實現的,如果是 js 的項目��,可以直接在package.json中增加配置項�����,而對于任意語言的項目���,推薦像 Demo 中一樣��,在根目錄下增加 配置文件release.config.js。這個配置目的是為了禁用默認開啟的 npm 發布機制,可以直接套用。
semantic-release 要執行 Github release�����,因此我們需要在 CI 中配置自己的 Personal access tokens 讓 CI 有 Github repo 的讀寫權限��, 可以通過 Github 點擊自己頭像 -> Settings -> Developer settings -> Personal access tokens -> Generate new token 生成一個 Token。 然后在 Drone 的 repo 設置界面新增一個 Secret, key 為 GITHUB_TOKEN����, value 填入剛生成的 Token��。
最后在 .drone.yml 中增加這樣一段就可以了。
- name: semantic-release
image: gtramontina/semantic-release:15.13.3
environment:
GITHUB_TOKEN:
from_secret: GITHUB_TOKEN
entrypoint:
- semantic-release
when:
branch: master
event: push
來再次模擬一下流程,feature 分支部分與上文相同
從 dev 向 master 發起 pull request���,CI 運行單元測試,并構建鏡像allovince/drone-ci-demo:latest
merge pull request,CI 會執行單元測試并運行 semantic-release , 運行成功的話能看到 Github 新增 release v1.0.0
Github release 再次觸發CI 構建生產環境用 Docker 鏡像allovince/drone-ci-demo:1.0.0
最終我們能得到這樣一個賞心悅目的 release
Step.5: Kubernetes 自動發布
Docker 鏡像推送到倉庫后��,我們還剩最后一步就可以完成全自動發布的閉環��,即通知 Kubernetes 將鏡像發布到生產環境��。這一步實現比較靈活,因為很多云服務商在容器服務都會提供 Trigger 機制,一般是提供一個 URL,只要請求這個 URL 就可以觸發容器服務的發布���。Demo 中我們使用更為通用的方法,就是將 kubectl 打包為容器,以客戶端調用 K8s 集群 Master 節點 API ( kube-apiserver ) 的形式完成發布��。
假設我們在生產環境下 drone-ci-demo 項目的 K8s 發布文件如下
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: ci-demo-deployment
namespace: default
spec:
replicas: 1
template:
spec:
containers:
- image: allovince/drone-ci-demo
name: ci-demo
restartPolicy: Always
對應 .drone.yml 中增加 step 如下�。這里使用的插件是honestbee/drone-kubernetes���, 插件中kubectl 連接 API 使用的是證書+ Token 的方式鑒權�����,因此需要先獲得證書及 Token, 已經授權的 Token 保存于 k8s secret,可以通過kubectl get secret [ your default secret name ] -o yaml | egrep "ca.crt:|token:"獲得并配置到 drone 中���,注意插件要求 token 是明文的,需要 base64 解碼一下:echo [ your token ] | base64 -d && echo ""
- name: k8s-deploy
image: quay.io/honestbee/drone-kubernetes
settings:
kubernetes_server:
from_secret: KUBERNETES_SERVER
kubernetes_cert:
from_secret: KUBERNETES_CERT
kubernetes_token:
from_secret: KUBERNETES_TOKEN
namespace: default
deployment: ci-demo-deployment
repo: allovince/drone-ci-demo
container: ci-demo
tag:
- ${DRONE_TAG}
when:
event: tag
在示例)中,可以看到在語義化發布之后 CI 會將新版本的 Docker 鏡像自動發布到 K8s),這里為了演示僅打印了指令并未實際運行�。相當于運行了如下的指令:
kubectl -n default set image deployment/ci-demo-deployment ci-demo=allovince/drone-ci-demo:v1.0.2
由于自動發布的環節勢必要接觸到生產服務器�,需要格外注意安全問題�����,首推的方式當然是將 CI 和 K8s 集群放于同一內網中,同時可以使用 K8s 的 RBAC 權限控制,為自動發布多帶帶創建一個用戶)����,并刪除不必要的權限�����。
后話
總結一下,本文展示了從 Hello World 到 單人單分支手動發布 到 團隊多分支 GitFlow 工作流 到 團隊多分支 semantic-release 語義化發布 到 通知 K8s 全自動發布��,如何從零開始一步一步搭建 CI 將團隊開發����、測試、發布的流程全部自動化的過程�����,最終能讓開發人員只需要認真提交代碼就可以完成日常的所有 DevOps 工作�。
最終 Step 的完成品可以適配之前的所有 Step,如果不太在意實現細節的話���,可以在此基礎上稍作修改,直接使用�����。
然而寫好每一個 Commit 這個看似簡單的要求�,其實對于大多數團隊來說并不容易做到,在實施過程中,經常會遇到團隊成員不理解為什么要重視 Commit 規范��,每個 Commit 都要深思熟慮是否過于吹毛求疵等等疑問���。
以 Commit 作為 CI 的核心��,個人認為主要會帶來以下幾方面的影響:
一個好的 Commit,代表著開發人員對當前改動之于整個系統的影響���,有非常清楚的認識,代碼的修改到底算 feat 還是 fix �,什么時候用 BREAKING CHANGE 等都是要仔細斟酌的����,每個 Commit 都會在 ChangeLog 里“留底”���,從而約束團隊不隨意提交未經思考的代碼����,提高代碼質量
一個好的 Commit 也代表開發人員有能力對所實現功能進行精細的劃分,一個分支做的事情不宜過多���,一個提交也應該專注于只解決一個問題,每次提交(至少是每次 push )都應該保持系統可構建�����、可運行�����、可測試�����,如果能堅持做到這些����,對于合并代碼時的沖突解決��,以及集成測試都有很大幫助。
由于每次發布能清楚的看到所有關聯的 Commit 以及 Commit 的重要程度�,那么線上事故的回滾也會非常輕松���,回滾到哪個版本����,回滾后哪些功能會受到影響����,只要看 CI 自動生成的 Release 記錄就一目了然。如果沒有這些��,回滾誤傷到預期外的功能從而引發連鎖反應的慘痛教訓��,可能很多運維都有過類似經歷吧��。
因此 CI 自動化其實是錦上添花而非雪中送炭,如果團隊原本就無視規范,Commit 全是空白或者沒有任何意義的單詞��,分支管理混亂����,發布困難,奢望引入一套自動化 CI 來能解決所有這些問題,無疑是不現實的�。而只有原本就重視代碼質量��,有一定規范意識,再通過自動化 CI 來監督約束����,團隊在 CI 的幫助下代碼質量提高��,從而有機會進一步改進 CI 的效率,才能形成良性循環���。
愿天下不再有難發布的版本。
References:
云原生應用之路
相關討論可以在我的 Telegram Group 給我留言��。
