阅读量:0
jenkin
安装
Docker
- 由于国内有墙,可以提前下载好需要的镜像
# docker in docker镜像,可以在容器内构建和推送 Docker 镜像 docker pull docker:dind # jenkins镜像 docker pull jenkins/jenkins:2.452.3-jdk17 - 定制化jenkins镜像
主要做了以下增强:
- 安装Blue Ocean插件:Blue Ocean插件提供了一个现代化、用户友好的Jenkins UI界面,使得构建、部署和流水线的管理更加直观和便捷。
- 安装Docker Workflow插件:Docker Workflow插件允许Jenkins在流水线中使用Docker容器。这对于构建、测试和部署容器化应用非常有用。它提供了对Docker命令的支持,使得在流水线中可以轻松地构建和运行Docker容器。
- 安装Docker CLI:这使得Jenkins能够直接在其运行环境中执行Docker命令,例如构建、运行和管理Docker容器。这对于CI/CD流水线非常重要,尤其是在需要构建和推送Docker镜像的场景中。
你也可以安装一些自己需求的额外组件,如mysql客户端(apt-get install -y mysql-client)
cat <<EOF > Dockerfile FROM jenkins/jenkins:2.452.3-jdk17 USER root RUN apt-get update && apt-get install -y lsb-release RUN curl -fsSLo /usr/share/keyrings/docker-archive-keyring.asc \ https://download.docker.com/linux/debian/gpg RUN echo "deb [arch=$(dpkg --print-architecture) \ signed-by=/usr/share/keyrings/docker-archive-keyring.asc] \ https://download.docker.com/linux/debian \ $(lsb_release -cs) stable" > /etc/apt/sources.list.d/docker.list RUN apt-get update && apt-get install -y docker-ce-cli RUN apt-get update && apt-get install -y default-mysql-client less vim telnet net-tools ENV LESSCHASRTSET=utf-8 USER jenkins RUN jenkins-plugin-cli --plugins "blueocean docker-workflow" EOF docker build -t myjenkins-blueocean:2.452.3-1 . # 可选:将制作好的镜像上传到阿里云下次备用 docker tag myjenkins-blueocean:2.452.3-1 registry.cn-shenzhen.aliyuncs.com/docker-mirror2/myjenkins-blueocean:2.452.3-1 docker push registry.cn-shenzhen.aliyuncs.com/docker-mirror2/myjenkins-blueocean:2.452.3-1 - 启动
修改jenkins-data卷的属于为jenkins用户
chown 1000:1000 ./volumes/jenkins-data # 启动后可以通过这个命令,确认jenkin用户的uid是1000 docker compose exec jenkins-blueocean cat /etc/passwd 方案一:使用docker命令启动
# 创建桥接网络 docker network create jenkins # 创建dockerInDocker镜像 docker run \ --name jenkins-docker \ --rm \ --detach \ --privileged \ --network jenkins \ --network-alias docker \ --env DOCKER_TLS_CERTDIR=/certs \ --volume ./volumes/jenkins-docker-certs:/certs/client \ --volume ./volumes/jenkins-data:/var/jenkins_home \ --publish 2376:2376 \ docker:dind \ --storage-driver overlay2 # 启动jenkins docker run \ --name jenkins-blueocean \ --restart=on-failure \ --detach \ --network jenkins \ --env DOCKER_HOST=tcp://docker:2376 \ --env DOCKER_CERT_PATH=/certs/client \ --env DOCKER_TLS_VERIFY=1 \ --publish 8080:8080 \ --publish 50000:50000 \ --volume ./volumes/jenkins-data:/var/jenkins_home \ --volume ./volumes/jenkins-docker-certs:/certs/client:ro \ myjenkins-blueocean:2.452.3-1 方案二:使用docker-compose启动
cat <<EOF > docker-compose.yaml services: jenkins-docker: image: docker:dind privileged: true environment: - DOCKER_TLS_CERTDIR=/certs volumes: - ./volumes/jenkins-docker-certs:/certs/client - ./volumes/jenkins-data:/var/jenkins_home networks: jenkins: aliases: - docker ports: - 2376:2376 command: --storage-driver overlay2 jenkins-blueocean: image: myjenkins-blueocean:2.452.3-1 restart: on-failure environment: - DOCKER_HOST=tcp://docker:2376 - DOCKER_CERT_PATH=/certs/client - DOCKER_TLS_VERIFY=1 volumes: - ./volumes/jenkins-data:/var/jenkins_home - ./volumes/jenkins-docker-certs:/certs/client:ro networks: - jenkins ports: - 8080:8080 - 50000:50000 /var/jenkins_home/log/jenkins.log networks: jenkins: driver: bridge EOF docker compose up -d 初始化
浏览器打开http://localhost:8080,看到以下页面后
进入jekins的目录查看密码:docker compose exec jenkins-blueocean cat /var/jenkins_home/secrets/initialAdminPassword
docker compose exec jenkins-blueocean cat /var/jenkins_home/secrets/initialAdminPassword 使用jenkins
pipeline相关脚本可以利用UI生成:http://localhost:8080/job/execute-sql/pipeline-syntax/
设置凭证
jekins凭证管理用于存储一些敏感数据,主要有以下类型:
- username with password:存储用户名密码数据
- ssh username with private key: 存储ssh私钥,将公钥存到git仓库后,需要把对应的私钥配置到jenkins中。
- secret text:任意的敏感文本
jenkins的许多插件对credentials的支持比较好,例如git插件,提供credentialsId就行了,用户不需要关心不同类型的credentials的解析细节。
对于自己脚本逻辑中需要用到的一些敏感数据,则需要自己解析,通常我们会把credentials注入到环境变量中,详细的官方文档可以参考:https://www.jenkins.io/doc/book/pipeline/syntax/#supported-credentials-type。
使用语法如下:
pipeline { agent any environment { CC = 'clang' } stages { stage('Example') { environment { VAR_NAME = credentials('credentials-id') } steps { sh 'printenv' } } } } 可以放在整个pipeline下,也可以放到某个stage下。
- 用户名密码类型的credentials,
VAR_NAME的值为<user>:<password>,同时会再注入两个环境变量:VAR_NAME_USR、VAR_NAME_PSW。 - ssh username with private key类型的凭证,jenkins会将private key生成一个临时文件,将这个临时文件的路径赋值给
VAR_NAME,并额外注入:VAR_NAME_USR、VAR_NAME_PSW(private key的密码,通常我们不会设置)。 - secret类型的凭证,则直接把内容赋值给
VAR_NAME
敏感数据处理
执行shell时,如果直接在双引号内放入变量,会直接将对应的内容替换进去,导致密码有泄露的风险。需要将涉及敏感字段的部分放在单引号内、非敏感字段继续放在双引号,这样jenkins执行脚本的时候,会用变量注入敏感值。
pipeline { agent { label 'mysql-client' } parameters { string(name: 'branch', defaultValue: 'main', description: 'Branch to build') } stages { stage('Execute SQL') { environment { MYSQL = credentials('mysql-dev') } steps { script { def sqlFiles = findFiles(glob: "sql/*.sql") for (file in sqlFiles) { if (file.name.startsWith('deprecated_')) { continue } sh('mysql -h 192.168.137.101 -P 3306 -u ${MYSQL_USR} -p${MYSQL_PSW}' + " demo_db_${params.environment} < ${file.path}") } } } } } } 应用示例:执行指定分支某个目录的sql
如果你的jenkins机器都安装了default-mysql-client,可以用这个pipeline。
pipeline { agent any parameters { string(name: 'branch', defaultValue: 'main', description: 'Branch to build') } environment { GIT_CREDENTIALS_ID = 'github-ssh-key' MYSQL_CREDENTIALS_ID = 'mysql-test' } stages { stage('Checkout') { steps { script { // 拉取指定分支的代码 checkout scmGit(branches: [[name: "*/${params.branch}"]], extensions: [localBranch("${params.branch}")], userRemoteConfigs: [[credentialsId: 'github-ssh-key', url: 'git@github.com:liuzhenghua/jenkins-test.git']]) } } } stage('ExecuteSql') { steps { script { withCredentials([usernamePassword(credentialsId: env.MYSQL_CREDENTIALS_ID, usernameVariable: 'MYSQL_USERNAME', passwordVariable: 'MYSQL_PASSWORD')]) { sh ''' set -e if ls sql/*.sql 1> /dev/null 2>&1; then for sql_file in sql/*.sql; do echo "Executing $sql_file ..." mysql -h 192.168.137.101 -u "$MYSQL_USERNAME" -p"$MYSQL_PASSWORD" demo_db < "$sql_file" if [ $? -eq 0 ]; then echo "Successfully executed $sql_file" else echo "Error executing $sql_file" exit 1 fi done else echo "No SQL files found in sql/ directory" exit 1 fi ''' } } } } } } 如果你的jenkins机器没有安装mysql-client,则需要使用docker的方式执行:
cat <<EOF > Dockerfile FROM alpine:3.20.1 RUN apk update && \ apk add --no-cache mysql-client mariadb-connector-c-dev EOF docker build . -t mysql-client:1.0.0 接着修改pipeline中agent的部分
pipeline { agent { docker { image 'liuzhenghua66/mysql-client:latest' } } // ... } # 如果是需要登录的私有仓库,使用下面的代码,并把用户名密码配置到credentials中 pipeline { agent { docker { image 'registry.cn-shenzhen.aliyuncs.com/docker-mirror2/mysql-client:latest' registryCredentialsId 'aliyun-docker' } } // ... } 运维
常用操作
# 查看初始密码 cat /var/jenkins_home/secrets/initialAdminPassword # root身份进入容器 docker exec -u 0 -it <container_id_or_name> /bin/bash 初始化白屏
可能由于代理的原因导致导致证书认证失败,可以进入插件设置页面:
http://localhost:8080/manage/pluginManager/advanced,将update site由https改成http
jenkins日志打印到文件
https://wiki.jenkins.io/display/JENKINS/Logging.html#Logging-Docker
配置git ssh key
- 随便找台机器生成秘钥对:ssh-keygen -t rsa -b 4096 -C “your_email@example.com”
- 将私钥配置到jenkins中
- 将公钥添加到git仓库。
- 登录jenkin手动ssh一次git仓库,输入yes信任。
