====== Собираем docker и деплоим из GitHub Actions ======
Здесь описана краткая инструкция, как быстро собирать проект и деплоить docker. Времена докера никуда не ушли, все мелкие проекты мы до сих пор делаем на обычных докерах, а также там, где всё on-premise и не дают облака с Kubernetes. Сопровождать Kubernetes самим - то еще удовольствие, особенно, когда заказчики не выделяют бюджеты на "золотых" devops-еров. Флоу будет очень простым: одним job мы собираем образ (с указанием тэга или ветки) и кладем в приватный репозиторий образов GitHub, а другим job деплоим оттуда. Это удобно, когда есть несколько сред и мы один раз собираем и контейнер запускаем из него с разными переменными среды. И важное условие: мы не устанавливаем docker-compose или github runner на сервер с docker.
Начнем.
==== Сборка образа ====
Дано: очень простой образ для приложения на python. Это не образец безопасности и multistage, просто пример //Dockerfile//:
FROM python:3.10-slim
WORKDIR /app/
RUN python -m pip install --upgrade pip
COPY requirements.txt .
RUN python -m pip install -r requirements.txt
COPY ./ .
EXPOSE 8501
CMD ["streamlit", "run", "app.py"]
Для его деплоя применяется //docker-compose.yml//
version: '3'
services:
bot:
image: ${IMAGE_REF}
container_name: globe
restart: always
environment:
- OPENAI_API_KEY=${OPENAI_API_KEY}
ports:
- "8501:8501"
В данном случае у нас всего две переменные среды, которые необходимо прописать. Первый параметр - ссылка на образ, а второй - API-ключ. Мы, например, для всех проектов и сред всегда используем разные API-ключи (в данном случае для OpenAI), чтобы отслеживать расходы.
Файл для экшена сборки //.github/workflows/build.yml//:
name: Build and Push Docker Image
on:
push:
branches:
- '*'
env:
REGISTRY: ghcr.io
IMAGE_NAME: ${{ github.repository }}
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: Checkout code
uses: actions/checkout@v4
- name: Log in to the Container registry
uses: docker/login-action@v3.0.0
with:
registry: ${{ env.REGISTRY }}
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Extract metadata (tags, labels) for Docker
id: meta
uses: docker/metadata-action@9ec57ed1fcdbf14dcef7dfbe97b2010124a938b7
with:
images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
- name: Build and push Docker image
uses: docker/build-push-action@v5.3.0
with:
context: .
push: true
tags: ${{ steps.meta.outputs.tags }}
labels: ${{ steps.meta.outputs.labels }}
Разберем чуть подробнее:
- Сборка контейнера происходит по каждому пушу кода в git. В простых проектах это ок, в сложных вы должны навесить дополнительные условия по папкам, веткам и т.п.
- Забираем исходный код;
- Логинимся в репозиторий контейнеров GitHub //ghcr.io//;
- Получаем имя текущей ветки кода;
- Собираем и пушим docker-образ.
Если вы ничего не меняете, то пуш произойдет автоматически. Если же вы собираете несколько контейнеров с разными именами, отличающимися от названия git-репозитория, то необходимо будет пойти в Packages и поменять параметры доступа: какая git-репа к каким docker-репам имеет доступ.
{{https://fatalex.cifro.net/lib/plugins/ckgedit/fckeditor/userfiles/image/devops/docker/ba8a94e8f2c56001dad58c150c163c79.png?nolink&}}
В результате этих действий у вас в Actions появится запущенный и, возможно, успешно завершенный job.
А в репозитории видим новый docker-образ, пример:
{{https://fatalex.cifro.net/lib/plugins/ckgedit/fckeditor/userfiles/image/devops/docker/ba2313bf38367a4e19592a2de999356b.png?nolink&}}
==== Деплой контейнера ====
Мы уже собрали образ, теперь пора и задеплоить на сервер.
{{https://fatalex.cifro.net/lib/plugins/ckgedit/fckeditor/userfiles/image/devops/docker/f58677d60945e5761c2177f2625e5169.png?nolink&}}
Секреты
В свойствах GitHub-репозитория нужно добавить секреты либо для всего репозитория, либо для конкретного environment (dev, staging, production etc.).
- OPENAI_API_KEY - API-ключ внешнего сервиса
- SSH_HOST - сервер, куда деплоим
- SSH_PRIVATE_KEY - приватный ssh-ключ
- SSH_USER - имя ssh-пользователя
Важно, в целях безопасности не следует на серверах открывать ssh всем подряд, лучше ограничить по IP-адресу GitHub Runner облачного или hosted. Желательно также перед вашим сервером с докером поставить балансир человеческий или nginx на отдельном сервере.
Пример скрипта деплоя //.github/workflows/deploy.yml//:
name: Deploy
env:
REGISTRY: ghcr.io
IMAGE_NAME: ${{ github.repository }}
on:
workflow_dispatch
jobs:
deploy:
runs-on: ubuntu-22.04
environment: production
steps:
- name: Checkout
uses: actions/checkout@v4.1.1
env:
GIT_TOKEN: ${{ secrets.GITHUB_TOKEN }}
with:
fetch-depth: 0
- name: Install ssh keys
run: |
install -m 600 -D /dev/null ~/.ssh/id_rsa
echo "${{ secrets.SSH_PRIVATE_KEY }}"> ~/.ssh/id_rsa
ssh-keyscan -H ${{ secrets.SSH_HOST }}> ~/.ssh/known_hosts
docker context create remote --docker host=ssh://${{ secrets.SSH_USER }}@${{ secrets.SSH_HOST }}
- name: Extract metadata (tags, labels) for Docker
id: meta
uses: docker/metadata-action@9ec57ed1fcdbf14dcef7dfbe97b2010124a938b7
with:
images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
- name: Log in to the Container registry
uses: docker/login-action@v3.0.0
with:
registry: ${{ env.REGISTRY }}
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Docker compose
env:
IMAGE_REF: ${{ steps.meta.outputs.tags }}
OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }}
run: |
docker-compose --context remote -f docker-compose.yml up -d
- name: cleanup
run: rm -rf ~/.ssh
Часть шагов повторяется со сборки, а самое интересное здесь - это создание docker-контекста через SSH-соединение. Для разных сред можете использовать разные серверы.
Предпоследним шагом выполняем docker-compose с новым контекстом. Новый образ автоматом скачается и задеплоится на нужном сервере.
Последним шагом удаляем SSH-ключи.
Данный job запускается руками (вы можете сделать автоматически) из меню Actions
{{https://fatalex.cifro.net/lib/plugins/ckgedit/fckeditor/userfiles/image/devops/docker/c58bca34e06994dd1ca8f34ca6b3d15e.png?nolink&}}
==== Заключение ====
Приведенное руководство позволит разработчику самостоятельно сделать деплой без devops-специалиста, но, очевидно, следует использовать этот туториал с головой и адаптировать под ваши задачи и требования безопасности