使用私有CI构建GitHub仓库

本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议，欢迎转载、或重新修改使用，但需要注明来源。 署名 4.0 国际 (CC BY 4.0)

本文作者: 苏洋

创建时间: 2018年05月25日 统计字数: 5785字 阅读时间: 12分钟阅读 本文链接: https://soulteary.com/2018/05/25/building-a-github-repository-with-private-ci.html

---

使用私有CI构建GitHub仓库

最近使用 Drone 改造了网站的构建发布流程，感觉比较轻量，用起来还不错，记录下来留给后面感兴趣的同学参考。

起因

在五月初进行网站简化的过程中，因为使用了自定义的代码高亮服务，和文档转换服务，对于构建机器的配置要求升高到了 1C2G，对PHP Fpm脚本进行高并发调用的时候，资源消耗太大了，即使设定了并发数限制，还是偶尔会出现500状态。

于是把构建机器从 1C1G升配到了 2C2G，这样倒是解决了问题，但是构建服务使用频率不是很高，加上海外机器线路进行国内机器部署的时候，偶尔使用也会遇到构建十几秒，部署十分钟。

最开始构建服务是跑在家里服务器的，博客文章源码也是在服务器上的，更新、构建统一使用 GitLab+GitLabRunner ，倒也还算稳定，只是：

1. 更新必须使用私有云的私有仓库。
2. 构建环境需要整体打包成一个容器，不然分阶段执行，要贮存 artifacts。（家里没有上k8s）

因为生成工具我都容器固化了，所以不想贮存 artifacts ，即使能设置 expires，过期自动删除，但是也太不环保了。

另外，我希望文档是可以保存在GitHub上，而非私有仓库中的，同时也不想把文档推送多个 GitOrigin或者做mirror什么的，维护起来太麻烦了。

这一套架构使用体验贼差，于是考虑进行一番改进。

历史

说起 Drone，去年年底机器资源严重不足的时候，就考虑过找一个轻量的CI工具，暂时替换一下GitLab CI，等资源充沛之后，再替换回来。

当时看了一圈，感觉drone还不错，能够直观看到的不足只有：文档中有大量未解之谜、docker镜像缺乏明确的tags、最新版本未同步docker hub。

但是相比 GitLab+GitLabRunner 的组合拳，资源占用小，还能灵活的接入各种仓库，也是基于容器化分阶段进行执行操作，还是很有竞争力的。

当时临时使用过一阵 gogs+drone，在一台1C1G的机器上跑着就很欢腾，但是遇到几个小问题：

• 对于个别仓库支持mirror，但是对于mirror不支持自动触发CI构建，要维护一个脚本定时检查并触发，仓库源也需要维护至少两份（源+Mirror）。
• 出于洁癖gogs使用22作为Git Server Port，服务器经常收到爬虫探测，不胜其烦，故还是不考虑把仓库暴露在公网了，并且GitHub免费仓库+私有云仓库已经很好了，不想多维护一个仓库服务。

思来想去，在海外购置了一台1C2G的机器，临时的解决了这个问题，然后就遇到了文章开头的情况。

架构简化

GitHub 不可用时其实很少，所以可以考虑把本来就是要公开的内容直接托管GitHub，然后使用CI与其直接对接，省去部分维护仓库的成本。

这里没有使用GitLab、以及GitLab Runner直接与其对接，毕竟有的半成品还是不想公开，而且我对这个大块头的安全性很不放心，成天到晚组件有安全漏洞...

那么公网搭建一个drone便是一个不错的选择，小巧轻量，自带GitHub OAuth插件，还能直接签注SSL证书。

但是考虑到构建机器对资源配置有一定的要求，并且部署对于国内线路有一定的要求，于是考虑在内网启动一个Drone服务，对外暴露到公网机器上即可：外网机器只是充当一个反向代理，充分利用家里高配置机器资源和大带宽。

简单的架构图如下:

1. [外网机器]<->[内网机器]
2. [内网机器|
3. [构建服务]->[发布国内云服务器]
4. ]

数据透传，我选择了国人开源产品frp取代了ngrok。

数据透传

关于frp的配置其实很简单：

服务端配置， frps.ini

1. [common]
2. # 如果你计划多添加一层nginx，这个端口需要修改掉，避免冲突
3. # 我这边懒得加一层nginx，直接使用frp暴露远程端口
4. vhost_http_port = 80
5. vhost_https_port = 443
6.  
7. # 客户端和服务端沟通端口
8. bind_port = 7000
9.  
10. token = 需要和客户端设置一致
11.  
12. # 管理面板相关配置，如果不进行设置，默认使用 admin
13.  
14. # 对外服务使用0.0.0.0，不然可以使用127.0.0.1，配合代理进行访问
15. dashboard_addr = 0.0.0.0
16. dashboard_port = 你的端口
17. dashboard_user = 你的账号
18. dashboard_pwd = 你的密码

需要注意的是，你计划暴露的端口，记得在防火墙里打开：

1. ufw allow 你的端口号

下面是客户端配置，frpc.ini

1. [common]
2. server_addr = 你的服务器IP或者私有域名
3. # 客户端和服务端沟通端口
4. server_port = 7000
5.  
6. token = 需要和客户端设置一致
7. dns_server = 你的DNS服务，不设置默认使用8.8.8.8
8.  
9. [web01]
10. type = http
11. local_ip = 0.0.0.0
12. local_port = 17071
13. custom_domains = 公网要暴露的域名
14.  
15. [web02]
16. type = https
17. local_ip = 0.0.0.0
18. local_port = 17072
19. use_encryption = false
20. use_compression = false
21. custom_domains = 公网要暴露的域名

这里有两点要注意的：

1. 你的内网服务，往往会指定一些私有DNS解析，需要配置common节中的 dns_server为你内网的DNS服务器地址，比如网关路由，或者DNS服务器地址，避免在内网解析内部服务的时候使用的是公网服务，找不到域名，无法提供服务。
2. 你的公网暴露域名可以是任意域名，只要外网DNS能够指向到你的 server_addr即可。

CI服务

drone配置起来很简单，就像下面的配置：

1. version: '2'
2.  
3. services:
4. drone-server:
5. restart: always
6. image: drone/drone:0.8.5
7. # 根据自己情况进行端口映射，但是要配套修改上面数据透传里的客户端端口
8. ports:
9. - 17071:80
10. - 17072:443
11. volumes:
12. # 这里如果是OSX系统，需要mkdir或者把映射目录进行修改
13. - /var/lib/drone:/var/lib/drone/
14. restart: always
15. environment:
16. # 这个变量务必设置，否则软件将会以调试模式执行
17. - GIN_MODE=release
18. - DRONE_OPEN=false
19. - DRONE_SECRET=和drone-agent设置一致即可
20. - DRONE_ADMIN=soulteary
21. - DRONE_HOST=https://你的域名
22. - DRONE_GITHUB=true
23. - DRONE_GITHUB_URL=https://github.com
24. - DRONE_GITHUB_CLIENT=到GitHub获取
25. - DRONE_GITHUB_SECRET=到GitHub获取
26. - DRONE_GITHUB_SCOPE=repo,repo:status,user:email,read:org
27. # 是否自动注册SSL证书
28. - DRONE_LETS_ENCRYPT=true
29.  
30. drone-agent:
31. restart: always
32. image: drone/agent:0.8.5
33. command: agent
34. restart: always
35. depends_on:
36. - drone-server
37. volumes:
38. - /var/run/docker.sock:/var/run/docker.sock
39. environment:
40. - GIN_MODE=release
41. - DRONE_SERVER=drone-server:9000
42. - DRONE_SECRET=和drone-server设置一致即可

网上很多教程使用的通讯端口都进行了暴露，这里其实大可不必，docker-compose编排的软件直接默认可访问。 另外，根据日志反馈，需要额外定义 GIN_MODE，避免软件执行在调试状态下。

定义CI过程

在你的GitHub仓库中添加一个drone.yml，内容可以参考如下：

1. pipeline:
2.  
3. 同步数据:
4. image: appleboy/drone-scp
5. secrets:
6. - source: deploy_key
7. target: ssh_key
8. - source: deploy_host
9. target: ssh_host
10. - source: deploy_port
11. target: ssh_port
12. - source: deploy_user
13. target: ssh_username
14. target: ~/Code/www.soulteary.com/My-Blog-Posts/
15. source: ./*
16.  
17.  
18. 转换文档:
19. image: appleboy/drone-ssh
20. secrets:
21. - source: deploy_key
22. target: ssh_key
23. - source: deploy_host
24. target: ssh_host
25. - source: deploy_port
26. target: ssh_port
27. - source: deploy_user
28. target: ssh_username
29. - source: excute_timeout
30. target: ssh_command_timeout
31. script:
32. - cd ~/Code/www.soulteary.com/blog/
33. - ./1.convert.sh
34.  
35.  
36. 开始构建:
37. image: appleboy/drone-ssh
38. secrets:
39. - source: deploy_key
40. target: ssh_key
41. - source: deploy_host
42. target: ssh_host
43. - source: deploy_port
44. target: ssh_port
45. - source: deploy_user
46. target: ssh_username
47. - source: excute_timeout
48. target: ssh_command_timeout
49. script:
50. - cd ~/Code/www.soulteary.com/blog/
51. - ./3.update.sh
52.  
53.  
54. 压缩页面:
55. image: appleboy/drone-ssh
56. secrets:
57. - source: deploy_key
58. target: ssh_key
59. - source: deploy_host
60. target: ssh_host
61. - source: deploy_port
62. target: ssh_port
63. - source: deploy_user
64. target: ssh_username
65. - source: excute_timeout
66. target: ssh_command_timeout
67. script:
68. - cd ~/Code/www.soulteary.com/blog/
69. - ./4.minify.sh
70.  
71.  
72. 产物打包:
73. image: appleboy/drone-ssh
74. secrets:
75. - source: deploy_key
76. target: ssh_key
77. - source: deploy_host
78. target: ssh_host
79. - source: deploy_port
80. target: ssh_port
81. - source: deploy_user
82. target: ssh_username
83. - source: excute_timeout
84. target: ssh_command_timeout
85. script:
86. - cd ~/Code/www.soulteary.com/blog/
87. - ./5.package.sh
88.  
89.  
90. 尝试发布:
91. image: appleboy/drone-ssh
92. secrets:
93. - source: deploy_key
94. target: ssh_key
95. - source: deploy_host
96. target: ssh_host
97. - source: deploy_port
98. target: ssh_port
99. - source: deploy_user
100. target: ssh_username
101. - source: excute_timeout
102. target: ssh_command_timeout
103. script:
104. - cd ~/Code/www.soulteary.com/blog/
105. - ./6.deploy.sh
106. - ./7.notice.sh

这里是有drone-scp和drone-ssh两个插件，通过drone依次在远程服务器上进行了一些脚本的执行。 如果你的构建服务简单，还可以直接写在scripts中，直接在docker容器中执行CI过程。

这里有几点需要注意：

1. 插件没有使用docker tag进行固化，尽量自行保存容器镜像。
2. 定义 deploy_*变量的时候， ssh_host如果是内网服务，记得进行内网解析。
3. excute_timeout单位是秒。
4. 在OSX环境执行的话，会丢失PATH变量，需要在执行脚本中重新声明变量：

1. sysOS=`uname -s`
2. if [ $sysOS == "Darwin" ];then
3. PATH=/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
4. fi

启动服务

先在服务器启动frp的服务端：

1. frps -c frps.ini

你可以使用进程守护软件保障进行健康，这里不做展开，网上文章参考讲了太多。

接着在内网服务器启动frp的客户端：

1. frpc -c frpc.ini

和服务端一样，可以使用进程守护来进行可用性保障。

然后启动你的drone服务：

1. docker-compose -f docker-compose.yml up -d

然后访问你的域名，即可看到drone暴露在公网上，并且通过OAuth和GitHub产生了“联动”效果。

接下来向你的GitHub进行一次提交、合并操作，你会发现CI已经在进行自动的构建处理了。

---EOF