**基于 Jenkins 的 CI/CD**
既然要?jiǎng)?chuàng)建一個(gè)deployment,那我們先給他創(chuàng)建一個(gè)namespace
創(chuàng)新互聯(lián)擁有一支富有激情的企業(yè)網(wǎng)站制作團(tuán)隊(duì),在互聯(lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)深耕十年,專業(yè)且經(jīng)驗(yàn)豐富。十年網(wǎng)站優(yōu)化營(yíng)銷經(jīng)驗(yàn),我們已為近1000家中小企業(yè)提供了成都做網(wǎng)站、網(wǎng)站建設(shè)解決方案,按需定制網(wǎng)站,設(shè)計(jì)滿意,售后服務(wù)無(wú)憂。所有客戶皆提供一年免費(fèi)網(wǎng)站維護(hù)!
kubectl create namespace kube-ops
然后我們創(chuàng)建一個(gè)deployment
我們這里使用一個(gè)名為 jenkins/jenkins:lts 的鏡像,這是 jenkins 官方的 Docker 鏡像,然后也有一些環(huán)境變量,當(dāng)然我們也可以根據(jù)自己的需求來(lái)定制一個(gè)鏡像,比如我們可以將一些插件打包在自定義的鏡像當(dāng)中,可以參考文檔:https://github.com/jenkinsci/docker,我們這里使用默認(rèn)的官方鏡像就行,另外一個(gè)還需要注意的是我們將容器的 /var/jenkins_home 目錄掛載到了一個(gè)名為 opspvc 的 PVC 對(duì)象上面,所以我們同樣還得提前創(chuàng)建一個(gè)對(duì)應(yīng)的 PVC 對(duì)象
然后我們?yōu)樗麆?chuàng)建pvc(pvc.yaml)
我們?yōu)榱藴y(cè)試方便,使用了nfs做到持久化存儲(chǔ)
然后我們創(chuàng)建這個(gè)pvc對(duì)象。
kubectl apply -f pvc.yaml
我們這里還需要使用到一個(gè)擁有相關(guān)權(quán)限的 serviceAccount:jenkins2,我們這里只是給 jenkins 賦予了一些必要的權(quán)限,當(dāng)然如果你對(duì) serviceAccount 的權(quán)限不是很熟悉的話,我們給這個(gè) sa 綁定一個(gè) cluster-admin 的集群角色權(quán)限也是可以的,當(dāng)然這樣具有一定的安全風(fēng)險(xiǎn):(rbac.yaml)
kubectl apply -f rbac.yaml
為了方便我們測(cè)試,我們這里通過(guò) NodePort(后面會(huì)使用traefik,nginx-ingress) 的形式來(lái)暴露 Jenkins 的 web 服務(wù),固定為30005端口,另外還需要暴露一個(gè) agent 的端口,這個(gè)端口主要是用于 Jenkins 的 master 和 slave 之間通信使用的。
一切準(zhǔn)備的資源準(zhǔn)備好過(guò)后,我們直接創(chuàng)建 Jenkins 服務(wù):
kubectl apply -f jenkins2.yaml
我們首次創(chuàng)建的時(shí)候
可以看到該 Pod 處于 Running 狀態(tài),但是 READY 值確為0,然后我們用 describe 命令去查看下該 Pod 的詳細(xì)信息:
可以看到上面的 Warning 信息,健康檢查沒(méi)有通過(guò),具體原因是什么引起的呢?可以通過(guò)查看日志進(jìn)一步了解:
很明顯可以看到上面的錯(cuò)誤信息,意思就是我們沒(méi)有權(quán)限在 jenkins 的 home 目錄下面創(chuàng)建文件,這是因?yàn)槟J(rèn)的鏡像使用的是 jenkins 這個(gè)用戶,而我們通過(guò) PVC 掛載到 nfs 服務(wù)器的共享數(shù)據(jù)目錄下面卻是 root 用戶的,所以沒(méi)有權(quán)限訪問(wèn)該目錄,要解決該問(wèn)題,也很簡(jiǎn)單,我只需要在 nfs 共享數(shù)據(jù)目錄下面把我們的目錄權(quán)限重新分配下即可:
chown -R 1000 /data/k8s/jenkins2
然后我們重建
kubectl delete jenkins2.yaml
kubectl apply -f jenkins2.yaml
你就可以看到這個(gè)pods的狀態(tài)已經(jīng)是正常的了。
我們就可以通過(guò)任意節(jié)點(diǎn)的 IP:30005 端口就可以訪問(wèn) jenkins 服務(wù)了,可以根據(jù)提示信息進(jìn)行安裝配置即可:
到了這個(gè)頁(yè)面,我們就可以去pod里面獲取密碼了,或者在日志里面查看密碼
kubectl exec -it jenkins2-6bbb7d9f4c-v9cfd -n kube-ops bash
然后根據(jù)上面的提示獲取密碼。
然后就看到了jenkins的主頁(yè)面了
先不要著集使用
我們知道持續(xù)構(gòu)建與發(fā)布是我們?nèi)粘9ぷ髦斜夭豢缮俚囊粋€(gè)步驟,目前大多公司都采用 Jenkins 集群來(lái)搭建符合需求的 CI/CD 流程,然而傳統(tǒng)的 Jenkins Slave 一主多從方式會(huì)存在一些痛點(diǎn),比如:
主 Master 發(fā)生單點(diǎn)故障時(shí),整個(gè)流程都不可用了
每個(gè) Slave 的配置環(huán)境不一樣,來(lái)完成不同語(yǔ)言的編譯打包等操作,但是這些差異化的配置導(dǎo)致管理起來(lái)非常不方便,維護(hù)起來(lái)也是比較費(fèi)勁
資源分配不均衡,有的 Slave 要運(yùn)行的 job 出現(xiàn)排隊(duì)等待,而有的 Slave 處于空閑狀態(tài)
資源有浪費(fèi),每臺(tái) Slave 可能是物理機(jī)或者虛擬機(jī),當(dāng) Slave 處于空閑狀態(tài)時(shí),也不會(huì)完全釋放掉資源。
正因?yàn)樯厦娴倪@些種種痛點(diǎn),我們渴望一種更高效更可靠的方式來(lái)完成這個(gè) CI/CD 流程,而 Docker 虛擬化容器技術(shù)能很好的解決這個(gè)痛點(diǎn),又特別是在 Kubernetes 集群環(huán)境下面能夠更好來(lái)解決上面的問(wèn)題,下圖是基于 Kubernetes 搭建 Jenkins 集群的簡(jiǎn)單示意圖:
那么我們使用這種方式帶來(lái)了哪些好處呢?
服務(wù)高可用,當(dāng) Jenkins Master 出現(xiàn)故障時(shí),Kubernetes 會(huì)自動(dòng)創(chuàng)建一個(gè)新的 Jenkins Master 容器,并且將 Volume 分配給新創(chuàng)建的容器,保證數(shù)據(jù)不丟失,從而達(dá)到集群服務(wù)高可用。
動(dòng)態(tài)伸縮,合理使用資源,每次運(yùn)行 Job 時(shí),會(huì)自動(dòng)創(chuàng)建一個(gè) Jenkins Slave,Job 完成后,Slave 自動(dòng)注銷并刪除容器,資源自動(dòng)釋放,而且 Kubernetes 會(huì)根據(jù)每個(gè)資源的使用情況,動(dòng)態(tài)分配 Slave 到空閑的節(jié)點(diǎn)上創(chuàng)建,降低出現(xiàn)因某節(jié)點(diǎn)資源利用率高,還排隊(duì)等待在該節(jié)點(diǎn)的情況。
擴(kuò)展性好,當(dāng) Kubernetes 集群的資源嚴(yán)重不足而導(dǎo)致 Job 排隊(duì)等待時(shí),可以很容易的添加一個(gè) Kubernetes Node 到集群中,從而實(shí)現(xiàn)擴(kuò)展。
配置
接下來(lái)我們就需要來(lái)配置 Jenkins,讓他能夠動(dòng)態(tài)的生成 Slave 的 Pod。
我們先進(jìn)去到插件管理
因?yàn)槲乙呀?jīng)安裝了,你們只需要在可選插件里面選擇kubernetes安裝就好了。
安裝好了之后,我們到系統(tǒng)管理的系統(tǒng)配置,拖到最下方,選擇kubernetes
注意 namespace,我們這里填 kube-ops,然后點(diǎn)擊Test Connection,如果出現(xiàn) Connection test successful 的提示信息證明 Jenkins 已經(jīng)可以和 Kubernetes 系統(tǒng)正常通信了,然后下方的 Jenkins URL 地址:http://jenkins2.kube-ops.svc.cluster.local:8080,這里的格式為:服務(wù)名.namespace.svc.cluster.local:8080,根據(jù)上面創(chuàng)建的jenkins 的服務(wù)名填寫,我這里是之前創(chuàng)建的名為jenkins,如果是用上面我們創(chuàng)建的就應(yīng)該是jenkins2
另外需要注意,如果這里 Test Connection 失敗的話,很有可能是權(quán)限問(wèn)題,這里就需要把我們創(chuàng)建的 jenkins 的 serviceAccount 對(duì)應(yīng)的 secret 添加到這里的 Credentials 里面。
然后我們配置 Pod Template,其實(shí)就是配置 Jenkins Slave 運(yùn)行的 Pod 模板,命名空間我們同樣是用 kube-ops,Labels 這里也非常重要,對(duì)于后面執(zhí)行 Job 的時(shí)候需要用到該值,然后我們這里使用的是 cnych/jenkins:jnlp 這個(gè)鏡像,這個(gè)鏡像是在官方的 jnlp 鏡像基礎(chǔ)上定制的,加入了 kubectl 等一些實(shí)用的工具。
后面運(yùn)行的命令和命令參數(shù)我們給他刪掉。
另外需要注意我們這里需要在下面掛載兩個(gè)主機(jī)目錄,一個(gè)是/var/run/docker.sock,該文件是用于 Pod 中的容器能夠共享宿主機(jī)的 Docker,這就是大家說(shuō)的 docker in docker 的方式,Docker 二進(jìn)制文件我們已經(jīng)打包到上面的鏡像中了,另外一個(gè)目錄下/root/.kube目錄,我們將這個(gè)目錄掛載到容器的 /root/.kube 目錄下面這是為了讓我們能夠在 Pod 的容器中能夠使用 kubectl 工具來(lái)訪問(wèn)我們的 Kubernetes 集群,方便我們后面在 Slave Pod 部署 Kubernetes 應(yīng)用。
配置了后運(yùn)行 Slave Pod 的時(shí)候出現(xiàn)了權(quán)限問(wèn)題,如果出現(xiàn)了權(quán)限不足的問(wèn)題,在 Slave Pod 配置的地方點(diǎn)擊下面的高級(jí),添加上對(duì)應(yīng)的 ServiceAccount 即可:
到這里我們的 Kubernetes Plugin 插件就算配置完成了。
然后我們創(chuàng)建一個(gè)自由項(xiàng)目。
然后我們保存。
我們測(cè)試構(gòu)建。
在構(gòu)建的時(shí)候,我們?nèi)タ磈enkins的狀態(tài),會(huì)創(chuàng)建一個(gè)jnlp的pod。
構(gòu)建任務(wù)完成后,我們?cè)偃タ磒od列表,已經(jīng)沒(méi)有這個(gè)jnlp的pod的。
到這里我們就完成了使用 Kubernetes 動(dòng)態(tài)生成 Jenkins Slave 的方法。