CI-持續集成（2）-軟件工業「流水線」技術實現（轉）

時間 2020-07-10

標籤持續集成軟件工業流水線技術實現简体版

原文原文鏈接

1 概述

持續集成（Continuous Integration）是一種軟件開發實踐。在本系列文章的前一章節已經對其背景及理論體系進行了介紹。本小節則承接前面提出的理論構想進行具體的技術實現。css

《Google軟件測試之道》:html

"天天，Google都要測試和發佈數百萬個源文件，億萬行代碼。數以億計的構建動做會觸發幾百萬次的自動化測試，並在好幾十萬個瀏覽器實例上執行。面對這些看似不可能完成的任務，谷歌是如何測試的呢？"前端

但願看完此文章的人，可以本身找到本身的答案。python

2 主要環境及工具

Git代碼管理系統（如：GitOSC）
Linux操做系統（Ubuntu）
Jenkins系統軟件安裝包
Jenkins的Python語言的SDK
Python及 Tornado Web 框架

以上的技術選型，都是儘可能使用開源且主流的系統，這樣的好處以下：git

節省軟件購置成本
有豐富的參考資料
有能力的企業或者我的能夠按照需求作自定義擴展

3 原理分析

在上一篇文章裏面，對持續集成繪製過一個基本的結構圖，以下：github

基本流程以下：web

開發人員推送代碼到Git瀏覽器
Git通知Jenkins安全
Jenkins開啓構建bash
構建完成開啓後續任務
- 自動化測試
- 自動化部署
Jenkins通知自動化發佈系統
發佈系統持續後續的任務……

這裏面涉及的系統有：

代碼版本管理系統
自動化構建系統
自動化測試系統
自動化發佈系統

關於 自動化發佈系統 這個基本上屬於運維方面的內容，在互聯網產品領域情形和技術需求比較複雜，暫時不列入本部分的內容。可是Jenkins 可以有接口去通知相應的發佈系統，以達到 事件信息流的連續性

本文則主要從技術角度來將這些系統聯合起來。

4 Jenkins安裝及配置

4.1 下載和安裝

關於 Jenkins 的下載及安裝，能夠參考其官網。

1	`https://jenkins-ci.org/`

直接下載Ubuntu/Debian版本，在Ubuntu服務器上安裝便可。

因爲過程比較簡單，網上相關教程不少，此處也再也不贅述。可是通常Jenkins安裝完畢後，最初的權限配置會比較繁瑣，因此本文重點從相應的使用場景出發，實現一個完整的帶權限配置的解決方案。

5 內網持續集成系統

對於只是在內網使用持續集成的團隊來講，權限的配置就相對簡單一些。由於只是在內網，因此能夠將權限的要求放鬆，只要保證公司網絡以外的人沒法訪問到 Jenkins 服務便可。

注意：若是要和git服務的webhook造成完整的事件流，則git服務也須要在內網，不然 構建事件 沒法被 代碼推送事件 給觸發。

5.1 權限配置

對 Jenkins 進行以下操做：

[系統管理]->[Configure Global Security]->[訪問控制]->[受權策略]->[項目矩陣受權策略]

對 匿名用戶 進行以下配置：

Overall: Read -> Enabled
Job: Read -> Enabled

具體配置界面以下：

注意：若是不這樣配置，則後面提到的基於git的構建觸發器將沒法經過調用指定的url接口來觸發構建。由於webhook只能構造單次簡單的http請求，沒法構造由多個請求組成的會話，故而沒法調用須要身份受權的接口。

5.2 構建觸發器

通常狀況下，構建都是以代碼的發佈做爲起始事件點，因此須要和git服務器創建事件關聯，在Jenkins具體的項目的配置界面中，對 構建觸發器 進行配置。

目前網絡上通常都是介紹的這種方式，具體的細節，此處就再也不贅述，感興趣的同窗能夠自行在網絡上搜索。

基本原理圖以下：

5.3 最終效果

能夠達到以下效果：

開發人員向內網的git服務器推送代碼
git服務的webhook向內網jenkins發送消息並 觸發構建
Jenkins執行構建相關命令

以上的內網方案的特色以下：

優勢：
- 配置簡單
- 不須要配置人員進行任何的開發活動
缺點
- 沒法限制匿名用戶的權限
- 出於安全考慮，只能在內網使用

固然，對於 開發資源相對匱乏 的小團隊而言，推薦經過以上方法 快速搭建 本身的內部的持續集成系統，畢竟先快速生產本身的特點產品纔是最重要的事情。

6 公網持續集成系統

對於前面的 內網持續集成系統 的優勢和缺點都介紹以後，做爲一個以 開放爲主要精神 的互聯網團隊來講，確定是沒法知足這樣一個 封閉的內部網絡 系統的，因此下面就要隆重介紹 公網持續集成系統 。

對於 內網系統 在配置上進行了偷懶，可是實際上卻在其它地方付出了 巨大的代價 ，這些代價包括：

沒法使用市場上已經成熟的公網git服務(包括但不限於：bitbucket,github,git@osc)
團隊成員的工做地點將受到限制，必須侷限於同一個內網環境中

因此，若是配置人員擁有必定的系統設計能力和開發能力，仍是建議搭建 公網持續集成系統 。

公網方案具備以下特色：

缺點：
- 須要配置人員具有系統設計能力和開發能力
優勢：
- 可以將系統以登陸受權的方式部署在公網
  
  未登陸的匿名用戶沒法查看任何項目信息
  
  登陸用戶能夠配置不一樣的權限
- 可以做爲服務器來接受來自事件來觸發構建
  
  能夠經過公網git服務的webhook觸發
  
  能夠經過自定義的任何公網IT系統觸發（按鈕，短信，微信等等）
- 可擴展性強，理論上能夠和任何的公共互聯網服務進行對接

6.1 權限配置

公網持續構建系統對權限控制有以下要求：

未登陸的匿名用戶沒法查看任何項目信息
登陸用戶能夠配置不一樣的權限

對 Jenkins 進行以下操做：

[系統管理]->[Configure Global Security]->[訪問控制]->[受權策略]->[項目矩陣受權策略]

能夠創建三類用戶並進行權限配置：

普通用戶

登陸後，能夠查看相應的項目的名稱及構建的狀態（主要是基本的查看功能）
管理員用戶

登陸後，能夠進行構建操做，對任務進行增長及刪除等等高級操做（主要是項目管理功能）
匿名用戶

未登陸用戶，不具有任何權限，只呈現登陸界面

有了這樣的登陸受權機制，就不用再使用網絡進行隔離了，此係統就能夠放心地放到公網服務器上了。

前面提到的內網系統的解決方案，主要緣由是：

基於git的webhook沒法對須要認證的 構建觸發器 接口請求發起有效構建請求
將 構建觸發器 接口設置爲不須要認證，會致使匿名用戶的權限過大

若是部署到公網，則須要解決如上的矛盾之處。一個比較好的思路就是：

按照要求配置好相應的用戶權限（見公網權限配置方案）
開發中間件來完成 構建API 的用戶登陸認證

6.2 構建觸發器

在兼顧Git的webhook的特色和Jenkins構建特性的狀況下，能夠提出以下所描述的解決方案：

使用web服務做爲中間件，來模擬用戶登陸：將原本須要多個請求組成的會話變成單一的Http請求（能夠在單次請求的url裏面加入受權的token），這樣就能夠被Git的webhook所調用。

基本原理圖以下：

主要的通信過程爲：

Git Server 接收代碼並向 Web Server 發起單次Http請求（參數帶上token）
Web Server 先向 Jenkins Server 發起認證受權請求
Web Server 再向 Jenkins Server 發起構建請求，觸發構建

固然，因爲 Jenkins 提供了Pyhon語言的SDK，因此以上 步驟2和3其實能夠簡化爲對其SDK的調用了。

安裝方法：

 
           pip  
           install  
           python-jenkins

最簡單的使用示例以下：

 
           # coding:utf-8 
          
           """ 
          
           jenkins相關的工具函數及配置 
          
           """ 
          
           from  
           dtlib.dtlog  
           import  
           dlog 
          
           import  
           jenkins 
          
           __author__  
           =  
           'harmo' 
          
           jenkins_url  
           =  
           'http://jenkins.xxxx.com' 
          
           jenkins_user  
           =  
           'jenkins_user' 
          
           jenkins_passwd  
           =  
           'jenkins_user_password' 
          
           def  
           build_job(project_name): 
          
           """ 
          
           構建項目 
          
           :param project_name: 項目名稱 
          
           :return: 
          
           """ 
          
           jen  
           =  
           jenkins.Jenkins(jenkins_url, username 
           = 
           jenkins_user, password 
           = 
           jenkins_passwd) 
          
           jen.build_job(project_name) 
          
           print 
           ( 
           "build %s succeed"  
           %  
           project_name) 
          
           if  
           __name__  
           = 
           =  
           '__main__' 
           : 
          
           build_job( 
           "your-project-name" 
           )