本文来自于轻量应用服务器征文活动用户投稿,已取得用户(昵称:为之工作室)受权公布。
我是西安电子科技大学为之工作室的运维负责人,为之工作室致力于互联网人才的造就,波及到很多我的项目的部署及运维。这类我的项目的特点是并发量较小,资源占用低,内部组件依赖简略。本文会介绍这些我的项目的运维模式及相干实际分享,为相似的我的项目运维提供参考。
一、架构设计
出于节省成本的思考,心愿能够将多个我的项目部署在同一个服务器上。此外,对于中小型我的项目,尽管对于高并发的需要可能并不是十分大,然而依然须要高可用性。本人进行服务器硬件保护的老本和精力是微小的,所以必须充分利用云厂商的服务器资源,咱们抉择的是技术当先、产品欠缺的阿里云。
咱们的我的项目都是前后端拆散的,为了节俭带宽,将前端部署在 OSS 上,服务器上只用部署后端即可,这样整个工作室只须要一台轻量应用服务器及多个 OSS 实例。其中 OSS 实例的费用是能够忽略不计的,而轻量应用服务器的理论破费,均匀下来也只须要 1 个月 10 元。
轻量应用服务器,是可疾速搭建且易于治理的轻量级云服务器;提供基于单台服务器的利用部署,平安治理,运维监控等服务,一站式晋升服务器应用体验和效率。
对象存储 OSS,是一款海量、平安、低成本、高牢靠的云存储服务,提供 99.9999999999%(12 个 9) 的数据持久性,99.995% 的数据可用性;多种存储类型供选择,全面优化存储老本。
下图为运维架构图,服务器应用 Ubuntu + Docker 部署根底服务及业务后端,而 MySQL 和 Redis 等依赖则应用阿里云提供的服务。
二、网关配置
选用 Traefik 作为网关。相比 Nginx,Traefik 对 Docker 容器具备更好的支持性,且集成 Let’s Encrypt 主动申请、保护 HTTPS 证书。
首先创立网络:docker network create traefik
文件中的 ${} 须要依据本人理论状况编写
~/.docker/compose/traefik/docker-compose.yml
YAML
version: "3.3"
services:
traefik:
image: traefik
ports:
- "443:443"
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- ./traefik.yml:/etc/traefik/traefik.yml
- ./dynamic_conf.yml:/root/dynamic_conf.yml
- ~/.docker/volume/traefik/crt:/root/crt
- ~/.docker/volume/traefik/log:/root/log
restart: unless-stopped
networks:
- traefik
environment:
ALICLOUD_ACCESS_KEY: ${AK}
ALICLOUD_SECRET_KEY: ${SK}
extra_hosts:
- "host.docker.internal:172.18.0.1" # 172.18.0.1 是容器拜访宿主机的 ip,通过 docker inspect 获取
labels:
- com.centurylinklabs.watchtower.enable=false
networks:
traefik:
external: true
请确保 *.be.wizzstudio.com 域名解析至这台服务器;配置中 “root:$2b$12$aur8GtnfMi” 是 Traefik Basic Auth 账号密码,请通过 https://doc.traefik.io/traefi… 门路生成。
/root/.docker/compose/traefik/dynamic_conf.yml
YAML
http:
middlewares:
basic-auth:
basicAuth:
users:
- "root:$2b$12$aur8GtnfMi"
routers:
dashboard:
rule: "Host(`traefik.be.wizzstudio.com`)"
service: "api@internal"
middlewares:
- basic-auth
tls:
certResolver: myresolver
domains:
- main: '*.be.wizzstudio.com'
- sans: '*.be.wizzstudio.com'
/root/.docker/compose/traefik/traefik.yml
YAML
providers:
docker:
exposedByDefault: false
network: traefik
file:
filename: /root/dynamic_conf.yml
watch: true
api:
dashboard: true
# insecure: true
entryPoints:
https:
address: ":443"
http:
tls:
certresolver: myresolver
certificatesResolvers:
myresolver:
acme:
dnsChallenge:
provider: alidns
delayBeforeCheck: 0
storage: /root/crt/acme.json
# caserver: "https://acme-staging-v02.api.letsencrypt.org/directory" # test server
accessLog:
filePath: "/root/log/access.log.json"
format: "json"
通过 docker-compose up -d 实现网关的部署;通过拜访 https://traefik.be.wizzstudio… 即可进入治理面板。
三、我的项目部署
以某一个后端的我的项目部署为例。
/root/.docker/compose/orientation-system-be/docker-compose.yml
Ruby
version: "3.3"
services:
backend:
image: registry.cn-chengdu.aliyuncs.com/wizz-project/orientation-system-be:latest
restart: unless-stopped
# ports:
# - "80:8080"
labels:
- "traefik.enable=true"
- "traefik.http.routers.orientation-system-be.rule=Host(`orientation-system.be.wizzstudio.com`)"
- "traefik.http.routers.orientation-system-be.tls=true"
- "traefik.http.services.orientation-system-be.loadbalancer.server.port=80"
networks:
- traefik
volumes:
- /etc/timezone:/etc/timezone:ro
- /etc/localtime:/etc/localtime:ro
- ~/.docker/volume/orientation-system-be/lab.log:/root/lab.log
networks:
traefik:
external: true
# mkdir -p ~/.docker/volume/orientation-system-be && touch
~/.docker/volume/orientation-system-be/lab.log
通过 labels 字段,定义了通过 https://orientation-system.be… 即可拜访到这个容器,不须要再去 Traefik 批改配置了。
四、CI/CD
CI/CD: 即继续集成与继续交付,用于实现利用开发过程中的高度继续自动化和继续监控。CI/CD 的指标是:用户上传代码后,主动构建镜像,主动部署到服务器。应用 GitHub Action 实现此性能。
1、后端
首先在我的项目根目录筹备 Dockerfile, 将我的项目从源代码开始构建为二进制。
Dockerfile
FROM golang:1.18.0-alpine3.15 as build
LABEL maintainer="117503445"
RUN apk add --no-cache git
WORKDIR /root/project
COPY go.mod .
COPY go.sum .
RUN go mod download
COPY . .
RUN go build -ldflags="-s -w" -o server
FROM alpine:3.15 as prod
EXPOSE 8080
WORKDIR /root
# https://stackoverflow.com/questions/66963068/docker-alpine-executable-binary-not-found-even-if-in-path
RUN apk add gcompat
COPY --from=build /root/project/server server
HEALTHCHECK --interval=5s --timeout=5s --retries=3 \
CMD wget -nv -t1 --spider 'http://localhost:8080/' || exit 1
ENTRYPOINT ./server
编写 GitHub Action,并在 Repo 中的 secrets 填写 阿里云容器镜像服务的 AK 和 SK。这里通过批改,也能够变为上传至 Docker Hub。
.github/workflows/docker.yml
Perl
name: Build and Deploy to ACK
on:
push:
branches:
- main
# Environment variables available to all jobs and steps in this workflow.
env:
REGION_ID: cn-chengdu
REGISTRY: registry.cn-chengdu.aliyuncs.com
NAMESPACE: wizz-project
IMAGE: experiment-helper-backend
TAG: ${{github.sha}}
jobs:
build:
runs-on: ubuntu-latest
environment: production
steps:
- name: Checkout
uses: actions/checkout@v2
# 1.1 Login to ACR
- name: Login to ACR with the AccessKey pair
uses: aliyun/acr-login@v1
with:
region-id: "${{env.REGION_ID}}"
access-key-id: "${{secrets.ACCESS_KEY_ID}}"
access-key-secret: "${{secrets.ACCESS_KEY_SECRET}}"
# 1.2 Buid and push image to ACR
- name: Build and push image to ACR
run: |
docker build --tag "$REGISTRY/$NAMESPACE/$IMAGE:$TAG" .
docker push "$REGISTRY/$NAMESPACE/$IMAGE:$TAG"
docker tag "$REGISTRY/$NAMESPACE/$IMAGE:$TAG" "$REGISTRY/$NAMESPACE/$IMAGE:latest"
docker push "$REGISTRY/$NAMESPACE/$IMAGE:latest"
每次在 main 分支 commit 后,都会触发 GitHub Action,并将镜像推送至阿里云容器服务。也能够依据 GitHub Flow 等分支管理策略,批改触发条件。
在实现 Docker 镜像的推送后,能够应用 Watchtower 实现镜像的主动拉取、更新。同样应用 docker-compose.yml 部署 Watchtower。
/root/.docker/compose/watchtower/docker-compose.yml
YAML
version: "3.3"
services:
watchtower:
image: containrrr/watchtower
restart: unless-stopped
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- ~/.docker/config.json:/config.json
command: --interval 60 --cleanup --debug
2、前端
同样应用 GitHub Action,每次产生代码提交后,都进行构建,再将 dist 文件夹上传至 OSS。
.github/workflows/oss.yml
HTTP
name: oss
on:
push:
branches:
- main
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: checkout
uses: actions/checkout@v1
- name: install node
uses: actions/setup-node@v2
with:
node-version: "14"
- name: build dist
run: |
npm install -g yarn
yarn install
yarn build
- name: upload files to OSS
uses: fangbinwei/aliyun-oss-website-action@v1
with:
accessKeyId: ${{secrets.ACCESS_KEY_ID}}
accessKeySecret: ${{secrets.ACCESS_KEY_SECRET}}
bucket: experiment-helper-mobile
endpoint: https://oss-cn-hangzhou.aliyuncs.com
folder: ./dist/build/h5
五、日志治理
对于更大规模的生产环境,可能须要 ELK 或者阿里云日志服务等业余的日志解决方案,然而这些解决方案对于本应用场景来说过重了。
咱们的指标为,每个利用的开发者都能够下载到本人利用的日志文件。作者开发过一个小工具,https://github.com/117503445/…。
GoWebDAV 能够将服务器上的文件夹以 WebDAV 的模式裸露进去,并反对浏览器在线拜访、挂载多个门路、门路粒度的 Basic Auth 及只读管制。对于这个场景,小工具也能够轻松解决需要。
在上述 orientation-system 我的项目的部署中,能够察看到将镜像内的 /root/lab.log 挂载到了宿主机的 ~/.docker/volume/orientation-system-be/lab.log;接着部署 GoWebDAV。相干配置规定可查看 repo 上的 README。
/root/.docker/compose/watchtower/docker-compose.yml
YAML
version: "3.3"
services:
webdav:
image: 117503445/go_webdav
restart: unless-stopped
volumes:
- ~/.docker/volume/orientation-system-be:/root/orientation-system-be
environment:
- dav=/orientation-system-be,/root/orientation-system-be,user1,pass1,true
networks:
- traefik
labels:
- "traefik.enable=true"
- "traefik.http.routers.webdav.rule=Host(`webdav.be.wizzstudio.com`)"
- "traefik.http.routers.webdav.tls=true"
- "traefik.http.services.webdav.loadbalancer.server.port=80"
networks:
traefik:
external: true
通过这样配置,开发者就能够通过拜访 https://webdav.be.wizzstudio…. 拜访日志文件了。用户名 user1,明码 pass1,而且只具备只读权限。
同一个 GoWebDAV 镜像反对多个文件夹门路,因而服务器上只用部署 1 个 GoWebDAV 即可。
六、总结
本文给出了中小型我的项目的运维计划,介绍了架构设计的思路及我的项目施行部署,以及 CI/CD、日志治理方面的实际分享,实用于集体开发者和小微公司高并发需要低、资源占用低的利用部署,心愿大家能有所播种。
点击这里,查看全新降级的轻量应用服务器征文活动,处分更丰盛,月月可投稿。