GitHub 和 Docker:如何协同构建与部署应用 – wiki大全

作者: /

GitHub 和 Docker:如何协同构建与部署应用

在现代软件开发中,效率、协作和可靠性是成功的关键要素。GitHub 作为领先的代码托管平台,提供了强大的版本控制和团队协作功能;而 Docker 则通过容器化技术,彻底改变了应用的打包、分发和运行方式。当这两者协同工作时,它们能够构建一个无缝且强大的持续集成/持续部署 (CI/CD) 管道,极大地简化从代码提交到生产部署的整个流程。

本文将深入探讨 GitHub 和 Docker 如何协同工作,帮助开发团队实现更快速、更可靠的应用构建和部署。

为什么选择 GitHub 和 Docker?

将 GitHub 和 Docker 结合使用,可以带来多方面的好处:

  1. 版本控制与协作:GitHub 提供了一个中心化的代码仓库,确保所有团队成员在统一的代码基上工作,并能有效跟踪每次变更。
  2. 环境一致性:Docker 确保应用及其所有依赖项被打包在一个独立的容器中,无论在开发、测试还是生产环境中,应用都将以相同的方式运行,从而消除“在我机器上能跑”的问题。
  3. 自动化 CI/CD:GitHub Actions 可以监听 GitHub 仓库的事件(如代码推送、拉取请求),自动触发 Docker 镜像的构建、测试和推送到容器注册表,乃至最终的部署。
  4. 可移植性与可伸缩性:Docker 容器可以在任何支持 Docker 的环境中运行,无论是本地机器、虚拟机还是云平台。这使得应用更容易在不同环境中迁移,并通过容器编排工具(如 Kubernetes)轻松实现水平伸缩。
  5. 快速迭代:自动化的 CI/CD 流程减少了手动操作的错误,并加速了开发周期,使团队能够更快地将新功能和修复推向市场。

核心概念

在深入实践之前,了解几个核心概念至关重要:

  • Dockerfile:一个文本文件,包含构建 Docker 镜像所需的所有指令。它定义了应用运行所需的基础操作系统、依赖项、文件和配置。
  • Docker 镜像 (Image):一个轻量级、独立的、可执行的软件包,包含运行应用程序所需的一切:代码、运行时、系统工具、系统库和设置。
  • Docker 容器 (Container):镜像在运行时的实例。每个容器都是相互隔离的,拥有自己的文件系统、网络接口和进程空间。
  • 容器注册表 (Container Registry):用于存储和分发 Docker 镜像的服务,例如 Docker Hub、GitHub Container Registry (GHCR) 或私有注册表。
  • GitHub Actions:GitHub 提供的 CI/CD 平台,允许您定义自动化工作流来构建、测试和部署代码。

GitHub 和 Docker 的集成步骤

我们将通过一个简单的示例来演示如何将 GitHub 和 Docker 集成。假设我们有一个 Node.js 的 Web 应用。

1. 项目设置与 Dockerfile 创建

首先,创建一个简单的 Node.js 项目并添加一个 Dockerfile

app.js (示例 Node.js 应用):

“`javascript
const express = require(‘express’);
const app = express();
const port = 3000;

app.get(‘/’, (req, res) => {
res.send(‘Hello from Dockerized Node.js App!’);
});

app.listen(port, () => {
console.log(App listening at http://localhost:${port});
});
“`

package.json:

json
{
"name": "docker-github-demo",
"version": "1.0.0",
"description": "A demo for GitHub Actions and Docker",
"main": "app.js",
"scripts": {
"start": "node app.js"
},
"dependencies": {
"express": "^4.17.1"
}
}

Dockerfile:

“`dockerfile

使用官方 Node.js 镜像作为基础

FROM node:18-alpine

设置工作目录

WORKDIR /app

将 package.json 和 package-lock.json 复制到工作目录

COPY package*.json ./

安装依赖

RUN npm install

将所有应用代码复制到工作目录

COPY . .

暴露应用端口

EXPOSE 3000

定义容器启动时运行的命令

CMD [ “npm”, “start” ]
“`

.dockerignore (可选,但推荐):

node_modules
npm-debug.log
.git
.gitignore

2. 将代码推送到 GitHub

将您的项目代码(包括 Dockerfile.dockerignore)推送到 GitHub 仓库。

bash
git init
git add .
git commit -m "Initial commit: Add Node.js app and Dockerfile"
git branch -M main
git remote add origin https://github.com/YOUR_USERNAME/YOUR_REPO_NAME.git
git push -u origin main

3. 配置 GitHub Actions 工作流

现在,我们将在 GitHub Actions 中创建一个工作流来自动化 Docker 镜像的构建和推送到容器注册表。我们将使用 GitHub Container Registry (GHCR) 作为注册表。

在您的仓库根目录创建 .github/workflows/build-and-push.yml 文件:

“`yaml
name: Build and Push Docker Image

on:
push:
branches:
– main # 当代码推送到 main 分支时触发

env:
REGISTRY: ghcr.io
IMAGE_NAME: ${{ github.repository }} # 格式为 USERNAME/REPO_NAME

jobs:
build-and-push-image:
runs-on: ubuntu-latest
permissions:
contents: read
packages: write # 允许向 GitHub Packages 写入

steps:
  - name: Checkout repository
    uses: actions/checkout@v4

  - name: Log in to the Container registry
    uses: docker/login-action@v3
    with:
      registry: ${{ env.REGISTRY }}
      username: ${{ github.actor }} # GitHub Actions 触发者
      password: ${{ secrets.GITHUB_TOKEN }} # GitHub 提供的自动认证 token

  - name: Extract metadata (tags, labels) for Docker
    id: meta
    uses: docker/metadata-action@v5
    with:
      images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
      tags: |
        type=sha,format=long # 使用 commit SHA 作为标签
        type=raw,value=latest,enable=${{ github.ref == 'refs/heads/main' }} # main 分支打上 latest 标签

  - name: Build and push Docker image
    uses: docker/build-push-action@v5
    with:
      context: .
      push: true
      tags: ${{ steps.meta.outputs.tags }}
      labels: ${{ steps.meta.outputs.labels }}

“`

解释这个工作流:

  • name: 工作流的名称。
  • on: 定义了何时触发此工作流,这里是每次推送到 main 分支时。
  • env: 定义了环境变量,REGISTRY 指向 GHCR,IMAGE_NAME 从 GitHub 仓库信息中自动生成。
  • jobs.build-and-push-image: 定义了一个名为 build-and-push-image 的作业。
    • runs-on: 指定运行作业的操作系统环境。
    • permissions: 授予工作流访问 contents(读取代码)和 packages(写入 GHCR)的权限。
    • steps: 作业中的一系列任务。
      • actions/checkout@v4: 将您的代码检出到工作流运行器。
      • docker/login-action@v3: 使用 github.actor (您的 GitHub 用户名) 和 secrets.GITHUB_TOKEN 登录到 GHCR。GITHUB_TOKEN 是 GitHub Actions 自动提供的一个短期凭证。
      • docker/metadata-action@v5: 自动为 Docker 镜像生成标签和元数据,例如使用 commit SHA 和 latest 标签。
      • docker/build-push-action@v5: 构建 Docker 镜像并将其推送到 GHCR。context: . 表示 Dockerfile 在当前目录,push: true 启用推送。

当您将此工作流文件推送到 GitHub 仓库的 main 分支时,GitHub Actions 将自动运行它,构建您的 Docker 镜像,并将其推送到 ghcr.io/YOUR_USERNAME/YOUR_REPO_NAME

4. 部署工作流 (示例)

一旦镜像被推送到注册表,下一步就是部署。部署策略取决于您的基础设施(例如,裸机服务器、虚拟机、Kubernetes 集群、云服务等)。

以下是一个非常简单的部署示例,假设您有一个 SSH 可访问的服务器,并在上面运行 Docker。

.github/workflows/deploy.yml 文件中:

“`yaml
name: Deploy Docker Image to Server

on:
workflow_run:
workflows: [“Build and Push Docker Image”] # 当构建工作流成功完成后触发
types:
– completed
branches:
– main

env:
REGISTRY: ghcr.io
IMAGE_NAME: ${{ github.repository }}

jobs:
deploy:
runs-on: ubuntu-latest
needs: build-and-push-image # 确保构建作业成功完成
environment: production # 关联到一个 GitHub 环境,用于保护部署
steps:
– name: Checkout repository
uses: actions/checkout@v4

  - name: Get image tag
    id: get_tag
    run: |
      # 假设我们总是部署 latest 标签
      echo "IMAGE_TAG=latest" >> "$GITHUB_OUTPUT"

  - name: Deploy to Server via SSH
    uses: appleboy/ssh-action@master
    with:
      host: ${{ secrets.SSH_HOST }}
      username: ${{ secrets.SSH_USERNAME }}
      key: ${{ secrets.SSH_PRIVATE_KEY }}
      script: |
        echo "Logging into Docker registry..."
        echo "${{ secrets.GHCR_PAT }}" | docker login ${{ env.REGISTRY }} --username ${{ github.actor }} --password-stdin

        echo "Pulling latest image..."
        docker pull ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ steps.get_tag.outputs.IMAGE_TAG }}

        echo "Stopping existing container (if any)..."
        docker stop my-node-app || true
        docker rm my-node-app || true

        echo "Running new container..."
        docker run -d --name my-node-app -p 3000:3000 ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ steps.get_tag.outputs.IMAGE_TAG }}

        echo "Deployment complete!"

“`

配置 GitHub Secrets:

为了安全地连接到您的服务器,您需要在 GitHub 仓库设置中添加 Secrets:

  • SSH_HOST: 您的服务器 IP 地址或域名。
  • SSH_USERNAME: 连接服务器的用户名。
  • SSH_PRIVATE_KEY: 连接服务器的 SSH 私钥。
  • GHCR_PAT: 用于从 GHCR 拉取镜像的 Personal Access Token (PAT),该 PAT 需要 read:packages 权限。您可以创建一个新的 PAT 或使用 GITHUB_TOKEN,但对于部署到外部服务器,使用 PAT 更常见。

解释部署工作流:

  • on.workflow_run: 在 Build and Push Docker Image 工作流成功完成后触发。
  • environment: production: 链接到 GitHub Environments。这允许您为部署添加审批、保护规则和特定于环境的 Secrets。
  • appleboy/ssh-action@master: 一个流行的 GitHub Action,用于通过 SSH 在远程服务器上执行命令。
  • script: 在远程服务器上执行的 shell 命令,包括登录 GHCR、拉取最新镜像、停止并移除旧容器,然后启动新容器。

注意:这是一个非常基础的部署示例。在生产环境中,您通常会使用更复杂的部署策略,如 Kubernetes、Docker Compose、AWS ECS/EKS、Azure AKS 等。这些平台都与 Docker 镜像和 CI/CD 流程无缝集成。

最佳实践

为了充分利用 GitHub 和 Docker,请考虑以下最佳实践:

  1. 优化 Dockerfile

    • 多阶段构建 (Multi-stage Builds):用于创建更小、更安全的生产镜像,只包含最终运行应用所需的依赖项,丢弃构建时才需要的工具和源文件。
    • .dockerignore 文件:类似于 .gitignore,用于排除不必要的文件(如 node_modules.git、本地配置文件等)从构建上下文中复制到镜像中,从而加速构建并减小镜像大小。
    • 最小化层数:每次 RUN, COPY, ADD 指令都会创建一个新的镜像层。合并相关指令可以减少层数,提高构建缓存的效率。
    • 使用特定版本的基础镜像:避免使用 latest 标签作为基础镜像,因为它可能在不经意间引入破坏性变更。例如,使用 node:18-alpine 而不是 node:latest

  2. 安全考虑

    • 使用非 root 用户:在容器中以非 root 用户运行应用程序,以限制潜在的安全风险。可以在 Dockerfile 中使用 USER 指令。
    • 镜像扫描:集成 Docker 镜像安全扫描工具(如 Trivy、Snyk)到 CI/CD 流程中,检测已知漏洞。
    • Secret 管理:永远不要在 Dockerfile 或版本控制的代码中硬编码敏感信息。使用 GitHub Secrets、环境变量或专门的 Secret 管理服务。

  3. 镜像标签策略

    • 版本标签:使用有意义的版本号(如 1.0.0, 1.0.1)来标记镜像,便于回溯和管理。
    • Commit SHA 标签:使用 Git commit SHA 作为标签,可以精确地追溯部署的镜像对应的代码版本。
    • latest 标签:通常只用于指向最新的稳定版本或 main 分支的最新构建。

  4. 自动化测试

    • 在 Docker 镜像构建之前,在 GitHub Actions 中运行单元测试、集成测试。只有当所有测试通过后,才允许构建和推送镜像。

  5. 回滚策略

    • 始终保持多个版本的 Docker 镜像在注册表中可用,以便在出现问题时能够快速回滚到上一个稳定版本。
    • 部署脚本应支持指定要部署的镜像版本。

总结

GitHub 和 Docker 的结合为现代软件开发提供了一个强大的 CI/CD 解决方案。GitHub 负责代码的版本控制和协作,而 Docker 确保应用环境的一致性和可移植性。通过 GitHub Actions,您可以自动化整个流程,从代码提交到容器镜像的构建、测试、存储和最终部署。掌握这些工具和最佳实践,将使您的开发团队能够更快、更可靠地交付高质量的软件产品。

滚动至顶部