开发者工具整合台湾秒解云服务器容器部署与CI/CD流水线实例

1.

前言與目標說明

(1) 本文目標：建立一個可在「台湾秒解云服务器」上運行的容器化應用，並用 CI/CD 自動化建置、推送與部署。
(2) 假設條件：你具備雲主機帳號、SSH 存取權、Git 倉庫（例如 GitHub/GitLab）、Docker 基本知識。

2.

準備工作與先決條件

(1) 在秒解雲主控台建立一台 Linux VM（建議 Ubuntu 22.04）並開放 22/80/443、以及應用埠。
(2) 在本地生成 SSH 金鑰：ssh-keygen -t ed25519 -C "you@example.com"，並將公鑰加入雲主機 authorized_keys。
(3) 建議準備 Docker Hub 或私有 Registry（Harbor/Artifactory），以及一個 CI 帳號（GitHub Token/GitLab Runner token）。

3.

連線與環境初始化

(1) SSH 連線範例：ssh -i ~/.ssh/id_ed25519 ubuntu@your.server.ip。
(2) 更新系統並安裝 Docker 與 docker-compose： sudo apt update && sudo apt upgrade -y sudo apt install -y ca-certificates curl gnupg lsb-release curl -fsSL https://get.docker.com | sh sudo usermod -aG docker $USER sudo apt install -y docker-compose-plugin (3) 登出再登入或重啟 ssh 會話以讓 docker 群組生效。

4.

建立範例應用與 Dockerfile

(1) 範例應用：建立一個簡單 Node.js 應用 server.js 與 package.json。
(2) Dockerfile 範例：

FROM node:18-alpine
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
COPY . .
EXPOSE 3000
CMD ["node","server.js"]

(3) 本地測試：docker build -t yourapp:local . && docker run -p 3000:3000 yourapp:local。

5.

設定 Docker Registry 與憑證管理

(1) 若使用 Docker Hub：docker login -u USERNAME -p TOKEN。
(2) 若使用私有 Registry（例如 Harbor）：在雲端或本地安裝，取得憑證或建立 robot 帳號。
(3) CI 要存取 Registry 時，把登入密鑰放在 CI Secret（如 GitHub Secrets）中，命名為 DOCKER_USERNAME/DOCKER_PASSWORD 或 DOCKER_TOKEN。

6.

建立 GitHub Actions CI/CD 範例

(1) 在專案建立 .github/workflows/ci-cd.yml：

name: CI/CD
on: [push]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v4
    - name: Build image
      run: docker build -t ghcr.io/${{ github.repository_owner }}/myapp:${{ github.sha }} .
    - name: Login to registry
      uses: docker/login-action@v2
      with:
        registry: ghcr.io
        username: ${{ secrets.GHCR_USERNAME }}
        password: ${{ secrets.GHCR_TOKEN }}
    - name: Push image
      run: docker push ghcr.io/${{ github.repository_owner }}/myapp:${{ github.sha }}

(2) 這裡可替換為 Docker Hub，或把映像標籤改成最新 (latest) 與 SHA 並同時推送。

7.

部署腳本與遠端自動化（SSH 部署）

(1) 在 repo 建立 deploy.sh：

#!/bin/bash
set -e
IMAGE=$1
ssh -o StrictHostKeyChecking=no ubuntu@your.server.ip << EOF
docker pull $IMAGE
docker stop myapp || true
docker rm myapp || true
docker run -d --name myapp -p 80:3000 $IMAGE
EOF

(2) 在 CI 裡新增步驟使用 SSH Private Key（儲存在 CI secret）呼叫 deploy.sh，或直接在 Actions 使用 appleboy/ssh-action 來執行遠端命令。

8.

使用 docker-compose 或 Kubernetes（選擇）

(1) docker-compose.yml 基本範例：

version: '3.8'
services:
  web:
    image: ghcr.io/owner/myapp:latest
    restart: always
    ports:
      - "80:3000"
    environment:
      - NODE_ENV=production

(2) 若使用 Kubernetes，則撰寫 Deployment/Service YAML，並在 CI 中使用 kubectl apply --kubeconfig /path/to/kubeconfig；可將 kubeconfig 存為 CI secret 並在 runner 中臨時寫入。

9.

監控、日誌與回滾策略

(1) 監控：可用 Prometheus + Grafana 或簡單的健康檢查 endpoint，由 Nginx/Traefik 做反向代理與健康路由。
(2) 日誌：使用 docker logs 或安裝 Filebeat/ELK 將日誌集中化。
(3) 回滾：CI 建置成功後保留舊版映像標籤，部署腳本應支援傳入映像標籤以回滾到先前版本。

10.

安全性與最佳實務建議

(1) 切勿在 repository 中暴露金鑰，所有敏感值放在 CI secret 與雲端憑證管理。
(2) 使用非 root 使用者運行容器、啟用防火牆（ufw）、限制 SSH 只允許金鑰登入。
(3) 定期更新基底映像並掃描映像漏洞（例如使用 Trivy）以降低風險。

11.

問：如何在部署時做到零停機（zero-downtime）？

(1) 答：採用藍綠部署或滾動更新。對於 docker-compose，可以啟用反向代理（如 Traefik/Nginx）並用兩組服務交替替換，再切換路由。
(2) 對於 Kubernetes，使用 Deployment 的 rolling update 策略與 readinessProbe，確保新 Pod 就緒後才移除舊 Pod。

12.

問：如果 CI 無法登入遠端主機該如何排查？

(1) 答：首先確認 CI 中的私鑰是否正確（格式與行尾），檢查雲主機 authorized_keys 是否包含對應公鑰，並檢查安全群組/防火牆是否允許 CI runner IP 的 SSH 連線。
(2) 可在本地模擬 CI 環境使用相同金鑰與帳號嘗試連線，查看 ssh -v 詳細輸出。

13.

問：我想從 docker-compose 換到 Kubernetes，有哪些重點步驟？

(1) 答：主要步驟包括：撰寫 Deployment/Service/Ingress YAML，建立映像 Pull Secret（若是私有 Registry），配置 ConfigMap/Secret，並在 CI 中加入 kubectl 與 kubeconfig 的管理流程。
(2) 測試建議先在本地或小型叢集（如 Kind / k3s）驗證，再移轉到生產叢集，逐步替換流量以降低風險。

来源：开发者工具整合台湾秒解云服务器容器部署与CI/CD流水线实例