【DevOps】Jenkins部署

Jenkins部署

资源列表

操作系统	主机名	配置	IP
CentOS 7.9	jenkins	2C4G	192.168.93.101
CentOS 7.9	gitlab	2C4G	192.168.93.102

基础环境

• 关闭防火墙

systemctl stop firewalld
systemctl disable firewalld

• 关闭内核安全机制

setenforce 0
sed -i "s/.*SELINUX=.*/SELINUX=disabled/g" /etc/selinux/config

• 修改主机名

hostnamectl set-hostname jenkins
hostnamectl set-hostname gitlab

一、部署Gilab

1.1、安装Gitlab

• 注意：
  • 本案例没有修改端口，直接使用了80端口，注意不要有冲突。
  • 如果不修改，在克隆项目的时候，给出的仓库链接使用的是gitlab.example.com，在局域网中使用起来不方便，还要修改成gitlab的ip地址。修改后就直接是gitlab的ip地址了。

[root@gitlab ~]# yum -y install policycoreutils-python
[root@gitlab ~]# rpm -ivh gitlab-ce-15.5.1-ce.0.el7.x86_64.rpm

1.2、修改配置文件

[root@gitlab ~]# vim /etc/gitlab/gitlab.rb
external_url 'http://192.168.93.102'

1.3、加载配置文件

• 前提是80端口没有被占用
• 备注：
  • 重启：gitlab-ctl restart
  • 关闭：gitlab-ctl stop
  • 启动：gitlab-ctl start
  • 状态：gitlab-ctl status
  • 帮助：gitlab-ctl --help

# 加载配置文件时间会有点小漫长，请耐心等待
[root@gitlab ~]# gitlab-ctl reconfigure
[root@gitlab ~]# netstat -anpt | grep 80
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      9536/nginx: master

# 查看状态
[root@gitlab ~]# gitlab-ctl status
run: alertmanager: (pid 9869) 80s; run: log: (pid 9755) 102s
run: gitaly: (pid 9858) 81s; run: log: (pid 9121) 194s
run: gitlab-exporter: (pid 9835) 82s; run: log: (pid 9695) 120s
run: gitlab-kas: (pid 9811) 84s; run: log: (pid 9383) 180s
run: gitlab-workhorse: (pid 9820) 84s; run: log: (pid 9518) 137s
run: logrotate: (pid 9055) 207s; run: log: (pid 9063) 206s
run: nginx: (pid 9536) 134s; run: log: (pid 9549) 131s
run: node-exporter: (pid 9830) 83s; run: log: (pid 9619) 125s
run: postgres-exporter: (pid 9953) 79s; run: log: (pid 9775) 96s
run: postgresql: (pid 9240) 189s; run: log: (pid 9335) 186s
run: prometheus: (pid 9843) 81s; run: log: (pid 9731) 108s
run: puma: (pid 9443) 152s; run: log: (pid 9452) 148s
run: redis: (pid 9085) 201s; run: log: (pid 9093) 200s
run: redis-exporter: (pid 9837) 82s; run: log: (pid 9713) 114s
run: sidekiq: (pid 9462) 146s; run: log: (pid 9488) 143s

1.4、访问Gitlab

• 访问地址：
• http://192.168.93.102
  • 默认账号：root
  • 默认密码：cat /etc/gitlab/initial_root_password | grep Password:
    

1.5、修改root登录密码

• 点击右上角用户头像，在下拉菜单中点Preferences，在左侧列表中开打password。本案例中使用的root密码为pwd12345，注意密码长度至少8位。
  

1.6、创建demo测试项目

• 创建一个项目名称叫demo
  

1.7、上传代码

[root@jenkins ~]# yum -y install git
[root@jenkins ~]# tar -zxvf BlueLight.git.tar.gz
[root@jenkins ~]# git clone http://192.168.93.102/root/demo.git
[root@jenkins ~]# mv -f BlueLight/* demo/
[root@jenkins ~]# cd demo/
[root@jenkins demo]# git config --global user.email "wzh@admin.com"
[root@jenkins demo]# git config --global user.name "wzh@wzh.com"
[root@jenkins demo]# git add .
[root@jenkins demo]# git commit -m "web"
[root@jenkins demo]# git push -uf origin main

1.8、验证上传的代码

二、部署Jenkins所需软件

• Jenkins节点操作

2.1、部署JDK

[root@jenkins ~]# tar -zxvf jdk-11.0.16.1_linux-x64_bin.tar.gz
[root@jenkins ~]# mv jdk-11.0.16.1 /usr/local/java11[root@jenkins ~]# cat >> /etc/profile << 'EOF'
export JAVA_HOME=/usr/local/java11/
export CLASSPATH=$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar
export PATH=$JAVA_HOME/bin:$PATH
EOF[root@jenkins ~]# source /etc/profile
[root@jenkins ~]# java -version
java version "11.0.16.1" 2022-08-18 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.16.1+1-LTS-1)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.16.1+1-LTS-1, mixed mode)

2.2、部署Tomcat

[root@jenkins ~]# tar -zxvf apache-tomcat-8.5.56.tar.gz
[root@jenkins ~]# mv apache-tomcat-8.5.56 /usr/local/tomcat

2.3、部署Jenkins

[root@jenkins ~]# yum -y install fontconfig
[root@jenkins ~]# mv jenkins2.401.1.war jenkins.war# 不需要手动解包，把war包移动到tomcat的项目目录中webapps中开启tomcat将会自动解压
[root@jenkins ~]# mv jenkins.war /usr/local/tomcat/webapps/
[root@jenkins ~]# /usr/local/tomcat/bin/startup.sh

2.4、设置Jenkins插件更新源

• 注意：default.json文件或updates目录需要jenkins初始化结束才能出来。此处需要稍等片刻。

[root@jenkins ~]# cd /root/.jenkins/updates/
[root@jenkins updates]# sed -i 's/https:\/\/www.jenkins.io/https:\/\/mirrors.tuna.tsinghua.edu.cn\/jenkins/g' default.json 
[root@jenkins updates]# sed -i 's/https:\/\/www.google.com/https:\/\/www.baidu.com/g' default.json

三、Jenkins初始化

• 访问地址：http://192.168.93.101:8080/jenkins

3.1、登录Jenkins页面

• 根据页面提示，复制Jenkins安装后初始的密钥

[root@jenkins ~]# cat /root/.jenkins/secrets/initialAdminPassword
72a19165668b4b1daec409d9edce6c4e

3.2、选择插件安装方式

• 注意：如果有插件安装失败也没关系，因为安装插件需要网络，结束后可以点击重试。
  
  
  

3.3、创建管理员用户

• 本案例将初始的管理员账号和密码都设置为admin
  
  
  

3.4、Jsenkins插件管理

• 在安装Jenkins时，选择默认安装插件会很慢，甚至会失败，因此我们可以配置插件源为国内的地址。

• 进入Manage Jenkins——>Plugins——>Advancedsettings最下面有Update Site（升级站点），设置为如下链接，并点“提交”按钮

• https://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json
  

• 然后重启Jenkins

# 关闭
[root@jenkins ~]# /usr/local/tomcat/bin/shutdown.sh# 开启
[root@jenkins ~]# /usr/local/tomcat/bin/startup.sh

3.5、安装插件

• 点击“Manage jenkins”——>“Plugins”——>“Avalableplugins”，输入要安装的插件，并勾选列出来的插件，然后点击安装。
• 可以都去搜索一下防止插件没有安装

# 本课程内，可能会用的插件如下所示
Git Parameter
Git Pipeline for Blue Ocean GitLab
Blue Ocean
Blue Ocean Pipeline Editor Blue OceanCore JS
Pipeline SCM API for Blue Ocean Dashboardfor Blue Ocean
Build With Parameters extended Choice ParameterKubernetes
Kubernetes CLI Kubernetes CredentialsImage Tag Parameter Active Choices
SSH
ansible
Maven Integration Publish Over SSH
Role-based Authorization Strategy NodeJS
############################################################
Git Credentials
Credentials Binding
Dynamic Extended ChoiceParameter Plug-In Dynamic Parameter Plug-In
Pipeline
Pipeline: DeclarativeLocalization: Chinese (Simplified)
############################################################# 注意：在初始化如果没有安装好，此处可以进行手动安装，为其他项目的实施提供功能

3.6、软件包安装插件

• 将本课程提供的软件包上传至jenkins服务器

# 第一个mv是备份的意思
[root@jenkins ~]# mv /root/.jenkins/plugins /root/.jenkins/plugins.old
[root@jenkins ~]# tar zxf jenkins-plugins.tar.gz
[root@jenkins ~]# mv plugins/ /root/.jenkins# 重启Tomcat
[root@jenkins ~]# /usr/local/tomcat/bin/shutdown.sh
[root@jenkins ~]# /usr/local/tomcat/bin/startup.sh

四、Jenkins角色与权限管理

• 我们可以利用”Role-basedAuthorization Strategy“插件来管理Jenkins用户权限，在前面的插件安装中已经安装过次插件。

4.1、全局安全配置

• “Dashboard”——>“ManageJenkins”——>“Security”——>“Authentication”
• 将授权策略修改为“Role-Based Strategy”，并保存设置。
  

4.2、角色

• 为了更方便的为用户授权，jenkins中使用角色作为一类权限的容器。角色是一组相关权限的集合。可以为用户指定角色，而不是直接指定权限。

4.2.1、角色种类

• Global roles：Global roles（全局角色）管理员等高级用户可以创建基于全局的角色
• Item roles：针对某个或者某些项目的角色
• Agent roles：节点相关的权限

4.2.2、设置角色

• ”Dashboard“——>”Manage Jenkins“——>”Manage and AssingRoles“。点击”Manage Roles“

• 本案例中我们添加三个角色：

  • baseRole：该角色为全局角色，这个角色需要绑定Overall下面的Read权限，是为了给所有用户绑定最基本的Jenkins访问权限。注意：如果不给后续用户绑定这个角色，会报错：用户名ismissing the Overall/Read permission
    • role1：该角色为项目角色。使用正则表达式绑定”my-itme01.*“，意思是只能操作名称为”my-item01‘开头的项目。
    • role2：该角色也为项目角色。绑定”my-item02“，意思是只能操作”my-item02“开头的项目。

4.2.3、添加角色

• 添加Global roles
  

• 添加item roles
  
  

4.2.4、创建用户

4.2.4.1、添加用户

• ”Dashboard“——>”Manage Jenkins“——>”Users“，在右上角点击”CreateUser“，创建用户。
• 添加两个用户zhangsan，lisi
  

4.2.4.2、绑定角色

• ”Dashboard“——“Manage Jenkins”——>”Manage and Assign Roles“，然后点击”Assign Roles“
• 为zhangsan用户绑定baseRole和role1角色
  

• 为lisi用户绑定baseRole和role2角色
  

4.2.5、创建项目测试权限

4.2.5.1、创建项目

• 用管理员的权限创建两个项目，名字分别是my-item01-zhangsan，my-item02-lisi、

• 创建zhangsan项目

• ”Dashboard“——>”新建Item“——>”确定“按钮
  
  

• 创建lisi项目

• ”Dashboard“——>”新建Item“——>”确定“按钮
  
  

4.2.5.2、测试权限

• 分别用zhangsan和lisi的身份登录到系统
• 可以发现，每个用户只能管理属于自己的角色范围内的项目
  

五、凭证管理

• 在许多第三方网站和应用程序可以与Jenkins进行交互，例如程序代码仓库，云存储系统和服务等。此类应用程序的系统管理员可以在应用程序中配置凭据以专供Jenkins使用。通常通过将访问控制应用于这些凭据来完成这项工作，以”锁定“Jenkins可用的应用程序功能区域。一旦Jenkins管理员（即管理Jenkins站点的Jenkins用户）在Jenkins中添加/配置这些凭据，Pipeline项目可以使用凭据与这些第三方应用程序进行交互。
• 用管理员身份登录到Jenkins。要在Jenkins使用凭据管理功能，需要安装”CreadentialsBinding“插件，前面已经安装过此插件，这里不再安装
• 凭据可以用来存储需要密文保护的数据库密码、Gitlab密码信息、Docker私有仓库密码等，以便Jenkins可以和这些第三方的应用进行交互。

5.1、凭据的种类

• Jinkins提供了多种类型的凭据，使用与不同的业务需求，具体类型如下：

  • Username with password：用户名和密码
  • GitHub App：GitHub应用进行身份验证
  • GitLab API token：存储GitLab的用户给API token
  • OpenShift Username and password：存储OpenShift的用户名和密码
  • SSH Username with private key：使用SSH用户和密钥
  • Secret file：需要保密的文本文件，使用时Jenkins会将文件复制到一个临时目录中，再将文件路径设置到一个变量中，等构建结束后，所复制的Secret file就会被删除。
  • Secret text：需要保存的一个加密的文本串，如顶顶机器人或GitHun的api token
  • Certificate：通过上传证书文件的方式

• 其中，常用的凭证类型有：Username with password（用户密码）和SSH Username with private key（SSH密钥）。接下来以使用Git工具到GitLab拉取项目源代码为例，演示Jenkins的如果管理GitLab的凭证。

• 注意：为了让Jenkins支持从GitLab拉取源码，需要安装Git插件以及在CentOS 7系统上安装Git工具

• 凭据的作用范围

  • 凭据具有与它们相关联的范围。这是一种表示它们如何才能被暴露的方式，Jenkins使用的主要范围有如下2种。

• System（系统）

  • 顾名思义，这个范围与跟上下文，也就是Jenkins系统相关联。此范围中的凭据只被暴露给系统和后台任务，并且一般被用于连接到构建节点或代理节点等。

• 全局

  • 全局范围是默认选项，通过用来确保Jenkins中的任务可以使用凭证

5.2、添加用户密码类型的凭据

5.2.1、添加凭据

• ”Manage jenkins“——>”Credentials“，打开如下页面，并点击”全局“，进入全局凭据管理界面，如下图所示
  

• 在如下界面中，点击右上角的”Add Credentials“按钮，添加凭据
  

5.2.2、添加凭据参数

• 这里主要的内容有：

  • 凭据类型：Username with password
  • 范围：Global
  • 用户名：root（该账号是gitlab中添加的账号）
  • 密码：gitlab中为root用户设置的密码（本案例此处为wzh.2005，注意不是系统的root密码）
  • ID：选填（设置平局的唯一标识，不设置会自动分配一个唯一标识）
  • 描述：选填（凭据名称，此处最好添加一下，使用凭据的时候便于识别，不设置就是用用户名）
    

• 点击”Create“创建此凭据，添加结果如下：
  

5.2.3、使用凭据

5.2.3.1、创建test01项目

[root@jenkins ~]# yum -y install git

5.2.3.2、配置源码管理

5.2.3.3、发布项目

• 运行成功之后，如果没有报错，可以刷新页面，就可以看到绿色的标识了
  

5.3、添加SSH类型的凭据

• SSH类型的凭据可以使Jenkins在拉去gitlab中的代码时使用密钥对的方式，不仅实现了免密连接，同时也会对数据进行加密，是一种安全可靠的凭据方式。
  

5.3.1、Jenkins主机生成密钥对

• 在Jenkins主机上以root身份生成密钥对

# 一路回车即可
[root@jenkins ~]# ssh-keygen

5.3.2、将公钥存放到gitlab

# 查看公钥文件内容
[root@jenkins ~]# cat /root/.ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClBYGM15IosBfenQszhhjbet06ww1YeapOb0lv7M+o9npYYW5nZ9aKHNzYsHIydkJ/ihO+ohJJe+/3ZYHKHSfd2kyOGC2/wWn/lBvbZTinA0UlDZayM/41gEU0vlv2evlM4h3B1SKbWHTM6C/XjwUhBtyaa1rRaSiaCTUjPfKtZu9mviNMn8mxGPgeyjTghqE/CrM8iGGuFkYsowI2Z+bhai8mIKGri3eIGQvuLYgO5X7s9W/g94wJAgapf+8rNrOeU8r9Vl92O3rGO+0ry9eNg8fbY8zuzPN6qWe3GnNT9cHN8qmHBqb4mHDzTsCMDgfTss+8CzxEAxF7VOYpRb/t root@jenkins

• 用root用户登录gitlab，点击右上角的头像，在下拉菜单中点”perferneces“，然后在左侧点击”SSH Keys“
  

5.3.3、Jenkins添加SSH凭据

• ”Manage jenkins“——>”Credentials“，打开如下页面，并点击”全局”，进入全局凭据界面
  
  
  

5.3.4、添加凭据参数

• 这里主要的参数有：
  • 类型：SSH
  • 范围：Global
  • ID：可选
  • 描述：可选
  • Username：root（这个密钥对是用root的身份生成的）
  • Private Key：添加root生成的私钥

# 查看私钥文件内容
[root@jenkins ~]# cat /root/.ssh/id_rsa
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

5.3.5、测试凭据

5.3.5.1、创建test02项目

5.3.5.2、配置源码管理

• 如果报错以下错误可以使用Jenkins节点手动使用ssh登录一下
• 在使用密钥对时，要提前在jenkins主机上生成gitlab主机的fingerprint，否则，此处会提示报错。错误信息如下：
• 第一次连接的话可以看到提示：”Are yousure you want to continue connecting (yes/no)? yes“，输入yes并回车即可生成gitlab主机的fingerprint

[root@jenkins ~]# ssh root@192.168.93.102
The authenticity of host '192.168.93.102 (192.168.93.102)' can't be established.
ECDSA key fingerprint is SHA256:ulREvG0hrcgiCcK7+Tcbv+p0jxe7GDM8ZthK7bU3fMM.
ECDSA key fingerprint is MD5:4b:84:94:c0:62:22:76:ed:26:24:8e:46:c9:1e:03:85.
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '192.168.93.102' (ECDSA) to the list of known hosts.
root@192.168.93.102's password: 

5.3.5.3、发布项目

• 运行成功之后，如果没有报错，可以刷新页面，就可以看到绿色的标识了