:详解Jenkins搭建及使用
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了:详解Jenkins搭建及使用相关的知识,希望对你有一定的参考价值。
个人亲自录制全套DevOps系列实战教程 :手把手教你玩转DevOps全栈技术
Jenkins概述
根据jenkins官网对自己的描述,它是一个可集成有1800+插件的自动化服务,
提供构建、部署和自动化的工程,可以说是opsdev的大总管,将开发的代码工程与环境紧密结合起来。以实现CI持续集成、CD持续发布的能力。
Jenkins构建镜像/部署容器
拉取jenkins lts长期稳定版本[JDK8]
# 从dockerhub上能找到的支持jdk8的长期稳定版是2.346.3-2,所以这里就选的这个版本
# 可参看官网的jdk支持对照表:https://www.jenkins.io/doc/administration/requirements/java/
docker pull jenkins/jenkins:2.346.3-2-lts-centos7
构建自定义jenkins镜像Dockerfile
由于jenkins环境需要jdk、maven和git的支持,而jenkins现有镜像是没有全部集成这三个工具的,所以我们采用自己编写镜像文件,基于jenkins/jenkins:2.361.2-lts
注意:
Dockerfile中我们使用了些实现要准备的文件,如下:都需要拷贝到宿主机/docker/jenkins中(和Dockerfile和docker-compose.yml同目录)
1. jdk-8u181-linux-x64.tar.gz
2. apache-maven-3.8.6-bin.tar.gz
3. git-2.38.1.tar.gz
4. mvnrepo/settings.xml
因为jenkins作为使用maven的客户端,需要一个settings.xml,
这个文件就是用《DEVOPS系列[三]:详解Maven仓库环境及搭建》的即可(注意localRespository要修改)。
5. Dockerfile
6. docker-compose.yml
7. home:目录
8. mvnrepo/repo:目录
# 在vi /docker/jenkins中创建Dockerfile文件[避免下载jdk等,并和Dockerfile一起拷贝到宿主机的/docker/jenkins目录]
FROM jenkins/jenkins:2.346.3-2-lts-centos7
LABEL maintainer="xxx@126.com"
USER root
COPY * /docker/
WORKDIR /usr/local
RUN set -e \\
&& cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \\
&& echo Asia/Shanghai > /etc/timezone \\
&& chmod 755 /docker/* \\
&& mv -f /docker/jdk-8u181-linux-x64.tar.gz ./ \\
&& tar -zxf jdk-8u181-linux-x64.tar.gz \\
&& rm -f jdk-8u181-linux-x64.tar.gz \\
&& echo "jdk install is complete!" \\
&& echo "try to install maven ..." \\
&& mv -f /docker/apache-maven-3.8.6-bin.tar.gz ./ \\
&& tar -zxf apache-maven-3.8.6-bin.tar.gz \\
&& rm -f apache-maven-3.8.6-bin.tar.gz \\
&& echo "maven install is complete!" \\
&& echo "try to install git ..." \\
&& mv -f /docker/git-2.38.1.tar.gz ./ \\
&& tar -zxf git-2.38.1.tar.gz \\
&& rm -f git-2.38.1.tar.gz \\
&& yum remove -y git \\
&& yum install -y curl-devel expat-devel gettext-devel openssl-devel zlib-devel \\
&& yum install -y gcc-c++ make \\
&& cd git-2.38.1 && ./configure && make && make install \\
&& echo "git install is complete!" \\
&& yum clean all
ENV JAVA_HOME /usr/local/jdk1.8.0_181
ENV CLASSPATH .:$JAVA_HOME/lib
ENV MAVAN_HOME /usr/local/apache-maven-3.8.6
ENV GIT_HOME /usr/local/git-2.38.1
ENV PATH $JAVA_HOME/bin:$MAVAN_HOME/bin:$GIT_HOME:$PATH
ENV JAVA_OPTS "-Dfile.encoding=UTF8 -Dsun.jnu.encoding=UTF8 -Djava.security.egd=file:/dev/./urandom"
EXPOSE 8080
EXPOSE 50000
USER jenkins
运行Jenkins容器
为了方便维护,后续统一使用docker-compose.yml
# 1.首先在宿主机创建jenkins的容器目录/docker/jenkins
mkdir /docker/jenkins
# 2.因为jenkins容器启动后会自动使用jenkins用户(所属组为1000)来进行操作,所以需要给宿主机的/docker/jenkins目录授权,此处为简单我们直接使用777授权
chmod -R 777 /docker/jenkins
# 3.编写docker-compose.yml文件:vi docker-compose.yml
version: 3
services:
jenkins:
build:
context: .
dockerfile: Dockerfile
image: lij/jenkins:2.346.3-2-lts-centos7
restart: always
container_name: jenkins
hostname: jenkins
environment:
# 该参数为避免插件安装失败,不校验
- JAVA_OPTS="-Dhudson.model.DownloadService.noSignatureCheck=true"
ports:
- 9078:8080
# 50000 端口是jenkins内部通过JNLP(java提供的一个通过浏览器可以访问java应用的机制)
- 50000:50000
networks:
- exist-net-bloom
volumes:
- /docker/jenkins/home:/var/jenkins_home
# maven仓库的映射,容器中的目录会自动创建
- /docker/jenkins/mvnrepo:/mvnrepo
- /etc/timezone:/etc/timezone:ro
- /etc/localtime:/etc/localtime:ro
networks:
exist-net-bloom:
external:
name: devops
Jenkins初始化
查看web页面入口密码:/var/jenkins_home/secrets/initialAdminPassword
入口:10.10.1.199:9078选择推荐安装即可:避免手动安装麻烦,如果这里安装失败也没关系,进入jenkins后可以更改为国内源后重新安装。
更新国内镜像源:ManageJenkins -> ManagePlugins -> Advance -> 升级站点
输入:http://mirror.esuni.jp/jenkins/updates/update-center.json重启:http://10.10.1.199:9078/restart
我这里安装后有一个警告:这个是jenkins内置的jetty存在一个漏洞,具体大家可以点过去看一下,因为jenkins一般都在内网使用,忽略这个问题就行。
全局工具配置
maven的settings.xml我们已经通过宿主机的目录将其映射到容器内部,直接选择即可。
其他参照容器的环境变量设置好即可。
路径:系统管理->全局工具配置[如果路径不对,页面会直接报错,放心配置即可]
Jenkins插件安装
- 集成maven插件:Maven Integration、Pipeline Maven Integration
- 集成gitlab插件:GitLab、Generic Webhook Trigger、Git Parameter(允许选择分支、tag构建)
- 集成ssh插件:Publish Over SSH,让jenkins具备通过ssh远程发布的能力,通俗讲就是通过ssh将build后的包发布到目标服务器(如微服务服务器等)
-> 安装完后重启Jenkins服务
【Publish Over SSH】配置
- 基于用户名密码方法
- 基于RSA公/私钥免密方式
路径:系统配置->Publish over SSH
主要功能就是可以让jenkins容器能够通过ssh命令远程到其他目标机器。
jenkins构建后的工程会在自身的/var/jenkins_home/workspace目录,而我们的前、后端服务一般都是单独,比如都是用docker,那么jendins构建的包就需要发送给可以构建docker镜像的服务器(如宿主机、kubernetes等),交由他们去将构建包打入镜像,然后部署镜像运行容器。【我们这里目标机器就是宿主机】
用户名密码方式
通过输入用户名和密码来完成ssh的鉴权,会存在中间人攻击的风险。
- 原理:首次客户端要连接ssh服务时,如果客户端未携带公钥参数访问ssh服务,则ssh服务将本地的公钥下发给客户端,客户端使用收到的公钥将密码加密后发送,ssh服务收到密文后使用私钥解密,得到密码然后进行鉴权。
- 风险:中间人攻击,如果客户端连接的是中间人的ssh服务,那么中间人很容易就得到了客户端的密码。
- 配置方法:用户名密码方式比较简单,重点是RemoteDirectory,就是目标机器的目录,该目录在目标机器需要事先创建好,否则在配置页面test时会报错。
RSA公/私钥免密方式
客户端不需要输入密码直接连接ssh进行操作。
- 原理:客户端需要自己生成一套公私钥,并提前将公钥发送给ssh服务,由ssh服务存储在自己的密钥配置文件(~/.ssh/authorized_keys)中.这样当客户端与ssh建立连接时,将会把自己的公钥传递给ssh服务,而ssh收到请求后发现客户端传递了公钥,所以将使用RSA认证,同时他也不会给客户端发送自己的公钥,而是将收到的公钥与自己保存的公钥列表比对,如果成功比对则通过在ssh服务创建一个随机数,并用收到的公钥加密发给客户端,客户端收到密文使用自己的私钥解密再讲解密后的随机数发回ssh服务,ssh服务收到后与创建时的随机数比对,成功则完成连接握手。
- 优点:不存在中间人攻击,安全性高,但效率不如前者。
- 配置方法:①服务端开启RSA验证 ②客户端生成RSA密钥对 ③客户端公钥提交至服务端 ④客户端配置使用RSA进行ssh连接 ⑤修改jenkins的配置
1.修改服务端ssh服务,开启RSA验证:
vi /etc/ssh/sshd_config
RSAAuthentication yes #开启rsa验证 PubkeyAuthentication yes #通过公钥进行验证 AuthorizedKeysFile .ssh/authorized_keys #保存公钥的的服务端文件,该目录为>~/.ssh/authorized_keys
2.客户端生成RSA密钥:
进入jenkins容器,执行如下命令生成密钥对
# 生成密钥对,因为我们jenkins容器使用的是jenkins用户,而jenkins容器的默认用户是我们指定的/var/jenkins_home # 所以此处我们直接回车,使用默认的保存密钥对目录:/var/jenkins_home/.ssh/ # 继续回车会让输入私钥的加密密码,我们此处不输入直接回车,即不设置私钥密码(如果设置的话,打开私钥文件都需要输入密码) ssh-keygen -t rsa
此时进入/var/jenkins_home/.ssh/目录会发现已经生成了id_rsa(私钥)和id_rsa.pub(公钥)文件,其内容都是经过Base64编码后的内容。
3.客户端公钥拷贝到ssh服务器端:
此处我们使用远程公钥发送命令(在jenkins容器中执行如下命令)
ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.10.1.199
期间会要求输入宿主机root账号密码(此处多以演示为主,线上我们一般会专号专用,根据需求设置账号权限,不会使用root账号操作)完成后,会在宿主机root账号的home目录的.ssh/authorized_keys中增加公钥内容,如果没有该文件会新建,如果有则会追加。
4.客户端配置开启RSA登录ssh:
vi /etc/ssh/ssh_config 【注意作为客户端是ssh_config起作用,作为服务端是sshd_config起作用,注意区分】
# 注意该文件为root权限修改,需要以root用户登录jenkins容器进行操作 docker exec -it -u root jenkins bash vi /etc/ssh/ssh_config # 将以下注释释放即可 IdentityFile ~/.ssh/id_rsa
至此:配置完毕,可以直接在jenkins容器内部,通过ssh连接宿主机测试是否成功,如果不需要密码直接登录则表示成功,如下图:
问题:
此处我们使用的是宿主机的root账号登录,权限最大;如果是自建的普通账号,那么账号的home目录(保存authorized_keys的目录)需要设置成不允许其他用户和组操作,即755权限,而文件authorized_keys需要指定为700权限。而客户端jenkins生成的公私钥的目录也要做同样的权限修改。
Jenkins配置
"系统管理"->"系统配置"->"Publish over SSH"
配置完成后,点击测试提示Success即可。
问题:
有些同学点击测试后可能会提示privatekey(Failed to add SSH key)
错误。
解答:
这是因为生成的私钥文件内容的格式有些问题,打开内容应该会发现开头是BEGIN OPENSSH...
,而这不是标准的RSA私钥格式,
我们需要使用工具将内容转换成RSA格式,比如使用puttygen工具,有可视化界面,将私钥文件导入生成新的私钥再替换到jenkins容器的id_rsa即可。
当然也有命令行工具可以转换,这个交给大家自己去拓展吧,在此就不多说了。
标准RSA私钥文件内容开头应该是BEGIN RSA...
。
原因:
之所以通过ssh-keygen -t rsa会生成"BEGIN OPENSSH..."样的私钥,是因为openssh生成密钥格式有两种,而老版本是"BEGIN RSA..."开头,新版本是"BEGIN OPENSSH..."开头,生成的是哪个版本看openssh的版本,当然也可以强制生成老版本格式,比如通过指定参数:
ssh-keygen -m PEM -t rsa,其中-m PEM就是生成RSA格式的密钥,这个大家知道下就行了,具体可以查看ssh-keygen的使用。
关于sftp的简单了解
:其实ssh服务除了包括sshd服务还包含sftp服务,即我们设置了以上的免密登录,那么sftp也自动变成了免密登录,而sftp授权的根目录是一般是登录用户的home目录,如果需要调整则要到sshd_config中进行配置,而我用的是root免密,所以共享目录是/root,如果通过jenkins需要拷贝文件(Transfer Set)到远程目录,需要留意一下这个目录,jenkins设置的目录都是基于宿主机的共享目录之上进行设置的。
Gitlab SSHKEY配置
其实和ssh免密登录几乎一样,只不过生成密钥对时需要指定使用哪个gitlab账号
# 在jenkins容器中生成密钥对,并指定gitlag账号
ssh-keygen -t rsa -C “登录gitlab的邮箱”
生成密钥对后,只需要2步:
- 将公钥内容配置到gitlab对应账号的sshkey
- 将私钥配置到jenkins的凭证中
注意:这样配置将会是失败的,因为我们已经生成了2套公私钥,并且默认使用的是/etc/.ssh/ssh_config中指定的~/.ssh/id_rsa,而gitlab使用的是gitlab的账号,所以需要单独配置一下gitlab的认证使用哪个私钥,否则都去用默认的了,肯定会验证失败。
# 修改jenkins容器ssh_config配置文件:vi /etc/ssh/ssh_config
# ssh命令读取配置文件顺序:命令行参数 -> ~/.ssh/config -> /etc/ssh/ssh_config
Host 10.10.1.199 # 随意定义的一个名字【但因为我这里gitlab是将22端口映射到宿主机2224上,所以Host要指定为10.10.1.199,否则匹配补上】
HostName 10.10.1.199 # gitlab的ip地址【指定宿主机ip】
Port 2224 # 端口号,我们的gitlab映射ssh端口时指定的为2224
PreferredAuthentications publickey # 指定认证方式
User xxx@126.com # 指定登录gitlab的账号
IdentityFile ~/.ssh/gitlab_id_rsa # 指定为gitlab生成的证书的私钥绝对路径
# 操作完后可以在jenkins容器中先做测试,直接拉取gitlab代码看是否正常,注意要使用ssh方式拉取
git clone ssh://git@10.10.1.199:2224/devops/demo.git
如果是如下结果,说明配置成功:
更正一个网上错误概念:
如上操作,其实openssh的配置文件都是以一个Host节点为单位,可以配置多个Host,而默认的一般是"Host *",表示所有的都生效
但是网上有多数资料,在解决ssh客户端存在多个证书密钥时都需要配置一个ssh-add ~/.ssh/gitlab_id_rsa的命令,
其实这是不对的,一个很大的误导,ssh-add是向ssh-agent代理认证服务中添加私钥证书,如果添加了即便~/.ssh/config配置的不对也是生效的,
其实这是两种方式,前者是ssh自身读配置去建立连接,而ssh-agent是ssh将认证功能交给代理完成,而代理不会使用默认的配置,而是优先使用提交给代理高速缓存的证书进行验证,而ssh-add就是向高速缓存中存入证书信息,所以指定了ssh-add后,即便不配置~/.ssh/config也是可行的,但ssh-agent是一个临时存储,重启后缓存会清空。
如果要用这种方式,则按如下操作即可:
# 加入代理,如果执行报错【Could not open a connection to your authentication agent】 # 可以先执行命令:[ssh-agent bash],然后执行如下命令 ssh-add ~/.ssh/gitlab_id_rsa # 查看是否成功 ssh-add -l
最后我们在jenkins的仓库页面可以看到不会提示报错了
详细命令可参考OpenSSH官网:
https://www.openssh.com/manual.html
以上是关于:详解Jenkins搭建及使用的主要内容,如果未能解决你的问题,请参考以下文章