前言
过去的一年里,由于公司业务不稳定,基本上都在和需求以及支撑上较劲了,jenkins一直都有在用,也在用jenkins做发版等操作的管理,但是不成体系。每一个动作,都需要复制以前的脚本,再改一改,用进去。这种东西,研发应该都能想到,复制粘贴是万恶之源。虽然都能用,但是一旦有内容发生变更,这样搭建起来的运维体系是很脆弱的。果然,后来我们有大版本升级,过渡阶段两个大版本都需要发布,等等操作,这套体系现在就有些废了,没人搞得清楚哪些能用,哪些不能用,不能用的又是什么原因,哪些脚本里都需要调整什么东西。这碰见了疫情,公司业务慢下来了,我也有时间来调整这里了。
其实jenkins我也不是很熟,也就是借着这次好好学了一下。首先,1.x和2.x从理念上是有很大差异的,而我们之前的用法基本都是以1.x的理念为基础的。2.x是以管道为核心的,学了下,感觉,简单了。另外,2.x有个Blue Ocean的新界面,挺好看的。不过,我摸索的时候还是以老界面为主的,所以,有些操作我还是会以老界面为主去介绍,本文以介绍一个简易的自动化解决方案为内容,该解决方案既是解决我燃眉之急的内容,也是后续研究的前提吧。总得能把东西跑通了,才能验证高阶的使用是否正确吧。
简述
之所以先出这个简易解决方案,是因为我现在就需要用它解决问题。我们有个服务不是很稳定,产线隔三差五的就停止服务,但是进程又不挂,所以我们做了个探活的请求来探索。但是,最近挂得有点频繁,如果晚上挂了,最早得等我醒了才能重启服务,让服务可用。这就有些蛋疼了。所以,我的基本思路,就是在原来的探活基础上,做一个jenkins的任务,当发现服务不可用,调用这个jenkins任务,进行重启服务。要解决的问题主要如下:
- 重启指定进程
- 编写可以完成任务的jenkins任务
- 让jenkins任务可以被远程调用
- 让探活服务可以触发jenkins任务
重启指定进程
这个问题以前其实挺麻烦的,因为需要通过ps命令筛选出来准确的进程。后来,同事使用了根据监听端口查询的思路,我觉得很有见地,也更容易查询到准确的进程。不过呢,我的所有环境都是用了supervisor进行了进程守护,所以,我只需要使用superviorctl restart命令就可以了。前面提到的两个,都需要使用shell命令查到准确的进程号,再用到kill命令里面去
编写可以完成任务的jenknins任务
这里我们还是使用传统的界面,在Blue Ocean里面要创建就必须指明仓库,而我们这里不需要拉取代码,所以还是传统界面吧,创建一个流水线任务。
这个任务里,我们只需要填写流水线脚本就好了,其它的都不需要设置。但是吧,没有流水线脚本的图形化配置界面,就是要我们写代码嘛。这个脚本本质上是groovy的代码,所以,就是写代码。不过,jenkins为了方便我们使用,它提供了两个机制帮助我们写代码。首先就是,可以选几个样例代码,在脚本编辑框的右上角,我们选择“Hello World”,可以看到插入了如下的代码:
pipeline {
agent any
stages {
stage('Hello') {
steps {
echo 'Hello World'
}
}
}
}
这个,被称为声明式pipeline脚本,最外层是固定的pipeline,大括号代码了代码域,我们写的所有的都是一个pipeline。agent是用来说明指定谁执行这个脚本的,我们这里没有限制,就用any。stages,就是步骤了,样例里面给了一个stage,steps这些代码,我们改一改就是我们的了。
stage,就是它英文单词的含义,阶段。step是步骤,就是两层嵌套关系来管理流程。我们这个任务只有一个stage,里面重启我的两个进程就可以了。先改一改,如下:
pipeline {
agent any
stages {
stage('reboot') {
steps {
//重启第一个进程
//重启第二个进程
}
}
}
}
现在,基本代码结构有了,那么,重启的代码怎么写呢?别急,还有另一个帮我们写代码的。在脚本编辑框下面可以找到一个链接“流水线语法”,点击进去,可以看到片段生成器。片段生成器,是帮助我们生成我们需要的代码片段的。在示例步骤出,选择sshPublisher,就可以看到其完整的配置界面(不知道怎么用这个插件的,可以看下我另一篇博客的内容https://www.jianshu.com/p/bddfab76acf2)。这是一个推送文件并执行脚本的插件,我们不推送文件,就变成了只执行脚本的插件了(记得选择凭证)。选好后,点击生成流水线脚本即可,然后粘贴到脚本里就可以了。结果如下:
pipeline {
agent any
stages {
stage('reboot') {
steps {
sshPublisher(publishers: [sshPublisherDesc(configName: 'release', transfers: [sshTransfer(cleanRemote: false, excludes: '', execCommand: '''/usr/bin/supervisorctl restart iot-server-13000
/usr/bin/supervisorctl restart iot-server-14000''', execTimeout: 120000, flatten: false, makeEmptyDirs: false, noDefaultExcludes: false, patternSeparator: '[, ]+', remoteDirectory: '', remoteDirectorySDF: false, removePrefix: '', sourceFiles: '')], usePromotionTimestamp: false, useWorkspaceInPromotion: false, verbose: false)])
}
}
}
}
这个时候执行,就可以看到脚本执行成功了。
让jenkins任务可以被远程调用
这个任务很简单,但是如果每次只能手动触发,那不就又变成了醒过来以后看到报警再执行了吗。我们需要让它可以被系统调用。jenkins支持url调用,只需要简单的配置即可。
首先,我们在任务的构建触发器中找到“触发远程构建”的选项,勾选它,输入一个身份令牌。你可以把它看成可以执行该任务的凭证,简单点说就是密码(涉及保密,本文我就用123456了)。 这一个输入框下面,你可以看到几行英文字,里面有请求用的url,看不懂就查单词翻译吧。
其实吧,还有个地方要设置,在全局安全配置中,把“跨站请求伪造保护”关掉,就不会告诉你403错误了。然后,你根据提供的url请求,无论get和post,都可以看到请求被执行了。
最后,我这个jenkins是内网的,需要在网关做端口映射,透给公网调用。这部分我就不说了哈,自己根据自己的网络环境配就行了。
还有个注意事项,就是,在url中需要加入用户的凭证信息,之前加入的是项目的token,我们还需要用户的。简单来说,就是在你的域名和http://之间,加入username:password@的内容,这个password可以是用户的登录密码。不过这样很不安全,也可以在用户的凭证中添加凭证,将凭证的内容放在这个部分,完整的url看起来像是这样:
http://username:password@domain:port/job/job_name/build?token=your_token
后来我发现,似乎token也是可以不加的。
让探活服务可以触发jenkins任务
之前,我觉得只需要让探活服务回调jenkins的url就可以了,结果证明,是不行的。而且,它的回调方法是由数据的。所以,需要专门写个回调方法,然后在自己调用jenkins。然后,我又以为直接调用url就可以了,其实也是不行的,因为前面的username:password没有被正确处理,所以,java 的调用代码需要向下面这个样子:
URL url = new URL("http://domain:port/job/job_name/build?token=your_token");
HttpURLConnection c= (HttpURLConnection) url.openConnection();
c.setRequestMethod("POST");
c.setRequestProperty("Authorization", "Basic " + Base64.getEncoder().encodeToString(("username:password").getBytes()));
c.getInputStream().close();
好了,拿去不谢。
细节补充
报错No valid crumb was included in the request
接口调用jenkins时可能报403,错误信息是。这可能是由于你是跨站请求导致的。需要在全局安全设置里面去除跨站请求保护。但是,这个东西在2.2以上的版本中无法关闭,需要在启动的jvm参数中添加如下配置:
-Dhudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION=true
