Gitlab+Jenkins通过钩子实现自动部署web项目，图文详细教程

扩展参考：Jenkins+Gitlab通过脚本自动部署回滚web项目至集群

1）:Gitlab服务器：ubuntu 192.168.152.131 ---参考搭建：Linux安装gitlab，docker安装gitlab教程

2）:Jenkins服务器：ubunu 192.168.152.130 ---参考搭建：linux安装Jenkins，或docker安装Jenkins教程

在服务器上生成ssh-keygen，用于配置web服务器和Gitlab服务器。

3）:web服务器：centos 192.168.152.150 ---已搭建好LNMP环境

4）:开发者电脑：Windows+key密钥 （用于提交代码）

1：在gitlab创建项目Test Project

2.1）： 配置一个开发者电脑的ssh公钥到gitlab

配置一个开发者电脑的ssh公钥到gitlab，这样才能模拟开发上传代码到gitlab。

windows生成key过程及git安装，可参考：Windows下git和github的使用图文详细教程_the丶only的博客-CSDN博客_github win

在windows测试clone，和提交代码。

注：最新版git 已经将默认分支master改为main了。所以看到main，而不是master不要太奇怪

测试成功，在gitlab也显示有index.html文件。

2.2）： 配置jenkins公钥到gitlab

同理，同样需要jenkins公钥，因为jenkins也需要拉去gitlab的代码。

在 jenkins服务器 上查看公钥并复制添加到gitlab，并命名为jekins。

1：插件管理，安装插件

jenkins本身没什么功能，主要是依靠插件来实现各种强大的功能。

基本需要添加的插件：Gitlab Hook、Build Authorization Token Root、Publish Over SSH、Gitlab Authentication、Gitlab、Git Parameter

可以在 Manage Jenkins >> Manage Plugins 查看管理插件。在Available 选项搜索安装插件即可。

安装完成后，重启Jenkins。

2：添加需要部署的web主机

在 Manage Jenkins >> Configure System 中往下翻，找到 Publish over SSH 选项，点击add ssh server。

在Jenkins服务器上，查看私钥，注，是私钥，不是公钥。

将私钥填写在key位置，还有添加web服务器相关信息。

注：如果测试报错如下

Failed to connect or change directory

jenkins.plugins.publish_over.BapPublisherException: Failed to add SSH key. Message [invalid privatekey: [B@2e54414f]

是因为默认用ssh-keygen命令，默认生成了OPENSSH 格式密钥。而Jenkins暂时不支持这种私钥，私钥开头结尾如下：

所以，需要生成rsa密钥格式的。用开头说的ssh-keygen加其他参数生成即可。

私钥开头结尾如下：

再次测试，显示success，则成功。然后点击save保存即可。

3：构建任务项目

首页创建任务或者一个项目

命名为web-project，选择为freestyle project 自由项目。然后ok确认。

3.1）：源码管理 Source Code Management

选择源码管理，添加gitlab的项目clone地址。

注：最后路径选择分支，我gitlab主分支名字为main,如果是master，则写master，或者合并的其他分支。

在add添加用户

添加完成后，选择git用户，这时没有红色提醒，说明已成功连接

3.2）：构建触发器 Build Triggers

现在Build Triggers，勾选build when....，其他默认，并记下链接 http://192.168.152.130:8080/project/web-project

点击高级 advance 选项。

勾选filter branches regex选择，填写分支，生产token。其他默认

3.3）：构建 Build

选择Build 选项。选择ssh

添加web服务器

添加完毕，最后save保存。

1：添加钩子webhooks.

选择自己的项目Test Project，在设置setting里，选择钩子webhooks.

填写刚才记下的http://192.168.152.130:8080/project/web-project和token值。

最后Add webhook完成：

2：如添加失败，报错，更改Network

注：如填写失败提示Url is blocked: Requests to the local network are not allowed

还需更改Network选项。

3：测试钩子

添加完成后，下面会出现钩子选择。点击test中的，push event。

出现successful，即添加成功。

在Jenkins也可以看到刚才的测试时间信息。

在开发电脑上测试提交，我这里为Windows电脑测试。

打开Git Bash，输入以下命令：

提交成功，回到Jenkins，查看是否构建成功：

绿色显示构建成功，无错误显示。回到gitlab查看项目。

时间显示刚才也提交成功，无错误。最后在浏览器输入web地址测试，本人配置了web访问端口8082。所以输入IP加端口访问。

内容也已经自动更新成功。

完结撒花！！！

1. 架设Git服务器

我们以Ubuntu为例。首先，在git服务器上创建一个名为 'git' 的用户，并为其创建一个.ssh 目录。并将其权限设置为仅git用户有读写权限

$ sudo adduser git

$ su git

$ cd

$ mkdir .ssh

$ chmod 700 .ssh

接下来，把开发者的 SSH 公钥添加到这个用户的 authorized_keys 文件中。假设你通过电邮收到了几个公钥并存到了临时文件里。重复一下，公钥大致看起来是这个样子：

$ cat /tmp/id_rsa.john.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCB007n/ww+ouN4gSLKssMxXnBOvf9LGt4L

ojG6rs6hPB09j9R/T17/x4lhJA0F3FR1rP6kYBRsWj2aThGw6HXLm9/5zytK6Ztg3RPKK+4k

Yjh6541NYsnEAZuXz0jTTyAUfrtU3Z5E003C4oxOj6H0rfIF1kKI9MAQLMdpGW1GYEIgS9Ez

Sdfd8AcCIicTDWbqLAcU4UpkaX8KyGlLwsNuuGztobF8m72ALC/nLF6JLtPofwFBlgc+myiv

O7TCUSBdLQlgMVOFq1I2uPWQOkOWQAHukEOmfjy2jctxSDBQ220ymjaNsHT4kgtZg2AYYgPq

dAv8JggJICUvax2T9va5 gsg-keypair

只要把它们逐个追加到 authorized_keys 文件尾部即可，同时将authorized_keys设置为仅git用户有读写权限。

$ cat /tmp/id_rsa.john.pub >>~/.ssh/authorized_keys

$ cat /tmp/id_rsa.josie.pub >>~/.ssh/authorized_keys

$ cat /tmp/id_rsa.jessica.pub >>~/.ssh/authorized_keys

$ chmod 600 ~/.ssh/authorized_keys

现在可以用 --bare 选项运行 git init 来建立一个裸仓库，这会初始化一个不包含工作目录的仓库。

$ cd /opt/git

$ mkdir project.git

$ cd project.git

$ git --bare init

这时，Join，Josie 或者 Jessica 就可以把它加为远程仓库，推送一个分支，从而把第一个版本的项目文件上传到仓库里了。值得注意的是，每次添加一个新项目都需要通过 shell 登入主机并创建一个裸仓库目录。我们不妨以 gitserver 作为 git 用户及项目仓库所在的主机名。如果在网络内部运行该主机，并在 DNS 中设定 gitserver 指向该主机，那么以下这些命令都是可用的：

# 在 John 的电脑上

$ cd myproject

$ git init

$ git add .

$ git commit -m 'initial commit'

$ git remote add origin git@gitserver:/opt/git/project.git

$ git push origin master

这样，其他人的克隆和推送也一样变得很简单：

$ git clone git@gitserver:/opt/git/project.git

$ vim README

$ git commit -am 'fix for the README file'

$ git push origin master

用这个方法可以很快捷地为少数几个开发者架设一个可读写的 Git 服务。

作为一个额外的防范措施，你可以用 Git 自带的 git-shell 工具限制 git 用户的活动范围。只要把它设为 git 用户登入的 shell，那么该用户就无法使用普通的 bash 或者 csh 什么的 shell 程序。编辑/etc/passwd 文件：

$ sudo vim /etc/passwd

在文件末尾，你应该能找到类似这样的行：

git:x:1000:1000::/home/git:/bin/sh

把 bin/sh 改为 /usr/bin/git-shell （或者用 which git-shell 查看它的实际安装路径）。该行修改后的样子如下：

git:x:1000:1000::/home/git:/usr/bin/git-shell

现在 git 用户只能用 SSH 连接来推送和获取 Git 仓库，而不能直接使用主机 shell。尝试普通 SSH 登录的话，会看到下面这样的拒绝信息：

$ ssh git@gitserver

fatal: What do you think I am? A shell?

Connection to gitserver closed.

这里提供的方法，组内所有成员对project都有读写权限，也就是说每个分支都可以push代码，如果需要更加细致的权限控制，请使用Gitosis或者Gitolite。

2. 搭建Gitweb

安装gitweb之后就可以通过网站访问我们的项目了。就像一样显示了

首先需要安装Gitweb，如果没有安装apache，那么直接安装Gitweb，也会将apache2安装的。

$ sudo apt-get install gitweb apache2

安装完成之后，我们只需要修改一下配置文件，将/etc/gitweb.conf文件中的$projectroot修改为放工程文件的目录。

$ vim /etc/gitweb.conf

# path to git projects (<project>.git)

$projectroot = "/opt/git"

至此gitweb就可以使用了，现在可以通过http://[git_server_IP]/gitweb访问了。

3. Push之后发送邮件通知

当组内成员push代码到服务器上之后，会自动发送邮件通知组内所有人员，该次push的具体内容是什么。具体配置方法：

一般在安装Git的时候发送邮件的脚本/usr/share/git-core/contrib/hooks/post-receive-email已经存在了，首先要修改所有者和执行权限，并且安装sendmail。

$ sudo chown git:git post-receive-email

$ sudo chmod 755 post-receive-email

$ sudo apt-get install sendmail

然后到切换到工程目录下的hooks中，添加 post-receive软链接指向 /usr/share/git-core/contrib/hooks/ post-receive-email。

$ cd /opt/git/project.git/hooks

$ ln -s /usr/share/git-core/contrib/hooks/post-receive-email post-receive

最后修改工程目录中的config文件即可。mailinglist是邮件列表， envelopesender是发件人的邮箱，

$ vim /opt/git/project.git/config

[core]

repositoryformatversion = 0

filemode = true

bare = true

[hooks]

mailinglist = "example@gmail.com, example2@gmail.com" # 收件人列表

envelopesender = project.git@example.com # 送件人地址

emailprefix = "[Project commit] " # 邮件标题前缀

showrev = "git show -C %secho"# 不只显示有变化的文件，同时也显示改变的内容

为了使邮件显示的更清楚，还要修改一下工程目录当中的description文件，在description文件中，默认第一行是项目名称，所以要在第一行填入该项目的名称，这个在邮件中会有显示。

$ vim /opt/git/project.git/description

Project_A

首先要有 ssh远程登陆的工具，比如secureCRT等

方案一 基于SSH直接搭建

Git支持的协议主要是四种：

本地: 需要文件共享系统，权限不好控制

HTTP：速度慢

SSH：同时支持读写操作，不支持匿名的读取(Git默认协议)

GIT：最快

从搭建的难易程度和特点综合筛选，最合适的还是ssh，并且大部分服务器上基本都有ssh服务，所以省去了不少麻烦。一个最基本的思路是给每一个人一个ssh帐号，这样大家就可以通过用户名和口令来访问了，但是显然这不是一个好的选择，这个做法有些多余，并且对于repo的权限很难管理。

在使用Github的时候，会利用rsa.pub公钥/私钥的方式，这样在服务端拥有用户的公钥（*.pub）之后就可以，跨过繁琐的口令，直接认证提交了，而服务端也会根据不同的用户身份，对其权限有着更加灵活的管理。因此我们也采用这种方式。

服务端

为了使远程库访问更加直观，先在服务器上创建一个名为git的账户，这样以后clone的时候就如下面的格式了：

git clone git@server:some.git

创建新的用户，创建repo等目录

$sudo adduser git

$su git

$cd ~

$mkdir repos

在HOME下的.ssh目录，如果没有则创建，创建一个authorized_keys文件，这个文件就是用来管理所有git用户的公钥的，也就是这里面的用户对于项目有着R+W的权限。

客户端

对于每一个客户端，我们需要生成一对密钥和公钥，如果是Github用户，那么.ssh目录下，一定有id_rsa.pub和id_rsa两个文件，其中第一个是系统生成的公钥，另一个是自己要保存好的密钥。如果没有的话，可以在终端执行：ssh-keygen来生成，完成后，将自己的公钥提交给管理员，这就是一个注册的行为。

完成

最后一步，管理员将团队成员的公钥添加到authorized_keys中，比如将同学susie加入：

$ cat susie.pub >>authorized_keys

至此，大家可以通过git@server:repos/some.git来访问公共的版本库了。

问题

安全问题，成员可以登录git用户的shell,细节权限如分支等不好控制

管理麻烦，新建repo,或者增加成员比较麻烦，尤其是修改的时候

方案二 使用Gitolite服务

Gitolite 也是基于SSH协议构建的方便管理git repo的应用，可以通过其源码安装.

安装

安装按照官方给定的文档就可以轻易的实现：

$ git clone git://github.com/sitaramc/gitolite

$ mkdir -p $HOME/bin

$ gitolite/install -to $HOME/bin

$ gitolite setup -pk YourName.pub

如果执行最后一条命令的时候，gitolite不识别，则可以通过下面两种方式解决：

将gitolite添加到PATH里面

通过$HOME/bin/gitolite setup -pk YourName.pub 执行

至此，gitolite在服务端，搭建完毕，会发现此时HOME目录下增加了一个文件projects.list和一个目录repositories,后者就是我们的版本仓库了，每当新建repo的时候，就会在其中创建。

使用

是时候说一下gitolite的管理模式了，他会创建一个gitolite-admin的repo，管理员就是通过像这个repo提交配置文件而实现对git服务器的控制的。

首先，将这个repo导入到我们的workspace：在此之前，需要配置本地的ssh,gitolite要求管理员的本地密钥和其注册公钥的名字一致，比如我们安装的时候指定 -pk后面为 admin.pub 则管理员本地需要由admin对应的私钥。我们可以通过~/.ssh/config来进行配置（注：有些系统可以用conf，Mac OSX 下无效，只能用config).

host gitolite

user git

hostname yourhostname.com

port 22

identityfile ~/.ssh/admin

这样，当我们访问gitolite的时候就会自动根据配置文件执行，配置完成后可以根据下面的命令，将gitolite-admin转移到本地。

git clone gitolite:gitolite-admin.git

克隆完成后，可以发现，gitolite-admin下面有两个目录，其中conf保存配置文件，我们可以通过编辑里面的gitolite.conf文件，管理git服务器，keydir目录保存用户的公钥pub文件。

当我们讲修改后的repo 提交的时候，gitolite就会自动的应用这些配置，管理过程就方便了很多。

配置规则

打开gitolite.conf文件可以看到其中的示例：

To add new users alice, bob, and carol, obtain their public keys and add them to 'keydir' as alice.pub, bob.pub, and carol.pub respectively.

To add a new repo 'foo' and give different levels of access to these users, edit the file 'conf/gitolite.conf' and add lines like this:

repo foo

RW+ = alice

RW = bob

R = carol

上面的配置文件就是新建了一个repo foo，并且添加了三位项目成员，每一个人的权限不同。提交push后，管理便生效了。

可视化

我们可能会需要一个web界面来管理这些项目，我目前知道的有三种方式：

git源码中自带的组件，cgi脚本实现，使用gitolite服务

gitlab开源框架，基于ROR，新版本不再使用gitolite服务

FB开源PHP框架 phabricator，功能高端上档次

---