92 lines
3.9 KiB
YAML
92 lines
3.9 KiB
YAML
# Деплой на сервер по SSH после пуша тега v* или вручную (в т.ч. откат на старый тег).
|
||
name: Deploy
|
||
|
||
on:
|
||
push:
|
||
tags:
|
||
- "v*"
|
||
workflow_dispatch:
|
||
inputs:
|
||
ref:
|
||
description: "main, v1.7.0 или 1.7.0 (без v подставится автоматически)."
|
||
required: true
|
||
default: "main"
|
||
|
||
jobs:
|
||
deploy:
|
||
runs-on: ubuntu-latest
|
||
steps:
|
||
- name: Определить ревизию
|
||
id: pick
|
||
env:
|
||
RAW_REF: ${{ inputs.ref }}
|
||
run: |
|
||
# Forgejo иногда подставляет refs/heads/main вместо main — иначе нет origin/refs/heads/main.
|
||
normalize_ref() {
|
||
case "$1" in
|
||
refs/heads/*) echo "${1#refs/heads/}" ;;
|
||
refs/tags/*) echo "${1#refs/tags/}" ;;
|
||
*) echo "$1" ;;
|
||
esac
|
||
}
|
||
if [ "${{ github.event_name }}" = "workflow_dispatch" ]; then
|
||
R=$(printf '%s' "$RAW_REF" | tr -d '\r\n' | sed 's/^[[:space:]]*//;s/[[:space:]]*$//')
|
||
R=$(normalize_ref "$R")
|
||
# Теги в git: v1.7.0; если ввели 1.7.0 — подставляем v.
|
||
if echo "$R" | grep -qE '^[0-9]+\.[0-9]+\.[0-9]+$'; then
|
||
echo "::notice::Указано $R без префикса v — деплой на v${R}"
|
||
R="v${R}"
|
||
fi
|
||
echo "ref=$R" >> "$GITHUB_OUTPUT"
|
||
else
|
||
R=$(normalize_ref "${{ github.ref_name }}")
|
||
echo "ref=$R" >> "$GITHUB_OUTPUT"
|
||
fi
|
||
|
||
# Без секретов appleboy/ssh-action падает с «missing server host» — даём явную подсказку.
|
||
- name: Проверить секреты деплоя
|
||
env:
|
||
DEPLOY_HOST: ${{ secrets.DEPLOY_HOST }}
|
||
DEPLOY_USER: ${{ secrets.DEPLOY_USER }}
|
||
DEPLOY_PATH: ${{ secrets.DEPLOY_PATH }}
|
||
DEPLOY_SSH_KEY: ${{ secrets.DEPLOY_SSH_KEY }}
|
||
run: |
|
||
ok=0
|
||
[ -n "$DEPLOY_HOST" ] || { echo "::error::Секрет DEPLOY_HOST пустой. Forgejo → репозиторий → Настройки → Actions → Secrets."; ok=1; }
|
||
[ -n "$DEPLOY_USER" ] || { echo "::error::Секрет DEPLOY_USER пустой."; ok=1; }
|
||
[ -n "$DEPLOY_PATH" ] || { echo "::error::Секрет DEPLOY_PATH пустой (каталог клона на сервере, напр. /opt/onGuard24)."; ok=1; }
|
||
[ -n "$DEPLOY_SSH_KEY" ] || { echo "::error::Секрет DEPLOY_SSH_KEY пустой (приватный SSH-ключ целиком, PEM)."; ok=1; }
|
||
exit "$ok"
|
||
|
||
- name: SSH — fetch, checkout, docker compose
|
||
uses: appleboy/ssh-action@v1.2.0
|
||
with:
|
||
host: ${{ secrets.DEPLOY_HOST }}
|
||
port: "22"
|
||
username: ${{ secrets.DEPLOY_USER }}
|
||
key: ${{ secrets.DEPLOY_SSH_KEY }}
|
||
script_stop: true
|
||
command_timeout: 20m
|
||
script: |
|
||
set -euo pipefail
|
||
REF="${{ steps.pick.outputs.ref }}"
|
||
cd "${{ secrets.DEPLOY_PATH }}"
|
||
echo "=== deploy REF=$REF ==="
|
||
git fetch origin --tags --prune
|
||
git checkout "$REF"
|
||
# Теги не дают refs/remotes/origin/<тег> — только ветки; для v* срабатывает else.
|
||
if git show-ref --verify --quiet "refs/remotes/origin/$REF"; then
|
||
git reset --hard "origin/$REF"
|
||
else
|
||
git reset --hard "$REF"
|
||
fi
|
||
echo "=== git HEAD ==="
|
||
git log -1 --oneline
|
||
echo "=== docker compose version ==="
|
||
docker compose version
|
||
echo "=== docker compose build ==="
|
||
docker compose build --progress=plain
|
||
echo "=== docker compose up ==="
|
||
docker compose up -d
|
||
docker compose ps
|