f275260b0d
- Dockerfile + entrypoint (alembic + uvicorn), compose с healthcheck - .gitea/workflows: ci (pytest), deploy (SSH + compose по тегу v*) - docs/CICD.md: секреты, pvestandt9, ручной откат через workflow_dispatch Made-with: Cursor
5.1 KiB
CI/CD (Forgejo / Gitea) и деплой на pvestandt9
Цель: пуш тега v* → автоматический деплой на сервер; откат — повторный запуск workflow с другим тегом.
Что в репозитории
| Файл | Назначение |
|---|---|
.gitea/workflows/ci.yml |
На push в main и PR: pytest. |
.gitea/workflows/deploy.yml |
На push тега v*: SSH на сервер → git checkout → docker compose build/up. |
Dockerfile |
Образ Python 3.12, pip install ., entrypoint: alembic upgrade + uvicorn. |
docker-compose.yml |
Сервис onguard24, порт 8080, env_file: .env. |
deploy/entrypoint.sh |
Перед стартом: alembic upgrade head (отключить: SKIP_ALEMBIC=1 в .env). |
Включить Actions в Forgejo
- Админка инстанса или репозитория: включить Actions.
- Зарегистрировать runner с меткой
ubuntu-latest(или изменитьruns-onв YAML на вашу метку, напримерself-hosted). - Если образы
actions/checkoutнедоступны, в настройках Actions задайте зеркало GitHub или используйте встроенные экшены Forgejo (см. документацию вашей версии).
Секреты репозитория
Настройки репозитория → Actions → Secrets:
| Секрет | Пример | Описание |
|---|---|---|
DEPLOY_HOST |
pvestandt9 или IP |
Хост SSH. |
DEPLOY_USER |
root |
Пользователь SSH. |
DEPLOY_SSH_KEY |
содержимое id_rsa |
Приватный ключ (весь PEM, многострочный). |
DEPLOY_PATH |
/opt/onGuard24 |
Каталог клона git на сервере (там же docker-compose.yml). |
Ключ лучше отдельный deploy key только на чтение репозитория или полный доступ, если runner делает только git fetch.
Однократная подготовка сервера (root@pvestandt9)
ssh root@pvestandt9
apt-get update && apt-get install -y git docker.io docker-compose-v2
# или Docker CE по инструкции вашей ОС
mkdir -p /opt/onGuard24
cd /opt
git clone https://forgejo.pvenode.ru/admin/onGuard24.git onGuard24
cd onGuard24
Создайте /opt/onGuard24/.env (как в .env.example): DATABASE_URL, HTTP_ADDR (в контейнере порт задаёт compose; для приложения можно 0.0.0.0:8080), секреты Grafana и т.д.
Настройте git remote и доступ (~/.ssh deploy key или git credential), чтобы git fetch без пароля работал от пользователя, под которым заходит CI (часто root).
Проверка вручную:
cd /opt/onGuard24
docker compose build && docker compose up -d
curl -s http://127.0.0.1:8080/health
При необходимости пробросьте порт наружу (nginx, firewall).
Релиз (деплой новой версии)
- Закоммитить код, запушить тег:
git tag v1.6.0 && git push origin v1.6.0. - Workflow Deploy запустится сам, на сервере обновится код и пересоберётся контейнер.
Откат версии (простой процесс)
- В Forgejo: Actions → Deploy → Run workflow.
- В поле ref указать старый тег, например
v1.4.1. - Запустить. На сервере выполнится
checkoutиresetна этот ref, затемdocker compose build && up -d.
Убедитесь, что старый тег есть в origin (git push --tags не удалялся).
Миграции БД
По умолчанию при каждом старте контейнера выполняется alembic upgrade head. Если нужно отключить (и гонять миграции вручную), в .env на сервере: SKIP_ALEMBIC=1.
Устранение неполадок
- Runner не берёт job — проверьте
runs-onи метки runner. - SSH fails —
ssh -i key root@DEPLOY_HOSTс машины runner;known_hostsпри необходимости добавьте в экшен (расширениеappleboy/ssh-action/ssh-keyscan). git checkoutfails — выполните на сервереgit fetch --tagsвручную, проверьте remote URL и ключ.- База недоступна из контейнера — в
DATABASE_URLукажите хост, доступный из Docker (не127.0.0.1хоста, если БД на хосте — используйте IP хоста илиhost.docker.internalгде поддерживается).
См. также VERSIONING.md и IRM.md.