CI/CD 经验和避坑

一、坑点

       1.1、后门漏洞

                【问题】Jenkins 有后门，老问题。多年前有人发现，当时Jenkins团队也快速打了补丁(2.137以后)，但是你下载的某些插件如果有漏洞(比如最近Log4j的大雷) 也可能导致被黑。

                【办法】

                             a、升级Jenkins到最新稳定版（2021-12-01最新2.319.1）。

                             b、如果可以，不要把Jenkins服务器暴露在公网。可以选择个人电脑+花生壳。

                             c、放通Docker Tcp端口时，不要放2376端口。

                             d、不要在业务服务器上安装Jenkins。

                             e、替换/删除掉可能出现问题的插件。

                             f、SSH Server不要配置root账户。

                             j、修改JenKins授权：                                 

                                  

       1.2、无用镜像

                【问题】通过Jenkins自动构建镜像后，会在Docker留下一个空镜像，大概700-800M左右，要命的是每构建一次就会多一个，多来几次服务器的磁盘就不够用了。手动可以解决，但不优雅，CI/CD嘛，必须全自动。

                【办法】

                             a、增加构建步骤，通过SSH执行这段命令：                                 

echo "==========清理空镜像=========="
clearImagesList=$(docker images -f "dangling=true" -q)
if [ ! -n "$clearImagesList" ]; then
echo "没有空镜像"
else
docker rmi $(docker images -f "dangling=true" -q)
echo "空镜像已清理"
fi

                            b、如果你选择上传镜像到阿里云仓库（或其他云仓库），还会留下一个tag镜像和原镜像，也可以在构建步骤中删除：

echo "==========清理镜像=========="
docker rmi -f mydotnet6
docker rmi registry.cn-shenzhen.aliyuncs.com/命名空间/仓库名:版本号

       1.3、硬件配置

               根据实践经验，建议Jenkins所在服务器至少拥有2核4GB的配置，低于这个配置时，构建过程可能会十分缓慢，会导致它经常弹出异常错误。

       1.4、私服镜像仓库

                Jenkins默认支持Harbor，非常简单但需要你先搭建好Harbor。通过这种方式上传可以勾选“清理本地镜像”：