前段時間搞了個小專案放到GitHub上面,剛開始的時候,在本地push後,然後在到伺服器上面執行pull拉取,還不覺得有多麻煩,但是後面更新比較頻繁的時候,就覺得十分的繁瑣,所以我就使用GitHub自帶的Webhooks來實現自動部署。
使用GitHub自帶的Webhooks的自動部署邏輯。
- 本地修改程式碼,然後push提交
- github傳送請求給你的網站伺服器
- 網站伺服器收到更新請求,執行自動部署指令碼
- 自動部署指令碼執行程式碼拉取等動作完成網站的更新部署這裡的鉤子就是被請求的URL,如果你只有一個專案的話,你就可以把鉤子直接寫到你的專案裡面,如果有多個專案要管理的話,最好是單獨建一個專案去管理,這樣比較好管理一些。
我只有一個專案所以,我就寫到專案裡面的,我用的是laravel框架。
這裡我為什麼要自己寫一個執行shell的方法呢?因為shell_exec/exec/system/passthru這些函式對錯誤資訊太不友好了。我大部分時間都耗在了排查錯誤上面,而且這些函式很有可能是被禁用掉的。
//github 專案鉤子
public function hook(Request $request){
//webhook中設定的Secret
$secret_token = env("WEBHOOK_SECRET_TOKEN");
//驗證簽名
$hub_signature = $request->header('X-Hub-Signature',"");//這個是GitHub返回來的簽名
if(empty($hub_signature)){
Log::info("無效的鉤子請求");
return "";
}
//這是簽名演算法
$signature = "sha1=".hash_hmac('sha1', $request->getContent(),$secret_token);
//$request->getContent()是請求內容
//如果你用的不是laravel,還可以使用file_get_contents("php://input")獲取
if(strcmp($signature,$hub_signature) == 0){
//簽名驗證成功,執行shell命令
$webPath = "/home/www/xxxxx";//生產環境下專案的目錄地址
$cmd = "cd $webPath && git pull origin master";//shell 命令
$res = $this->doShell($cmd);
Log::info("執行shell命令返回資料:".json_encode($res));
//返回資訊,給GitHub記錄
print_r(json_encode($res));
}else{
Log::info("鉤子請求籤名驗證失敗");
}
}
//執行shell命令
private function doShell($cmd, $cwd = null) {
$descriptorspec = array(
0 => array("pipe", "r"), // stdin
1 => array("pipe", "w"), // stdout
2 => array("pipe", "w"), // stderr
);
$proc = proc_open($cmd, $descriptorspec, $pipes, $cwd, null);
// $proc為false,表明命令執行失敗
if ($proc == false) {
Log::info("shell 命令:".$cmd." 執行失敗");
return false;
} else {
$stdout = stream_get_contents($pipes[1]);
fclose($pipes[1]);
$stderr = stream_get_contents($pipes[2]);
fclose($pipes[2]);
$status = proc_close($proc); // 釋放proc
}
$data = array(
'stdout' => $stdout, // 標準輸出
'stderr' => $stderr, // 錯誤輸出
'retval' => $status, // 返回值
);
return $data;
}GitHub官方建議不要把Secret放到程式碼裡面,官方是建議把Secret放到環境變數裡面
把這個程式碼放到任意一個控制器中就行,然後配置好路由就行。該方法是POST請求,所以你不能驗證CSRF-TOKEN,我是直接把這個路由放到api路由下面的
如果你不只是拉取程式碼,如還需要打包等,就可以先寫一個shell指令碼,然後在
pull後執行指令碼,cd $webPath && git pull origin master && /bin/bash dabao.sh
如果發現推送返回以下的錯誤資訊:
Host key verification failed.
fatal: Could not read from remote repository.
Please make sure you have the correct access rights and the repository exists.首先判斷你執行指令碼的使用者(我的是www使用者)的ssh-key是否加到了GitHub裡面,如果沒有就生成加入。
//為www使用者生成ssh-key
sudo -Hu www ssh-keygen -t rsa -C "github賬號的郵箱"# 請選擇 "no passphrase",一直回車下去
//我是用的root使用者給www使用者生成ssh-key的,如果你是登入的就是www使用者,執行下面的命令就行
ssh-keygen -t rsa -C "github賬號的郵箱"
-Hu www 命令:
-u 代表切換到哪一個使用者,這裡說的是www
-H 代表切換HOME環境變數的值,也就是password檔案中www使用者對應的home目錄百度上面基本就是說沒有配置ssh-key,但是我配置了的,還是會返回這個錯誤。
這個是因為你執行指令碼的使用者,是第一次連線GitHub,所以會彈出一個是否把遠端地址加入到konw_host,我們執行的shell是回車操作,但是直接回車,則預設沒有許可權寫入,必須輸入yes才能正確寫入 konw_host。
解決方法:
1.我們可以在
ssh_config配置檔案中降低安全配置級別,不做提示,直接加入到konw_host。#開啟ssh_config /etc/ssh/ssh_config #找到: StrictHostKeyChecking ask 修改為: StrictHostKeyChecking no但是我不建議這樣做。或者當加入到
konw_host後,你再把安全配置改回來。2.登陸你執行指令碼的使用者,然後使用這個使用者去專案庫裡面拉取一次,然後你輸入
yes就行了。
更多文章參考我的部落格
本作品採用《CC 協議》,轉載必須註明作者和本文連結