Free Arch: 将 IdentityServer 部署到 Okteto
最终成果
部署了一个免费的 IdentityServer 实例: https://id6-jeff-tian.cloud.okteto.net/
相关代码提交
一共 3 个,以这个为主:
https://github.com/Jeff-Tian/IdentityServer/commit/b40e6c6f8e4193ef459ab558a102f84442b3cede
前情提要
早在《身份验证哪家强?Identity Server 初体验》中,就部署了一个免费的 IdentityServer 实例,托管在 Azure 上: https://id6.azurewebsites.net/。
后来,我宣称 Free Arch 要狡兔三窟,多处部署:《Free Arch: 狡兔三窟,多处部署》。今天,就来给 IdentityServer 这个实例,添加一个分身,从此不局限于 Azure 平台。就详述一下部署将它部署到 Okteto 的步骤。由于采用了 OAM,不需要太多工作,就能参考前文,将它部署到 Napptive 等任何 Kubernetes 集群里。
第一步,容器化
这是一个 ASP.NET Core 项目,从官方的开源仓库 fork 过来后做了一些魔改,源代码在: https://github.com/Jeff-Tian/IdentityServer。其 Dockerfile 如下:
FROM mcr.microsoft.com/dotnet/aspnet:6.0 AS base
WORKDIR /app
EXPOSE 5000
EXPOSE 5001
FROM mcr.microsoft.com/dotnet/sdk:6.0 AS build
WORKDIR /src
COPY . .
RUN dotnet restore "hosts/main/Host.Main.csproj"
RUN dotnet build hosts/main/Host.Main.csproj -c Release -o /app/build
FROM build AS publish
RUN dotnet publish hosts/main/Host.Main.csproj -c Release -o /app/publish
FROM base AS final
WORKDIR /app
COPY --from=publish /app/publish .
ENTRYPOINT ["dotnet", "Host.Main.dll"]
第二步,构建镜像并上传至 Docker Registry
为了能够自动在 github actions 的 cicd 过程中自动进行这一步,我们把手动执行的命令放在一个文件里: .github/ci.sh
。这一步的提交见:
https://github.com/Jeff-Tian/IdentityServer/commit/3db4235f5e091cda1d2752a8f61df5a9fddbd2b4。
docker build -t jefftian/id6 .
docker images
docker run --network host -e CI=true -d -p 127.0.0.1:5000:5000 --name id6 jefftian/id6
docker ps | grep -q id6
docker ps -aqf "name=id6"
docker push jefftian/id6
docker logs $(docker ps -aqf "name=id6$")
curl localhost:5000 || docker logs $(docker ps -aqf "name=id6$")
docker kill id6 || echo "id6 killed"
docker rm id6 || echo "id6 removed"
第三步,准备数据库
本 IdentityServer 使用了 PostgreSQL 数据库。如何拥有一个免费的 PostgreSQL 数据库服务?如果喜欢自己部署,仍然可以利用 Okteto,参考:《Free Arch: 在 Okteto 上部署 backstage (第一部分: PostgreSQL)》。
当然,也可以使用别人部署好的免费 PostgreSQL 服务,比如 app.nhost.io 提供的服务就不错。
为了验证数据库连接正常,本 IdenityServer 只是连接了数据库,并且执行了一个空的 EF Migration,在本地使用 docker compose 验证了成功执行了 Migration:
这个 docker compose 文件如下:
version: "3"
services:
postgres:
image: "postgres"
ports:
"5432:5432"
environment:
POSTGRES_DB: id6
POSTGRES_USER: postgres
POSTGRES_PASSWORD: nopwd
volumes:
pg:/var/lib/postgresql/data
adminer:
image: library/adminer:latest
restart: always
ports:
7777:8080
volumes:
pg: ~
由于依赖了数据库,在本地运行本 IdentityServer 实例,需要:
docker compose up -d
dotnet run --project hosts/main/Host.Main.csproj
最终部署后,它会在线上的数据库里也创建出一个 __EFMigrationHistory 表,如果是使用了 app.nhost.io 的服务,可以使用其提供的 Hasura 验证:
第四步,加密敏感信息
这就是前面提到的主要的提交。再一次使用了 SOPS,对 SOPS 步骤的详细介绍参考《[Free Arch: 在 Okteto 上部署 backstage(第二部分) - Jeff Tian的文章 - 知乎 ](https://zhuanlan.zhihu.com/p/590640020) 》。要使用它,需要在项目根目录添加一个 .sops.yaml
文件:
creation_rules:
# If assuming roles for another account use "arn+role_arn".
# See Advanced usage
path_regex: k8s\/app\/secrets\.yaml$
kms: "arn:aws:kms:us-east-1:443862765029:key/b1739688-ec15-407d-895d-d05ca1217a2f"
aws_profile: lambda-doc-rotary
在 k8s/app/secrets.yaml
添加数据库连接信息:
apiVersion: v1
kind: Secret
metadata:
name: id6
labels:
branch: main
type: Opaque
stringData:
DatabaseHost: xxx
DatabasePort: "5432"
DatabaseUser: postgres
DatabasePassword: yyy
DatabaseName: zzz
第五步,添加 k8s 相关的描述文件
这一步,基本上和《[Free Arch: 在 Okteto 上部署 backstage(第二部分) - Jeff Tian的文章 - 知乎](https://zhuanlan.zhihu.com/p/590640020) 》相同。一个显著不同的是在开启 Ingress 这里,这次没有使用自动 Ingress,而是专门添加了一个 Ingress.yaml 描述文件:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: id6
annotations:
id6 :
spec:
rules:
http:
paths:
backend:
service:
name: id6
port:
number: 80
path: /
pathType: ImplementationSpecific
这一点在那篇文章有提及,但这次算是真的补上了这个公开示例。
相比上文,其他的改进点在 deployment.yaml 文件中添加了 replicas,并指定了 2,使得同时有 2 个 pod 运行。
其他文件略过,在此不表。最终需要在 .github/workflows 文件夹下添加一个 cicd 的描述文件:
name: cicd
on:
push:
branches: [ "main" ]
pull_request:
branches: [ "main" ]
schedule:
- cron: '0 */12 * * *'
jobs:
deploy-okteto:
runs-on: ubuntu-latest
needs: build
steps:
- uses: actions/checkout@v3
- run: curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
- run: chmod +x ./kubectl
- run: sudo mv ./kubectl /usr/local/bin/kubectl
- run: mkdir ${HOME}/.kube&&mkdir ${HOME}/.aws
- run: npm i -g k8ss
- run: echo -e "machine github.com\n login ${{secrets.GH_TOKEN}}" > ~/.netrc
- run: echo -e "[lambda-doc-rotary]\naws_access_key_id = ${{secrets.AWS_ACCESS_KEY}}\naws_secret_access_key = ${{secrets.AWS_SECRET_KEY}}\n" > ~/.aws/config
- run: wget https://github.com/mozilla/sops/releases/download/v3.7.3/sops-v3.7.3.linux.amd64
- run: sudo cp sops-v3.7.3.linux.amd64 /usr/local/bin/sops
- run: sudo chmod +x /usr/local/bin/sops
- run: git clone https://github.com/Jeff-Tian/k8s-config.git ${HOME}/k8s-config
- run: k8ss switch --cluster=okteto --namespace=jeff-tian
- run: sops -d k8s/app/secrets.yaml --aws-profile lambda-doc-rotary | kubectl apply -f -
- run: kubectl apply -k k8s/app&&kubectl rollout restart deploy id6
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- run: echo "${{secrets.DOCKER_PASSWORD}}" | docker login -u "${{secrets.DOCKER_USERNAME}}" --password-stdin
- run: sh .github/ci.sh
注意在这个文件里,依赖了多个环境变量,这需要添加在 github 代码仓库的 secrets 里:
第六步,没有第六步了!
提交代码,等待 Actions 跑完:
IdentityServer 的第二个分身上线了!