-
Notifications
You must be signed in to change notification settings - Fork 3
296 lines (261 loc) · 12.7 KB
/
deploy.yml
File metadata and controls
296 lines (261 loc) · 12.7 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
name: deploy
# =========================
# 전역 환경변수
# =========================
env:
IMAGE_REPOSITORY: mori-mori # GHCR 이미지 리포지토리명(소유자 포함 X)
CONTAINER_1_NAME: mori-mori_1 # 슬롯1(고정 이름)
CONTAINER_2_NAME: mori-mori_2 # 슬롯2(고정 이름)
CONTAINER_PORT: 8080 # 컨테이너 내부 포트(스프링부트)
EC2_INSTANCE_TAG_NAME: team07-morimori-ec2 # 배포 대상 EC2 Name 태그
DOCKER_NETWORK: common # 도커 네트워크
BACKEND_DIR: . # Dockerfile 위치
# 동시성 처리 끔
concurrency:
group: ${{ github.workflow }}-${{ github.ref }} # 커밋이 짧은 시간안에 몰려도 최신 커밋에 대해서만 액션이 수행되도록
cancel-in-progress: false # 기존에 시작된 작업은 새 커밋이 들어왔다고 해서 바로 끄지 않고 끝날때까지 대기
on:
push:
paths:
- ".github/workflows/**"
- "src/**"
- "build.gradle.kts"
- "settings.gradle.kts"
- "Dockerfile"
branches:
- main
- develop
workflow_dispatch:
# 권한 최소화/명시화
permissions:
contents: write # 태그/릴리즈
packages: write # GHCR 푸시
# 기본 셸
defaults:
run:
shell: bash
jobs:
# ---------------------------------------------------------
# 1) 태그/릴리즈 생성
# ---------------------------------------------------------
makeTagAndRelease:
runs-on: ubuntu-latest
outputs:
tag_name: ${{ steps.create_tag.outputs.new_tag }} # 이후 잡에서 사용할 태그명
steps:
- uses: actions/checkout@v4
# 버전 태그 자동 생성 (vX.Y.Z)
- name: Create Tag
id: create_tag
uses: mathieudutour/github-tag-action@v6.2
with:
github_token: ${{ secrets.GITHUB_TOKEN }}
# 릴리즈 생성
- name: Create Release
id: create_release
uses: actions/create-release@v1
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
with:
tag_name: ${{ steps.create_tag.outputs.new_tag }}
release_name: Release ${{ steps.create_tag.outputs.new_tag }}
body: ${{ steps.create_tag.outputs.changelog }}
draft: false
prerelease: false
# ---------------------------------------------------------
# 2) 도커 이미지 빌드/푸시 (캐시 최대 활용)
# ---------------------------------------------------------
buildImageAndPush:
name: 도커 이미지 빌드와 푸시
needs: makeTagAndRelease
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
# 빌드 컨텍스트에 .env 생성 (비어있어도 실패하지 않게)
- name: .env 파일 생성
env:
DOT_ENV: ${{ secrets.DOT_ENV }}
run: |
# .env가 없으면 빌드 캐시가 매번 깨질 수 있으므로 항상 생성
mkdir -p "${{ env.BACKEND_DIR }}"
printf "%s" "${DOT_ENV}" > "${{ env.BACKEND_DIR }}/.env"
# GA4 서비스 계정 파일 생성
- name: Create GA4 Service Account Key
run: |
mkdir -p src/main/resources
echo "${{ secrets.GA4_JSON }}" | base64 -d > src/main/resources/ga4-service-account.json
- name: Docker Buildx 설치
uses: docker/setup-buildx-action@v3
# GHCR 로그인
- name: 레지스트리 로그인
uses: docker/login-action@v3
with:
registry: ghcr.io
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
# 저장소 소유자명을 소문자로 (GHCR 경로 표준화)
- name: set lower case owner name
run: |
echo "OWNER_LC=${OWNER,,}" >> "${GITHUB_ENV}"
env:
OWNER: "${{ github.repository_owner }}"
# 캐시를 최대한 활용하여 빌드 → 버전태그 및 latest 동시 푸시
- name: 빌드 앤 푸시
uses: docker/build-push-action@v6
with:
context: ${{ env.BACKEND_DIR }}
push: true
cache-from: type=gha
cache-to: type=gha,mode=max
tags: |
ghcr.io/${{ env.OWNER_LC }}/${{ env.IMAGE_REPOSITORY }}:${{ needs.makeTagAndRelease.outputs.tag_name }}
ghcr.io/${{ env.OWNER_LC }}/${{ env.IMAGE_REPOSITORY }}:latest
# ---------------------------------------------------------
# 3) Blue/Green 무중단 배포 (EC2 + NPM 스위치)
# ---------------------------------------------------------
deploy:
name: Blue/Green 무중단 배포
runs-on: ubuntu-latest
needs: [makeTagAndRelease, buildImageAndPush]
steps:
# AWS 자격 구성
- uses: aws-actions/configure-aws-credentials@v4
with:
aws-region: ${{ secrets.AWS_REGION }}
aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
# Name 태그로 EC2 인스턴스 조회 (없으면 실패)
- name: 인스턴스 ID 가져오기
id: get_instance_id
run: |
INSTANCE_ID=$(aws ec2 describe-instances \
--filters "Name=tag:Name,Values=${{ env.EC2_INSTANCE_TAG_NAME }}" "Name=instance-state-name,Values=running" \
--query "Reservations[].Instances[].InstanceId" --output text)
[[ -n "${INSTANCE_ID}" && "${INSTANCE_ID}" != "None" ]] || { echo "No running instance found"; exit 1; }
echo "INSTANCE_ID=${INSTANCE_ID}" >> "${GITHUB_ENV}"
# 원격(SSM)으로 Blue/Green 스위치 수행
- name: AWS SSM Send-Command
uses: peterkimzz/aws-ssm-send-command@master
with:
aws-region: ${{ secrets.AWS_REGION }}
aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
instance-ids: ${{ env.INSTANCE_ID }}
working-directory: /
comment: Deploy
command: |
set -Eeuo pipefail
# ---------------------------------------------------------
# 0) 실행 로그(라인 타임스탬프 부착)
# ---------------------------------------------------------
LOG="/tmp/ssm-$(date +%Y%m%d_%H%M%S).log"
exec > >(awk '{ fflush(); print strftime("[%Y-%m-%d %H:%M:%S]"), $0 }' | tee -a "$LOG")
exec 2> >(awk '{ fflush(); print strftime("[%Y-%m-%d %H:%M:%S]"), $0 }' | tee -a "$LOG" >&2)
# ---------------------------------------------------------
# 1) 변수 정의
# - 슬롯 이름은 고정(두 개의 컨테이너 이름)
# - blue/green은 "역할"이며 매 배포마다 바뀜
# ---------------------------------------------------------
source /etc/environment || true # 시스템 전역 변수(+ 비밀) 주입 시도
OWNER_LC="${{ github.repository_owner }}"
OWNER_LC="${OWNER_LC,,}" # 소문자 표준화
IMAGE_TAG="${{ needs.makeTagAndRelease.outputs.tag_name }}"
IMAGE_REPOSITORY="${{ env.IMAGE_REPOSITORY }}"
IMAGE="ghcr.io/${OWNER_LC}/${IMAGE_REPOSITORY}:${IMAGE_TAG}"
SLOT1="${{ env.CONTAINER_1_NAME }}"
SLOT2="${{ env.CONTAINER_2_NAME }}"
PORT_IN="${{ env.CONTAINER_PORT }}"
NET="${{ env.DOCKER_NETWORK }}"
echo "🔹 Use image: ${IMAGE}"
docker pull "${IMAGE}"
# ---------------------------------------------------------
# 2) Nginx Proxy Manager(NPM) API 토큰 발급
# - /etc/environment 등에 설정된 PASSWORD_1, APP_1_DOMAIN 사용 가정
# ---------------------------------------------------------
TOKEN=$(curl -s -X POST http://127.0.0.1:81/api/tokens \
-H "Content-Type: application/json" \
-d "{\"identity\": \"admin@npm.com\", \"secret\": \"${PASSWORD_1:-}\"}" | jq -r '.token')
# 토큰/도메인 검증(없으면 실패)
[[ -n "${TOKEN}" && "${TOKEN}" != "null" ]] || { echo "NPM token issue failed"; exit 1; }
[[ -n "${APP_1_DOMAIN:-}" ]] || { echo "APP_1_DOMAIN is empty"; exit 1; }
# 대상 프록시 호스트 ID 조회(도메인 매칭)
PROXY_ID=$(curl -s -X GET "http://127.0.0.1:81/api/nginx/proxy-hosts" \
-H "Authorization: Bearer ${TOKEN}" \
| jq ".[] | select(.domain_names[]==\"${APP_1_DOMAIN}\") | .id")
[[ -n "${PROXY_ID}" && "${PROXY_ID}" != "null" ]] || { echo "Proxy host not found for ${APP_1_DOMAIN}"; exit 1; }
# 현재 프록시가 바라보는 업스트림(컨테이너명) 조회
CURRENT_HOST=$(curl -s -X GET "http://127.0.0.1:81/api/nginx/proxy-hosts/${PROXY_ID}" \
-H "Authorization: Bearer ${TOKEN}" \
| jq -r '.forward_host')
echo "🔎 CURRENT_HOST: ${CURRENT_HOST:-none}"
# ---------------------------------------------------------
# 3) 역할(blue/green) 판정
# - blue : 현재 운영 중(CURRENT_HOST)
# - green: 다음 운영(교체 대상)
# ---------------------------------------------------------
if [[ "${CURRENT_HOST:-}" == "${SLOT1}" ]]; then
BLUE="${SLOT1}"
GREEN="${SLOT2}"
elif [[ "${CURRENT_HOST:-}" == "${SLOT2}" ]]; then
BLUE="${SLOT2}"
GREEN="${SLOT1}"
else
BLUE="none" # 초기 배포
GREEN="${SLOT1}"
fi
echo "🎨 role -> blue(now): ${BLUE}, green(next): ${GREEN}"
# ---------------------------------------------------------
# 4) green 역할 컨테이너 재기동
# - 같은 네트워크 상에서 NPM이 컨테이너명:PORT로 프록시하므로 -p 불필요
# ---------------------------------------------------------
docker rm -f "${GREEN}" >/dev/null 2>&1 || true
echo "🚀 run new container → ${GREEN}"
docker run -d --name "${GREEN}" \
--restart unless-stopped \
--network "${NET}" \
-e TZ=Asia/Seoul \
"${IMAGE}"
# ---------------------------------------------------------
# 5) 헬스체크 (/actuator/health 200 OK까지 대기))
# ---------------------------------------------------------
echo "⏱ health-check: ${GREEN}"
TIMEOUT=120
INTERVAL=3
ELAPSED=0
sleep 8 # 초기 부팅 여유
while (( ELAPSED < TIMEOUT )); do
CODE=$(docker exec "${GREEN}" curl -s -o /dev/null -w "%{http_code}" "http://127.0.0.1:${PORT_IN}/actuator/health" || echo 000)
[[ "${CODE}" == "200" ]] && { echo "✅ ${GREEN} healthy"; break; }
sleep "${INTERVAL}"
ELAPSED=$((ELAPSED + INTERVAL))
done
[[ "${CODE:-000}" == "200" ]] || { echo "❌ ${GREEN} health failed"; docker logs --tail=200 "${GREEN}" || true; docker rm -f "${GREEN}" || true; exit 1; }
# ---------------------------------------------------------
# 6) 업스트림 전환 (forward_host/forward_port만 업데이트)
# ---------------------------------------------------------
NEW_CFG=$(jq -n --arg host "${GREEN}" --argjson port ${PORT_IN} '{forward_host:$host, forward_port:$port}')
curl -s -X PUT "http://127.0.0.1:81/api/nginx/proxy-hosts/${PROXY_ID}" \
-H "Authorization: Bearer ${TOKEN}" \
-H "Content-Type: application/json" \
-d "${NEW_CFG}" >/dev/null
echo "🔁 switch upstream → ${GREEN}:${PORT_IN}"
# ---------------------------------------------------------
# 7) 이전 blue 종료(최초 배포면 생략)
# ---------------------------------------------------------
if [[ "${BLUE}" != "none" ]]; then
docker stop "${BLUE}" >/dev/null 2>&1 || true
docker rm "${BLUE}" >/dev/null 2>&1 || true
echo "🧹 removed old blue: ${BLUE}"
fi
# ---------------------------------------------------------
# 8) 이미지 정리(현재 태그/ latest 제외) - 결과 없음도 오류 아님
# - pipefail과 grep의 종료코드(1)를 고려해 블록 전체에 || true 적용
# ---------------------------------------------------------
{
docker images --format '{{.Repository}}:{{.Tag}}' \
| grep -F "ghcr.io/${OWNER_LC}/${IMAGE_REPOSITORY}:" \
| grep -v -F ":${IMAGE_TAG}" \
| grep -v -F ":latest" \
| xargs -r docker rmi
} || true
echo "🏁 Blue/Green switch complete. now blue = ${GREEN}"