1.
概述:为什么在香港部署并做CI/CD
1) 香港机房延迟低,面向大中华区和东南亚访问优势明显。
2) 按需选择VPS或独立主机以满足并发和带宽需求。
3) 团队协作要求流水线可重复、可审计、可回滚。
4) 集成域名、CDN与DDoS防御是生产环境必备。
5) 本指南覆盖从源代码到部署的端到端实践。
2.
环境准备:仓库、Runner 与访问控制
1) 源代码托管:GitLab/GitHub 私有仓库,开启分支保护。示例:main 分支强制 CI 通过。
2) CI Runner:在香港 VPS 部署 GitLab Runner(docker executor)或使用 GitHub Actions 自托管 runner。
3) 凭证管理:使用 HashiCorp Vault 或 GitLab CI/CD Secrets 存放 API Key、SSH 私钥。
4) 域名解析:在 DNS 提供商绑定 A/AAAA 记录并配置 TTL 300s。
5) 访问控制:仅开放 SSH(端口22,建议改端口并启用密钥认证)、HTTP(S) 端口并结合防火墙规则。
3.
流水线设计:构建、测试、打包与发布
1) 构建阶段:镜像构建(Dockerfile),并推送到私有 Registry(示例:registry.example.com/project/app:tag)。
2) 测试阶段:单元测试+集成测试并生成覆盖率报告。
3) 打包阶段:产物为 Docker 镜像或 tar 包,使用语义化版本号(v1.2.3)。
4) 发布阶段:利用 SSH 或 Kubernetes API 将镜像部署到香港服务器/集群。
5) 回滚策略:保留最近 5 个镜像标签,快速回滚脚本示例:docker pull registry/...:previous && docker-compose up -d。
4.
1) 建议配置(中小型团队):4 vCPU / 8 GB RAM / 160 GB NVMe / 2 Gbps 带宽。
2) 大流量站点(建议):8 vCPU / 32 GB RAM / 1 TB NVMe / 5 Gbps 带宽(按小时计费或包月)。
3) 操作系统:Ubuntu 22.04 LTS,内核优化:net.core.somaxconn=1024,文件句柄 ulimit 65536。
4) 软件栈:Docker 24.x、docker-compose、NGINX 1.22、certbot(自动化 TLS)。
5) 网络安全:开启 Cloud Firewall,限制管理端口来源 IP 并启用 SSH 登录失败限制工具(如 fail2ban)。
5.
真实案例:团队项目部署与数据演示
1) 案例背景:某SaaS团队在香港部署应用,要求 99.95% 可用性,日均访问 150k 次。
2) 部署方式:GitLab CI 自动构建镜像并推送到私有 Registry,GitLab Runner 在香港 VPS 上执行。
3) 监控指标:平均响应 120ms,峰值并发 1200,带宽峰值 350 Mbps。
4) 成本:4 vCPU / 8GB VPS 月费约 120 美元(按提供商计费有所差异)。
5) 演示表格(服务器配置样例):
| 项目 | 配置 | 备注 |
|---|
| 实例A | 4vCPU / 8GB / 160GB NVMe | CI Runner + App |
| 实例B | 2vCPU / 4GB / 80GB | 数据库只读备份 |
| 带宽 | 2 Gbps 弹性公网 | 峰值 350 Mbps |
6.
CDN、DDoS 防御与运维最佳实践
1) CDN:配置近源回源到香港节点,缓存策略静态资源 TTL 1 天。
2) TLS:使用 Let's Encrypt 自动续期,HTTP->HTTPS 强制跳转。
3) DDoS 防御:接入云厂商或第三方清洗(清洗带宽 >= 1 Gbps),配置速率限制与 ACL。
4) 日常运维:自动化备份(Rsync + 对象存储,保留 30 天),定期演练回滚。
5) 日志与告警:集中化日志(ELK/Prometheus+Grafana),设置 95/99 分位延迟告警与错误率告警。
来源:团队协作香港云服务器部署项目CI CD流水线搭建指南
