Blog Post
Github Actions로 배포 파이프라인 구축
GitHub ActionsNEXTERS백엔드
서론
뽀모냥 팀의 백엔드 배포 파이프라인 구축 방식을 기록해두려고한다.
크게 Docker, Github Action이라는 두가지 키워드를 중심으로 배포가 구성된다.
전체적인 순서는 다음과 같다.
- 수동 트리거 조작
- 이미지 build & push
- 이미지 pull & run
아주 대략적으로 설명한 방식이고 스크립트를 하나씩 보면서 살펴보자.
배포 스크립트를 구성해준 최고개발자 빛상운에게 무한 감사인사를 보냅니다 ⭐
수동 실행
보통 Github Action을 활용하여 배포를 수행할 때 코드가 merge 되었을 때를 일반적으로 생각했었는데 이번에는 수동으로 컨트롤하여 branch별로 배포가 가능하도록 구성할 수 있다는 것을 알았다.
Github Actions workflow에는 workflow_dispatch라는 방식이 존재한다.
이 방식은 발생하는 이벤트에 값을 같이 담아줄 수 있는 방식이다.
⚠️ 이 방식은 default branch에 github workflow가 등록되어있어야 적용이 된다.
백문이 불여일견 결과물이 어떻게 나오는지 한번 보고 스크립트를 살펴보자.
Build and Deploy Pipeline이라는 workflow에 대해서 Run workflow로 수동으로 워크플로우를 동작시킬 수 있는 것을 볼 수 있다.
각각의 설정이 어떻게 들어가있는지 확인해보자.
on:
workflow_dispatch:
inputs: # 아래 imageTag, env, deployOnly 라는 세개의 입력을 받는다.
imageTag:
description: 'Image tag'
required: true
default: 'latest' # 기본값
env:
description: 'Environment. [dev | prod]'
required: true
default: 'dev'
type: choice
options:
- dev
- prod
deployOnly:
description: 'Deploy only'
required: true
default: false
type: boolean
대부분 직관적으로 확인할 수 있는 값들이다.
description은 설명하는 글이고, required는 필수값 여부, type은 각 input이 어떤 타입으로 받는지 선언하는 부분이라고 볼 수 있겠다.
input 컨텍스트의 Type은 string, number, boolean, choice 4가지로 설정이 가능하다.
이제 우리는 이렇게 input을 받아서 각 분기별로 어떻게 처리할지를 생각하면된다.
jobs
jobs는 특정 워크플로우 내에서 실행되는 개별 작업 단위를 말한다. 여기서는 총 3개의 작업을 등록하여 사용하고있다.
배포알림
배포가 시작되었을 때 디스코드로 알림을 보내려고한다.
jobs에서는 위에서 설정한 inputs의 값들을 가져와 사용할 수 있다. 이 값들과 Github Actions에서 제공하는 기본값들, 비밀키로 설정한 값들 등을 조합하여 배포가 시작됨을 알리는 워크플로우를 구성해볼 수 있다.
jobs:
echo-inputs:
runs-on: ubuntu-latest
steps:
- name: send custom message with args
uses: tsickert/[email protected]
with:
webhook-url: ${{ secrets.DEPLOY_WEBHOOK_URL }}
embed-title: "${{ inputs.env }}에 배포 시작한다냥"
embed-url: "https://github.com/${{ github.repository }}/actions/runs/${{ github.run_id }}"
embed-description: |
env: ${{ inputs.env }}
targetBranch: ${{ steps.get_branch.outputs.branch }}
imageTag: ${{ inputs.imageTag }}
deployOnly: ${{ inputs.deployOnly }}
...
💡 Secret 변수 같은 경우는
Repository - Settings - Secerets and variables - Actions에서 설정할 수 있다. Secrets는 암호화되어 저장되기 때문에 설정 후 재확인이 불가능하다. 반면에 variables는 그냥 생 데이터가 저장되고 확인 가능하다. 민감정보는 Secrets로 관리하자.
discord로 webhook을 보내는 action을 활용하여 각 값을 적절하게 넣고 메시지를 전송한다.
배포 시작 알림이 잘 전송 되는것을 확인할 수 있다.
💡 기본 변수들에 대해서는 아래 자료를 참고하면 된다. 필요한 값이 있다면 공식문서를 보고 뽑아서 활용하자. 참고 자료 : Github Actions 기본 변수
이미지 build & push
배포 과정에서 Docker를 사용하기로 해서 이미지를 build하고 레지스트리에 push하는 job을 추가했다.
jobs:
...
build-image-and-push:
if: ${{ inputs.deployOnly == false }}
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-java@v4
with:
distribution: 'zulu'
java-version: '21'
- name: Grant execute permission for gradlew
run: chmod +x gradlew
- name: bootBuildImage with gradle
run: ./gradlew :clean :bootBuildImage --imageName=${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }} -x test
- name: Login to Container Registry
uses: docker/login-action@v2
with:
registry: ${{ vars.CR_ENDPOINT }}
username: ${{ secrets.CR_USERNAME }}
password: ${{ secrets.CR_PASSWORD }}
- name: Docker Push
run: docker push ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
...
이 워크플로우도 직관적으로 읽어 볼 수 있겠다.
코드레벨에서 변경사항이 없고, 배포만 다시 해야하는 경우 (deployOnly가 false) 이 과정을 생략한다.
- Github Actions에서 제공하는 checkout, setup-java를 활용해서 자바 버전을 21로 설정한다.
- gradlew 를 실행하기 위해
chmod +x gradlew명령어로 실행 권한을 부여해줬다. - gradle의 bootBuildImage를 활용해서 Docker image를 빌드한다.
- 이후에는 docker Container Registry에 로그인해서 이미지를 push한다.
여기서 Container Registry로는 NCP(Navaer Cloud Platform)의 Container Registry를 사용하고있다.
bootBuildImage 참고자료: https://spring.io/guides/gs/spring-boot-docker
image pull & run
이제 도커 레지스트리에 이미지를 올렸으니 이미지를 pull 받고 컨테이너를 구동하면 된다!
jobs:
...
pull_and_run_container:
name: pull oci image and run
needs: build-image-and-push
if: |
always() &&
(needs.build-image-and-push.result == 'success' || needs.build-image-and-push.result == 'skipped')
runs-on: ubuntu-latest
steps:
- name: set stage
run: |
if [ ${{ inputs.env }} == 'dev' ]; then
echo "stage is dev"
echo "springProfile=dev" >> $GITHUB_ENV
echo "serverHost=${{ vars.DEV_SERVER_HOST }}" >> $GITHUB_ENV
echo "awsAccessKeyId=${{ secrets.DEV_SERVER_AWS_ACCESS_KEY_ID }}" >> $GITHUB_ENV
echo "awsSecretAccessKey=${{ secrets.DEV_SERVER_AWS_SECRET_ACCESS_KEY }}" >> $GITHUB_ENV
else
echo "stage is prod"
echo "springProfile=prod" >> $GITHUB_ENV
echo "serverHost=${{ vars.PROD_SERVER_HOST }}" >> $GITHUB_ENV
echo "awsAccessKeyId=${{ secrets.PROD_SERVER_AWS_ACCESS_KEY_ID }}" >> $GITHUB_ENV
echo "awsSecretAccessKey=${{ secrets.PROD_SERVER_AWS_SECRET_ACCESS_KEY }}" >> $GITHUB_ENV
fi
- name: connect ssh and deploy
uses: appleboy/ssh-action@master
with:
host: ${{ env.serverHost }}
username: ${{ secrets.GH_ACTIONS_USERNAME }}
key: ${{ secrets.GH_ACTIONS_KEY }}
passphrase: ${{ secrets.GH_ACTIONS_PASSPHRASE }}
port: ${{ vars.SSH_PORT }}
script: |
docker login -u ${{ secrets.CR_USERNAME }} -p ${{ secrets.CR_PASSWORD }} ${{ vars.CR_ENDPOINT }}
docker pull ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
docker stop $(docker ps --filter "name=api-server" -a -q)
docker rm $(docker ps --filter "name=api-server" -a -q)
docker run -m 1024m --memory-swap 3g -d --name api-server --network host -v /var/logs/api-server:/workspace/logs -v /etc/localtime:/etc/localtime:ro -e DD_PROFILING_ENABLED="true" -e DD_LOGS_INJECTION="true" -e DD_ENV=${{ env.springProfile }} -e TZ="Asia/Seoul" -e SPRING_PROFILES_ACTIVE=${{ env.springProfile }} -e AWS_ACCESS_KEY_ID=${{ env.awsAccessKeyId }} -e AWS_SECRET_ACCESS_KEY=${{ env.awsSecretAccessKey }} -p 8080:8080 ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
docker image prune -f
docker logout ${{ vars.CR_ENDPOINT }}
...
뭔가 많아서 어지러울수도 있지만 하나씩 차근차근 읽어보자
-
needs 블록을 통해
build-image-and-pushjob이 수행된 뒤에 실행되는 job이라고 선언했다.needs블록은 기본적으로 성공한 job에 대해서만 이어서 수행하게끔 구성되어있다.always()를 선언해서 성공하나, 안하나 항상 실행하도록 구성할 수 있다.- 여기서는 deployOnly라는 옵션이 있기 때문에 생략되는 경우에도 실행해야한다는 요구사항이 있기 때문에 always()를 이용해
success,skipped두가지 상황에 대해 성공이라고 판단한다.
-
set stageStep에서는 환경 변수로 사용할 값들을~ >> $GITHUB_ENV와 같은 형태로 저장한다.- GITHUB_ENV 환경 파일에 작성하여 뒤에서 변수를 사용할 수 있도록 도와준다.
- 여기서는
springProfile,serverHost,awsAccessKeyId,awsSecretAccessKey변수를 설정하고 있다. - Github Actions - 환경변수 설정
-
connect ssh and deployStep에서는 서버로 ssh 접속을 하여 배포를 수행하는 부분이다.- appleboy/ssh-action@master를 사용하여 ssh 접속을 수행한다.
- docker login부터 docker run, docker logout 까지 이미지를 갱신하고 컨테이너를 실행하는 명령어를 작성했다.
정리
이렇게 크게 총 3단계
- 수동 트리거 조작
- 이미지 build & push
- 이미지 pull & run
과정을 살펴봤다.
Github Action을 잘 활용하면 이런 파이프라인 환경을 무료로 구성할 수 있다는 점이 매력적인것 같다.
전체 파이프라인 코드
name: Build and Deploy Pipeline
on:
workflow_dispatch:
inputs:
imageTag:
description: 'Image tag'
required: true
default: 'latest'
env:
description: 'Environment. [dev | prod]'
required: true
default: 'dev'
type: choice
options:
- dev
# - prod 배포할 때 해제.
deployOnly:
description: 'Deploy only'
required: true
default: false
type: boolean
jobs:
echo-inputs:
runs-on: ubuntu-latest
steps:
- name: Get branch name
id: get_branch
run: echo "::set-output name=branch::${GITHUB_REF#refs/heads/}"
- name: echo inputs
run: |
echo "imageTag: ${{ inputs.imageTag }}"
echo "env: ${{ inputs.env }}"
echo "deployOnly: ${{ inputs.deployOnly }}"
- name: send custom message with args
uses: tsickert/[email protected]
with:
webhook-url: ${{ secrets.DEPLOY_WEBHOOK_URL }}
embed-title: "${{ inputs.env }}에 배포 시작한다냥"
embed-url: "https://github.com/${{ github.repository }}/actions/runs/${{ github.run_id }}"
embed-description: |
env: ${{ inputs.env }}
targetBranch: ${{ steps.get_branch.outputs.branch }}
imageTag: ${{ inputs.imageTag }}
deployOnly: ${{ inputs.deployOnly }}
build-image-and-push:
if: ${{ inputs.deployOnly == false }}
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-java@v4
with:
distribution: 'zulu'
java-version: '21'
- name: Grant execute permission for gradlew
run: chmod +x gradlew
- name: bootBuildImage with gradle
run: ./gradlew :clean :bootBuildImage --imageName=${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }} -x test
- name: Login to Container Registry
uses: docker/login-action@v2
with:
registry: ${{ vars.CR_ENDPOINT }}
username: ${{ secrets.CR_USERNAME }}
password: ${{ secrets.CR_PASSWORD }}
- name: Docker Push
run: docker push ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
pull_and_run_container:
name: pull oci image and run
needs: build-image-and-push
if: |
always() &&
(needs.build-image-and-push.result == 'success' || needs.build-image-and-push.result == 'skipped')
runs-on: ubuntu-latest
steps:
- name: set stage
run: |
if [ ${{ inputs.env }} == 'dev' ]; then
echo "stage is dev"
echo "springProfile=dev" >> $GITHUB_ENV
echo "serverHost=${{ vars.DEV_SERVER_HOST }}" >> $GITHUB_ENV
echo "awsAccessKeyId=${{ secrets.DEV_SERVER_AWS_ACCESS_KEY_ID }}" >> $GITHUB_ENV
echo "awsSecretAccessKey=${{ secrets.DEV_SERVER_AWS_SECRET_ACCESS_KEY }}" >> $GITHUB_ENV
else
echo "stage is prod"
echo "springProfile=prod" >> $GITHUB_ENV
echo "serverHost=${{ vars.PROD_SERVER_HOST }}" >> $GITHUB_ENV
echo "awsAccessKeyId=${{ secrets.PROD_SERVER_AWS_ACCESS_KEY_ID }}" >> $GITHUB_ENV
echo "awsSecretAccessKey=${{ secrets.PROD_SERVER_AWS_SECRET_ACCESS_KEY }}" >> $GITHUB_ENV
fi
- name: connect ssh and deploy
uses: appleboy/ssh-action@master
with:
host: ${{ env.serverHost }}
username: ${{ secrets.GH_ACTIONS_USERNAME }}
key: ${{ secrets.GH_ACTIONS_KEY }}
passphrase: ${{ secrets.GH_ACTIONS_PASSPHRASE }}
port: ${{ vars.SSH_PORT }}
script: |
docker login -u ${{ secrets.CR_USERNAME }} -p ${{ secrets.CR_PASSWORD }} ${{ vars.CR_ENDPOINT }}
docker pull ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
docker stop $(docker ps --filter "name=api-server" -a -q)
docker rm $(docker ps --filter "name=api-server" -a -q)
docker run -m 1024m --memory-swap 3g -d --name api-server --network host -v /var/logs/api-server:/workspace/logs -v /etc/localtime:/etc/localtime:ro -e DD_PROFILING_ENABLED="true" -e DD_LOGS_INJECTION="true" -e DD_ENV=${{ env.springProfile }} -e TZ="Asia/Seoul" -e SPRING_PROFILES_ACTIVE=${{ env.springProfile }} -e AWS_ACCESS_KEY_ID=${{ env.awsAccessKeyId }} -e AWS_SECRET_ACCESS_KEY=${{ env.awsSecretAccessKey }} -p 8080:8080 ${{ vars.CR_ENDPOINT }}/pomonyang-api:${{ inputs.imageTag }}
docker image prune -f
docker logout ${{ vars.CR_ENDPOINT }}