Рубрика: Программирование

Удаленный деплой с помощью docker-compose на GitHub Actions
Чем дольше знакомишься с темой, тем больше замечательных и простых вариантов находишь для выполнения своих задач. Деплой своего проекта — крайне обширная тема, и очень тяжело избежать ловушки мышления, когда пытаешь сделать на удаленной машине так же, как ты делаешь на своей.

Допустим, как работает docker-compose? Ему необходим файл docker-compose.yaml, в котором описаны все контейнеры и их связи, а также от одного до бесконечности файлов Dockerfile, которые помогут собрать образы. Также всякие конфиги nginx, файлы с переменными окружения .env. И первое желание — перенести все эти файлы на удаленный сервер с помощью ssh или scp и начать разворачивать там руками.

Но есть гораздо более правильный путь (This is the way). Наша задача копнуть чуть глубже и попробовать развернуть наши контейнеры на удаленном сервере без каких либо файлов в принципе. Не верите?

Для начала нам нужно понять, что докер умеет гораздо больше, чем мы знаем. Например, он умеет управлять удаленным докером, установленным на нашем сервере. Для этого нам нужно создать так называемый контекст с настройками нашего удаленного сервера. По умолчанию у нас уже есть один контекст, он описывает подключение докера к нашей собственной машине, посмотрите на него:
```
docker context ls
```
Вы увидите этот слой с настройками, его имя default *, где астериск означает, что данный контекст (слой, файл с настройками) в данный момент активен.

Если мы хотим создать новый контекст (опять-таки, для удобства думайте о нем как о файле с настройками), то нам нужно выполнить несколько условий:
1. У нас должен быть приватный ключ SSH
2. На сервере должен быть соответствующий ему открытый ключ
3. Мы должны знать IP адрес сервера. Можно настроить и по домену, но, как показала практика, IP адрес дает более надежную идентификацию хоста
4. Наш хост должен быть знаком нашему компьютеру, чтобы избежать лишних вопросов про то, доверяем ли мы ему
Пункты в целом несложные, последний вообще можно исполнить без SSH подключения к серверу:
```
ssh-keyscan -H 192.168.1.162 >> ~/.ssh/known_hosts
```
Таким вот образом указанный выше IP будет с этого момента доверенным.

Теперь давайте создадим новый контекст настроек. Типовая команда выглядит так:
```
docker context create remote --docker "host=ssh://user@$host_ip"
```
В данной строке есть команда create (создать), имя нашего нового контекста remote и хост, где работает Docker. Дело в том, что докер может управлять не только докером, но и целым swarm или Kubernetes. Это все системы оркестрации, где вы можете (как дирижер оркестра) управлять деплоем на сотни машин, про них позже, сейчас мы просто прокладываем мост между двумя докерами, самое простое решение, поэтому ключ пишем --docker.

Попробуйте обязательно эту команду на своей локальной машине, указав удаленный хост. После этого у вас в списке контекста появится новый пункт — remote! Это значит, что теперь мы можем управлять нашей машиной на расстоянии, для этого нам нужно применить настройки этого контекста командой:
```
docker context use remote
```
Теперь * астериск будет стоять напротив пункта remote в списке контекстов. Не забудьте потом переключиться обратно на default, когда закончите.

Ну что, проверим магию? Давай посмотрим список контейнеров на удаленном хосте командой…
```
docker ps
```
Именно! Все обычные команды, которые мы выполняли на локальной машине, подходят и теперь, только общаются они с удаленным сервером!

Если у нас крутятся какие-то контейнеры, то давайте их все остановим и удалим, чтобы развернуть наш удаленный docker-compose. Раньше я предлагал ввести следующие команды:
```
docker kill $(docker ps -q)
docker rm $(docker ps -a -q)
```
Но этот способ слишком ультимативный. А если на сервере есть еще проекты? Ведь они все упадут. Поэтому новый вариант выглядит так:
```
          docker pull dockerhubname/image:latest
          docker-compose --context remote down
          docker volume rm foodgram-project_static
```
Объясню, что здесь происходит. Мы стягиваем свежий образ нашего проекта с докерхаб, затем очень нежно выключаем наш проект с помощью встроенной в docker-compose функции down. Дальше я запускаю профилактическое удаление тома со статикой, так как она может обновиться в процессе разработки. В вашем случае нужно подставить правильное название тома, узнать его можно командой:
```
docker volume ls
```
Теперь самое время запустить docker-compose. Здесь важно понимать, что docker и docker-compose, несмотря на очевидное сходство в названии, по сути своей разные программы для выполнения разных задач. Раньше они вообще мало были связаны, сейчас интеграция становится все лучше и лучше. Совсем недавно docker-compose научился работать с контекстами docker, но пока это происходит не в автоматическом режиме после использования команды use, а с помощью специального флага —context. Перейдите в директорию с файлом docker-compose.yaml и выполните команду:
```
docker-compose --context remote up -d --force-recreate
```
Смотрите, мы используем контекст remote, поднимаем наши контейнеры в -d режиме (чтобы не видеть вывод) и на всякий случай силой их пересоздаем, если на сервере остались какие-то контейнеры с подобным названием. Все зависимости у нас под рукой — переменные окружения, yaml файл и прочие. Убедитесь, что все ваши контейнеры создаются на основе образов, а не собираются из файлов.

В идеальном мире вы получите контейнеры, развернутые на вашем сервере. Проверьте, работает ли сайт по нужному адресу и порту.

Справка по контексту доступна на сайте докера.

GitHub Actions

Как нам применить эти знания к деплою проекта с помощью GitHub Actions?

Алгоритм будет следующий:
1. Создаем виртуальную машину
2. Разворачиваем наш репозиторий (можно не ставить зависимости, нам нужны только файлы): actions/checkout@v2
3. Устанавливаем Python 3.8: actions/setup-python@v2
4. Устанавливаем наш SSH KEY в виртуальную машину и добавляем наш IP в доверенные хосты. Очень поможет вот этот action.
5. Устанавливаем последнюю версию докера, чтобы она могла управлять всеми другими версиями докера, в том числе и младшими (используйте sudo pip install docker-compose, в текущей версии по curl есть критический баг с OpenSSL и вы точно не хотите с ним провести пару часов)
6. Создаем переменные окружения по инструкции
7. Создаем пустой файл .env (почему-то без него docker-compose на сервере не может перейти к этапу просмотра переменных окружения в системе, на локальной машине таких проблем нет). Поможет команда touch .env
8. Запускаем все наши команды из статьи выше, не забыв заменить секретные данные переменными окружения.
Вот и все. Получилось, что весь деплой уместился в 6 строчек, если не считать объявления переменных окружения и установки зависимостей.
26 февраля 2021
Как передать переменные окружения GitHub Actions Secrets на удаленный сервер для docker-compose?
Иногда самые сложные вопросы имеют самые легкие ответы. Когда мы работаем на локальной машине, нам проще всего взять наши переменные окружения (environment variables) из файла .env при работе с docker-compose. Но ведь в таком виде секреты передавать в репозиторий нельзя! Значит, мы в лучшем случае запишем туда .env.template, где перечислим переменные и, возможно, дадим им некоторые значения по умолчанию для примера.

Очевидно, что сами секреты мы заведем в настройках репозитория, в разделе GitHub Secrets:

Но как их дальше передать на сервер? Первое, что хочется сделать — сформировать на сервере .env файл неким скриптом, но есть путь гораздо проще и чище, давайте используем стандартную команду export, которая в командной среде может присваивать переменную окружения и хранить ее прямо в системе, без каких-либо файлов! Добавим GitHub Action следующего вида:
```
    runs-on: ubuntu-latest
    needs: set_up_env
    steps:
      - name: executing remote ssh commands to set env
        uses: appleboy/ssh-action@master
        with:
          host: ${{ secrets.HOST }}
          username: ${{ secrets.USER }}
          key: ${{ secrets.SSH_KEY }}
          script: |
            export DB_ENGINE=${{ secrets.DB_ENGINE }}
            export DB_NAME=${{ secrets.DB_NAME }}
            export POSTGRES_USER=${{ secrets.POSTGRES_USER }}
            export POSTGRES_PASSWORD=${{ secrets.POSTGRES_PASSWORD }}
            export DB_HOST=${{ secrets.DB_HOST }}
            export DB_PORT=${{ secrets.DB_PORT }}
            export SECRET_KEY=${{ secrets.SECRET_KEY }}
            export DJANGO_SUPERUSER_PASSWORD=${{ secrets.DJANGO_SUPERUSER_PASSWORD }}
            export DJANGO_SUPERUSER_EMAIL=${{ secrets.DJANGO_SUPERUSER_EMAIL }}
            export DJANGO_SUPERUSER_USERNAME=${{ secrets.DJANGO_SUPERUSER_USERNAME }}
```
Также можно на лету генерировать .env файл, если это то, к чему вы больше привыкли:
```
            echo DB_ENGINE=${{ secrets.DB_ENGINE }} > .env
            echo DB_NAME=${{ secrets.DB_NAME }} >> .env
            echo POSTGRES_USER=${{ secrets.POSTGRES_USER }} >> .env
            echo POSTGRES_PASSWORD=${{ secrets.POSTGRES_PASSWORD }} >> .env
            echo DB_HOST=${{ secrets.DB_HOST }} >> .env
            echo DB_PORT=${{ secrets.DB_PORT }} >> .env
            echo SECRET_KEY=${{ secrets.SECRET_KEY }} >> .env
            echo DJANGO_SUPERUSER_PASSWORD=${{ secrets.DJANGO_SUPERUSER_PASSWORD }} >> .env
            echo DJANGO_SUPERUSER_EMAIL=${{ secrets.DJANGO_SUPERUSER_EMAIL }} >> .env
            echo DJANGO_SUPERUSER_USERNAME=${{ secrets.DJANGO_SUPERUSER_USERNAME }} >> .env
```
Возможно, здесь много повторяющего кода, и хотелось бы записать это одной строкой с одним экспортом, но так, на мой взгляд, проще и понятнее. А также небольшая формула в экселе позволяет это довольно быстро сгенерировать:

Теперь все переменные будут автоматически подставляться в docker-compose.
```
env_file:
      - ./.env
```
Которая, как известно, сканирует файл .env в поиске переменных. А все можно прочитать в документации:

When you set the same environment variable in multiple files, here’s the priority used by Compose to choose which value to use:
1) Compose file
2) Shell environment variables
3) Environment file
4) Dockerfile
5) Variable is not defined

Сначала env файл, а затем уже переменные Shell. Это позволяет нам на компьютере для тестирования использовать один набор переменных, а для деплоя — другой.
25 февраля 2021
Как извлечь docker-compose.yaml из образа на сервере?
В рамках Continuous Integration нам нужно уметь разворачивать не только контейнеры командой docker, но и группу контейнеров, например django + postgres + nginx.

На локальной машине это просто, команда docker-compose up -d выполнит все инструкции из файла docker-compose.yaml, но на сервере его нет.

Существует два способа доставить файл docker-compose.yaml на удаленный сервер. Мы не будем рассматривать вариант «доставить руками», ведь у нас непрерывная интеграция, а значит на каждый коммит и пуш в репозиторий на GitHub наш проект после прохождения всех тестов должен развернуться самостоятельно на сервере.

Вариант 1

Используя CI на базе GitHub Actions, мы можем воспользоваться сторонним действием, которое позволяет нам подключиться к удаленному серверу и скопировать произвольный файл из репозитория, который предварительно развернут на сервере GitHub:
```
      - name: copy docker-compose.yaml file to remote
        uses: appleboy/scp-action@master
        with:
          host: ${{ secrets.HOST }}
          username: ${{ secrets.USER }}
          key: ${{ secrets.SSH_KEY }}
          passphrase: ${{ secrets.PASSPHRASE }}
          source: "./docker-compose.yaml"
          target: "./code/"
```
Обратите внимание, в разделе GitHub Secrets вам нужно будет указать необходимые переменные. Если вы не используете пароль на ваш SSH KEY — просто не указываете эту строчку.

Повторимся, копирует он с виртуальной машины GitHub, и для того, чтобы на ней были ваши файлы, необходимо перед этим действием выполнить команду сбора файлов:
```
      - name: Check out the repo
        uses: actions/checkout@v2
```
Вариант 2

Подключиться через SSH в GitHub Actions к серверу и достать нужный файл из образа, который мы скачаем с Docker Hub:
```
      - name: executing remote ssh commands to deploy
        uses: appleboy/ssh-action@master
        with:
          host: ${{ secrets.HOST }}
          username: ${{ secrets.USER }}
          key: ${{ secrets.SSH_KEY }}
          script: |
            sudo docker pull ${{ secrets.DOCKER_USERNAME }}/yamdb:latest
            id=$(docker create ${{ secrets.DOCKER_USERNAME }}/yamdb:latest)
            sudo docker cp $id:code/docker-compose.yaml docker-compose.yaml
            sudo mkdir nginx
            sudo docker cp $id:code/nginx/Dockerfile nginx/Dockerfile
            sudo docker cp $id:code/nginx/nginx.conf nginx/nginx.conf
            sudo docker rm -v $id
```
Давайте разберем, что происходит. Вы подключаетесь по SSH, скачиваете ваш образ, дальше вы создаете временный контейнер из этого образа и кладете его имя в переменную id.

Следом идут обычные команды копирования из контейнера на хостовую машину. Мы берем файлы для docker-compose, в том числе настройки nginx, а затем удаляем ненужный нам контейнер. Все, заключительным действием мы на всякий случай выключим и удалим все контейнеры (если это не первый наш деплой, то действие поможет избежать конфликтов) и запустим наши контейнеры:
```
            docker kill $(docker ps -q)
            docker rm $(docker ps -a -q)
            sudo docker-compose up -d --force-recreate
```
Обратите внимание на флаг -d в последней команде — если его забыть, то логи докера никогда не закончатся и ваш CI никогда не завершится успешно.
24 февраля 2021
SSL и открытые порты в Docker — как защитить соединение?
В случае, когда за SSL сертификаты для докеризированных приложений отвечает внешний веб-сервер (например, Caddy), нужно очень внимательно отнестись к тому, как вы открываете порты в своем docker-compose.

Обычная практика такая:
```
  nginx:
    build: ./nginx
    ports:
      - 8888:80
    volumes:
      - static_sp2:/code/static
      - media_sp2:/code/media
    depends_on:
      - web
    restart: "on-failure"
```
Но здесь есть серьезная проблема. Ваш nginx теперь доступен не только по адресу localhost или 127.0.0.1, но и всему миру, если у сервера есть публичный адрес.

Мы же выпускаем сертификат с помощью Caddy, значит доступ к сайту будет защищен только если пользователь придет по доменному имени. А что если он забьет ip адрес и добавить в конце порт 8888? Так он получит доступ к сайту без SSL, и может воспользоваться данной возможностью множеством неприятных способов.

Поэтому мы будем создавать контейнеры правильно, мы будем их показывать только приложениям, которые крутятся на нашем сервере:
```
  nginx:
    build: ./nginx
    ports:
      - "127.0.0.1:8888:80"
    volumes:
      - static_sp2:/code/static
      - media_sp2:/code/media
    depends_on:
      - web
    restart: "on-failure"
```
Обратите внимание, что с появлением локального айпи адреса нам пришлось взять все выражение в кавычки, иначе докер не сможет достойно распарсить данную строку.

Смотрим, что показывает нам nmap:
```
user@server:~$ nmap 127.0.0.1
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-24 06:42 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00011s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
5000/tcp open  upnp
5432/tcp open  postgresql
8000/tcp open  http-alt
8888/tcp open  sun-answerbook
```
Видим, что внутри порт 888 открыт. Сканируем порты по внешнему доменному имени:
```
matakov@matacoder:~$ nmap site.ru
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-24 06:44 UTC
Nmap scan report for site.ru (178.154.254.176)
Host is up (0.0011s latency).
Not shown: 997 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https
```
Все, уязвимость ушла, наружу смотрит только SSH, HTTP и HTTPS.
24 февраля 2021
Простой SSL сертификат на базе веб-сервера Caddy, Django и Gunicorn
В рамках учебного проекта мне потребовалось развернуть на одном сервере два приложения. Первое из них — классический Django Framework, который крутится с помощью Guncorn, файлы лежат прямо на сервере. Второе же хитрое — полностью докеризированная связка Nginx + Gunicorn + PostgreSQL.

Поднять незащищенное соединение совсем не сложно, у нас наружу светятся два порта, один от Gunicorn, один от Nginx из докера. Но как защитить все это дело? Если для серверного приложения с помощью Certbot это делается легко, то для докера настройки связки Certbot в контейнере и Nginx в контейнере — занятие не для слабонервных. А для того, чтобы сертификат заработал, нам потребовалось бы еще и пробрасывать 443 порт на докер, а сделать это можно двумя способами — либо не расшифровывая трафик через stream директиву Nginx, либо расшифровывая, но придется указать пути до ключей и, что самое сложное, понадобиться дать certbot положить файл в корневую директорию сайта для проверки соединения, а она у нас благодаря гуникорну не так-то просто достижима.

В качестве решения можно использовать сервер Caddy. Идея будет заключаться в том, что за все сертификаты будет отвечать только она, за ней уже пойдет незашифрованный трафик до нужных нам портов.

Установить Caddy просто, несколько команд в баше:
```
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https 
```
```
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo apt-key add - 
```
```
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee -a /etc/apt/sources.list.d/caddy-stable.list 
```
```
sudo apt update sudo apt install caddy
```
Дальше необходимо создать конфиругацию. У кадди есть особенность, файл конфига может лежать где угодно. Я оставил его в домашней директории, он должен быть назван Caddyfile. Вот содержимое:
```
site-1-on-server.ru {
root * /home/user/site/
@notStatic {
not path /static/*
not path /media/*
}
reverse_proxy @notStatic 127.0.0.1:8000
file_server
}
site-2-in-docker.ru {
reverse_proxy localhost:8888
}
```
Этот конфиг позволяет запустить сайт1, который у нас лежит на сервере в указанной папке. Директива notStatic создает исключения для Кадди, эти файлы она не будет отправлять в Gunicorn и будет сама обслуживать. Обратный прокси — стандартная как для Ngnix, так и для Кадди операция, мы передаем все запросы дальше, на 8000 порт Гуникорна.

Вторая часть конфига не делает каких-либо исключений для статики, так как у нас в контейнерах крутится Nginx и он ответственный за статику.

А теперь немного магии от Кадди. Когда мы в директории, где у нас каддифайл лежит, запустим команду sudo caddy start, она автоматически выпустит SSL сертификаты для обоих доменов и будет их обновлять, проверяя оставшееся время каждые 10 дней. То есть самая сложная часть в случае с приложением, которое лежит на сервере — указать пути до статики, а если поднимается докеризированное приложение — то всего две строки и готово.
23 февраля 2021
Имена, содержащие две буквы Р.
Последние недели я занимаюсь саморазвитием — решаю задачи Эйлера по программированию. Дошел уже до 39. И в каком-то разговоре с женой про сыновей и их имена с двумя Р я понял, что могу написать программу, которая может найти все такие имена в базе данных. Файл с именами я нашел тут: https://stackoverflow.com/questions/1803628/raw-list-of-person-names

А код написал сам:
```
#!/usr/bin/env python
# -*- coding: utf-8 -*-
# vim:fileencoding=utf-8

'''
looking for names with double R

'''
import os
fi = open('/Users/matakov/names.txt', 'r')

pyramid=[]
for line in fi:
    pyramid.append( list(map( str, line.split() )) )

pyramid = sorted(pyramid)
#print ((pyramid))

for line in pyramid:
	#print (line)
	r=0
	for char in line[0]:
		if char == 'r' or char == 'R':
			r+=1
	if r >= 2: print (line[0])
```
Довольно просто оказалось. Вот так я провожу досуг, когда не пишу в блог.

Вот сам список, как видите, мои сыновья в нем присутствуют:

TWO R NAMES:

ARRON
ARTHUR
ARTURO
AURORA
AURORE
BARABARA
BARBAR
BARBARA
BARBERA
BARBRA
BARRETT
BARRIE
BARRY
BERNARD
BERNARDA
BERNARDINA
BERNARDINE
BERNARDO
BERRY
BERTRAM
BRADFORD
BRODERICK
CARRI
CARRIE
CARROL
CARROLL
CARRY
CARTER
CHERRI
CHERRIE
CHERRY
CHERRYL
CHRISTOPER
CHRISTOPHER
CIERRA
CORRIE
CORRIN
CORRINA
CORRINE
CORRINNE
CRISTOPHER
DARREL
DARRELL
DARREN
DARRICK
DARRIN
DARRON
DARRYL
DEIRDRE
DERRICK
DIERDRE
DORRIS
ERROL
FARRAH
FLORRIE
FORREST
FREDERIC
FREDERICA
FREDERICK
FREDERICKA
FREDRIC
FREDRICK
FREDRICKA
GARRET
GARRETT
GARRY
GERARD
GERARDO
GERRI
GERRY
GERTRUD
GERTRUDE
GERTRUDIS
GREGORIA
GREGORIO
GREGORY
GROVER
HARRIET
HARRIETT
HARRIETTE
HARRIS
HARRISON
HARRY
HERBERT
HERIBERTO
IRMGARD
JARRED
JARRETT
JARROD
JERRELL
JERRI
JERRICA
JERRIE
JERROD
JERROLD
JERRY
KARREN
KARRI
KARRIE
KARRY
KERRI
KERRIE
KERRY
KRISTOFER
KRISTOPHER
LARRAINE
LARRY
LORRAINE
LORRETTA
LORRI
LORRIANE
LORRIE
LORRINE
MARAGARET
MARAGRET
MARGARET
MARGARETA
MARGARETE
MARGARETT
MARGARETTA
MARGARETTE
MARGARITA
MARGARITE
MARGARITO
MARGART
MARGERET
MARGERT
MARGERY
MARGHERITA
MARGORIE
MARGRET
MARGRETT
MARGUERITA
MARGUERITE
MARGURITE
MARICRUZ
MARJORIE
MARJORY
MARQUERITE
MARRY
MARYROSE
MERRI
MERRIE
MERRILEE
MERRILL
MERRY
MONSERRATE
MORRIS
MURRAY
NORBERT
NORBERTO
NORRIS
PARKER
PERRY
PIERRE
PORFIRIO
PORTER
RAMIRO
RAYFORD
RICARDA
RICARDO
RICHARD
RIGOBERTO
ROBERT
ROBERTA
ROBERTO
RODERICK
RODGER
RODRICK
RODRIGO
ROGER
RORY
ROSAMARIA
ROSARIA
ROSARIO
ROSAURA
ROSEMARIE
ROSEMARY
RUPERT
SHARRI
SHARRON
SHERRELL
SHERRI
SHERRIE
SHERRIL
SHERRILL
SHERRON
SHERRY
SHERRYL
SIERRA
SOCORRO
STARR
TARRA
TERRA
TERRANCE
TERRELL
TERRENCE
TERRESA
TERRI
TERRIE
TERRILYN
TERRY
TIERRA
TORRI
TORRIE
TREVOR
WARNER
WARREN
WERNER
27 апреля 2018