在 CI/CD 流水线中根据分支名自动部署环境,核心在于将分支名安全转换为基础设施标识符,并配合权限控制与清理策略。以下是经过验证的工程化实施方案。
先说结论:通过流水线变量动态生成环境标识,结合 RBAC 限制权限,并配置分支关闭事件触发清理。
- 适合:多分支并行开发、需要独立预览环境的团队
- 先准备:统一分支命名规范、规划环境资源上限
- 验收:环境地址可访问、资源随分支删除而回收、权限最小化
核心逻辑:分支名安全化处理
分支名包含特殊字符,直接用作 Namespace 或域名会报错。需在流水线中先进行清洗(Sanitize)。
# GitHub Actions: 输出到环境变量
- name: Set safe branch name
run: |
echo "SAFE_NAME=$(echo ${GITHUB_HEAD_REF:-$GITHUB_REF_NAME} | sed 's/[^a-zA-Z0-9]/-/g' | tr '[:upper:]' '[:lower:]')" >> $GITHUB_ENV
# GitLab CI: 在 before_script 中计算 (修正变量赋值错误)
before_script:
- export SAFE_NAME=$(echo $CI_COMMIT_REF_NAME | sed 's/[^a-zA-Z0-9]/-/g' | tr '[:upper:]' '[:lower:]')
- echo "Deploying to namespace: feat-${SAFE_NAME}"应用部署实操
仅创建 Namespace 不够,需将应用部署到该空间。建议使用 kubectl 或 Helm 指定 namespace。
# 创建命名空间 (若不存在)
kubectl create namespace feat-${SAFE_NAME} `--dry-run`=client -o yaml | kubectl apply -f -
# 部署应用 (示例:kubectl)
kubectl apply -f k8s/deployment.yaml -n feat-${SAFE_NAME}
kubectl apply -f k8s/service.yaml -n feat-${SAFE_NAME}
# 部署应用 (示例:Helm)
helm upgrade `--install` app ./chart `--namespace` feat-${SAFE_NAME} `--create-namespace`环境自动清理配置
分支合并或删除后,必须回收资源。需在流水线中配置特定事件触发清理任务。
# GitHub Actions: 监听 PR 关闭事件
on:
pull_request:
types: [closed]
jobs:
cleanup:
runs-on: ubuntu-latest
steps:
- name: Delete Namespace
run: kubectl delete namespace feat-${SAFE_NAME} `--ignore-not-found`
# GitLab CI: 建议配合 Webhook 或定时任务扫描
# 或在 MR 关闭时触发 (需配置 Push Events 或 Merge Request Events)
cleanup-job:
stage: cleanup
rules:
- if: $CI_MERGE_REQUEST_EVENT == "close" # 伪代码,实际需结合 API 或脚本
script:
- kubectl delete namespace feat-${SAFE_NAME} `--ignore-not-found`权限与安全控制
流水线账号不应拥有集群最高权限。建议配置 RBAC,限制其只能操作特定前缀的 Namespace。
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: feat-*
name: ci-deploy-role
rules:
- apiGroups: ["", "apps"]
resources: ["deployments", "services", "configmaps"]
verbs: ["get", "list", "create", "update", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: ci-deploy-binding
namespace: feat-*
subjects:
- kind: ServiceAccount
name: ci-pipeline-sa
namespace: ci-system
roleRef:
kind: Role
name: ci-deploy-role
apiGroup: rbac.authorization.k8s.io验证与常见坑
验证方法:
- 访问地址:
curl -I https://feat-${SAFE_NAME}.example.com应返回 200。 - 资源检查:
kubectl get ns | grep feat-${SAFE_NAME}确认存在。 - 清理检查:分支删除后,再次运行检查命令应无结果。
常见坑:
- 命名冲突:不同分支清洗后可能重名(如
feat/a-b和feat/a/b),建议在名称中加入短哈希值(${SAFE_NAME}-${SHORT_HASH})。 - 权限风险:避免使用
cluster-admin,严格限制 Namespace 前缀。 - 资源成本:设置最大环境数量限制,或配置自动休眠策略(如夜间缩容)。