CI: переименовывает DB_*→VW_DB_* и переносит несекретные значения в vars

DATA_VPS_IP, имя/юзер БД, домен/лог-левел/SIGNUPS_ALLOWED/SMTP-хост-порт-
security-username Vaultwarden — в vars (не секреты сами по себе). Пароли
(VW_DB_PASSWORD, SMTP_PASSWORD), ADMIN_TOKEN и SSH-ключ остаются в secrets.

Co-Authored-By: Claude Sonnet 5 <noreply@anthropic.com>
This commit is contained in:
2026-07-09 16:37:48 +07:00
parent 049d38a2b9
commit 3b8c0aeebd
2 changed files with 58 additions and 40 deletions
+29 -20
View File
@@ -1,8 +1,17 @@
name: Deploy name: Deploy
# Один VPS, без сборки образов (postgres/vaultwarden — публичные образы, не наши). # ВАЖНО: DATA_VPS_IP/DATA_SSH_PRIVATE_KEY должны указывать на ТОТ ЖЕ VPS, что
# Все значения — только из GitHub Actions secrets, .env на сервере пересобирается # и прод netrunner-backend (тот же процесс Postgres, сеть netrunner_grid —
# с нуля на каждом деплое (ничего не хранится в репозитории). # см. docker-compose.yml). Деплой backend'а должен быть выполнен на этом VPS
# РАНЬШЕ первого запуска этого workflow — иначе `docker compose up` здесь
# упадёт с "network netrunner_grid not found".
#
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
# Несекретные значения (DATA_VPS_IP, имя/юзер БД, домен/лог-левел/SMTP-хост-порт
# Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны так же, как
# сам код, просто не маскируются в логах. Настоящие секреты (пароли/токены/
# приватный ключ) — только secrets.*. .env на сервере пересобирается с нуля на
# каждом деплое (ничего не хранится в репозитории).
on: on:
push: push:
branches: [main] branches: [main]
@@ -18,7 +27,7 @@ jobs:
- name: Sync compose file to VPS - name: Sync compose file to VPS
uses: appleboy/scp-action@v0.1.7 uses: appleboy/scp-action@v0.1.7
with: with:
host: ${{ secrets.DATA_VPS_IP }} host: ${{ vars.DATA_VPS_IP }}
username: root username: root
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }} key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
source: "docker-compose.yml" source: "docker-compose.yml"
@@ -28,19 +37,19 @@ jobs:
- name: Write .env and deploy via SSH - name: Write .env and deploy via SSH
uses: appleboy/ssh-action@v1 uses: appleboy/ssh-action@v1
with: with:
host: ${{ secrets.DATA_VPS_IP }} host: ${{ vars.DATA_VPS_IP }}
username: root username: root
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }} key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
envs: "DB_USER,DB_PASSWORD,DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD" envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
script: | script: |
set -e set -e
cd /root/netrunner-data cd /root/netrunner-data
mkdir -p data mkdir -p data
cat > .env <<EOF cat > .env <<EOF
DB_USER=${DB_USER} VW_DB_USER=${VW_DB_USER}
DB_PASSWORD=${DB_PASSWORD} VW_DB_PASSWORD=${VW_DB_PASSWORD}
DB_NAME=${DB_NAME} VW_DB_NAME=${VW_DB_NAME}
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN} VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED} VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN} VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
@@ -60,16 +69,16 @@ jobs:
echo "✅ netrunner-data synchronized." echo "✅ netrunner-data synchronized."
env: env:
DB_USER: ${{ secrets.DATA_DB_USER }} VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
DB_PASSWORD: ${{ secrets.DATA_DB_PASSWORD }} VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
DB_NAME: ${{ secrets.DATA_DB_NAME }} VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
VAULTWARDEN_DOMAIN: ${{ secrets.VAULTWARDEN_DOMAIN }} VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ secrets.VAULTWARDEN_SIGNUPS_ALLOWED }} VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }} VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
VAULTWARDEN_LOG_LEVEL: ${{ secrets.VAULTWARDEN_LOG_LEVEL }} VAULTWARDEN_LOG_LEVEL: ${{ vars.VAULTWARDEN_LOG_LEVEL }}
SMTP_HOST: ${{ secrets.VAULTWARDEN_SMTP_HOST }} SMTP_HOST: ${{ vars.VAULTWARDEN_SMTP_HOST }}
SMTP_FROM: ${{ secrets.VAULTWARDEN_SMTP_FROM }} SMTP_FROM: ${{ vars.VAULTWARDEN_SMTP_FROM }}
SMTP_PORT: ${{ secrets.VAULTWARDEN_SMTP_PORT }} SMTP_PORT: ${{ vars.VAULTWARDEN_SMTP_PORT }}
SMTP_SECURITY: ${{ secrets.VAULTWARDEN_SMTP_SECURITY }} SMTP_SECURITY: ${{ vars.VAULTWARDEN_SMTP_SECURITY }}
SMTP_USERNAME: ${{ secrets.VAULTWARDEN_SMTP_USERNAME }} SMTP_USERNAME: ${{ vars.VAULTWARDEN_SMTP_USERNAME }}
SMTP_PASSWORD: ${{ secrets.VAULTWARDEN_SMTP_PASSWORD }} SMTP_PASSWORD: ${{ secrets.VAULTWARDEN_SMTP_PASSWORD }}
+29 -20
View File
@@ -1,8 +1,17 @@
name: Deploy name: Deploy
# Один VPS, без сборки образов (postgres/vaultwarden — публичные образы, не наши). # ВАЖНО: DATA_VPS_IP/DATA_SSH_PRIVATE_KEY должны указывать на ТОТ ЖЕ VPS, что
# Все значения — только из GitHub Actions secrets, .env на сервере пересобирается # и прод netrunner-backend (тот же процесс Postgres, сеть netrunner_grid —
# с нуля на каждом деплое (ничего не хранится в репозитории). # см. docker-compose.yml). Деплой backend'а должен быть выполнен на этом VPS
# РАНЬШЕ первого запуска этого workflow — иначе `docker compose up` здесь
# упадёт с "network netrunner_grid not found".
#
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
# Несекретные значения (DATA_VPS_IP, имя/юзер БД, домен/лог-левел/SMTP-хост-порт
# Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны так же, как
# сам код, просто не маскируются в логах. Настоящие секреты (пароли/токены/
# приватный ключ) — только secrets.*. .env на сервере пересобирается с нуля на
# каждом деплое (ничего не хранится в репозитории).
on: on:
push: push:
branches: [main] branches: [main]
@@ -18,7 +27,7 @@ jobs:
- name: Sync compose file to VPS - name: Sync compose file to VPS
uses: appleboy/scp-action@v0.1.7 uses: appleboy/scp-action@v0.1.7
with: with:
host: ${{ secrets.DATA_VPS_IP }} host: ${{ vars.DATA_VPS_IP }}
username: root username: root
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }} key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
source: "docker-compose.yml" source: "docker-compose.yml"
@@ -28,19 +37,19 @@ jobs:
- name: Write .env and deploy via SSH - name: Write .env and deploy via SSH
uses: appleboy/ssh-action@v1 uses: appleboy/ssh-action@v1
with: with:
host: ${{ secrets.DATA_VPS_IP }} host: ${{ vars.DATA_VPS_IP }}
username: root username: root
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }} key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
envs: "DB_USER,DB_PASSWORD,DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD" envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
script: | script: |
set -e set -e
cd /root/netrunner-data cd /root/netrunner-data
mkdir -p data mkdir -p data
cat > .env <<EOF cat > .env <<EOF
DB_USER=${DB_USER} VW_DB_USER=${VW_DB_USER}
DB_PASSWORD=${DB_PASSWORD} VW_DB_PASSWORD=${VW_DB_PASSWORD}
DB_NAME=${DB_NAME} VW_DB_NAME=${VW_DB_NAME}
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN} VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED} VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN} VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
@@ -60,16 +69,16 @@ jobs:
echo "✅ netrunner-data synchronized." echo "✅ netrunner-data synchronized."
env: env:
DB_USER: ${{ secrets.DATA_DB_USER }} VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
DB_PASSWORD: ${{ secrets.DATA_DB_PASSWORD }} VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
DB_NAME: ${{ secrets.DATA_DB_NAME }} VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
VAULTWARDEN_DOMAIN: ${{ secrets.VAULTWARDEN_DOMAIN }} VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ secrets.VAULTWARDEN_SIGNUPS_ALLOWED }} VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }} VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
VAULTWARDEN_LOG_LEVEL: ${{ secrets.VAULTWARDEN_LOG_LEVEL }} VAULTWARDEN_LOG_LEVEL: ${{ vars.VAULTWARDEN_LOG_LEVEL }}
SMTP_HOST: ${{ secrets.VAULTWARDEN_SMTP_HOST }} SMTP_HOST: ${{ vars.VAULTWARDEN_SMTP_HOST }}
SMTP_FROM: ${{ secrets.VAULTWARDEN_SMTP_FROM }} SMTP_FROM: ${{ vars.VAULTWARDEN_SMTP_FROM }}
SMTP_PORT: ${{ secrets.VAULTWARDEN_SMTP_PORT }} SMTP_PORT: ${{ vars.VAULTWARDEN_SMTP_PORT }}
SMTP_SECURITY: ${{ secrets.VAULTWARDEN_SMTP_SECURITY }} SMTP_SECURITY: ${{ vars.VAULTWARDEN_SMTP_SECURITY }}
SMTP_USERNAME: ${{ secrets.VAULTWARDEN_SMTP_USERNAME }} SMTP_USERNAME: ${{ vars.VAULTWARDEN_SMTP_USERNAME }}
SMTP_PASSWORD: ${{ secrets.VAULTWARDEN_SMTP_PASSWORD }} SMTP_PASSWORD: ${{ secrets.VAULTWARDEN_SMTP_PASSWORD }}