CI: генерирует TLS-сертификат Postgres при первом деплое, добавляет BACKEND_DB_*
Синкает postgres/pg_hba.conf, postgres/init-backend-db.sh и scripts/backup.sh на VPS (раньше копировался только docker-compose.yml). Самоподписанный сертификат создаётся один раз, если ещё не существует — повторные деплои его не трогают, чтобы не рвать открытые TLS-сессии рестартом контейнера. Co-Authored-By: Claude Sonnet 5 <noreply@anthropic.com>
This commit is contained in:
+32
-14
@@ -1,17 +1,19 @@
|
|||||||
name: Deploy
|
name: Deploy
|
||||||
|
|
||||||
# ВАЖНО: DATA_VPS_IP/DATA_SSH_PRIVATE_KEY должны указывать на ТОТ ЖЕ VPS, что
|
# Postgres здесь принимает подключения по сети от netrunner-backend, который
|
||||||
# и прод netrunner-backend (тот же процесс Postgres, сеть netrunner_grid —
|
# живёт на ОТДЕЛЬНОМ VPS (см. docker-compose.yml, сервис `db`, и
|
||||||
# см. docker-compose.yml). Деплой backend'а должен быть выполнен на этом VPS
|
# postgres/pg_hba.conf) — самоподписанный TLS-сертификат генерируется прямо
|
||||||
# РАНЬШЕ первого запуска этого workflow — иначе `docker compose up` здесь
|
# этим workflow при первом деплое (если ещё не существует на диске), при
|
||||||
# упадёт с "network netrunner_grid not found".
|
# последующих деплоях не трогается (важно: перегенерация на каждом деплое
|
||||||
|
# рвала бы уже открытые TLS-сессии на рестарте контейнера без необходимости).
|
||||||
|
#
|
||||||
|
# Несекретные значения (DATA_VPS_IP, имена/юзеры БД, домен/лог-левел/SMTP-
|
||||||
|
# хост-порт Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны
|
||||||
|
# так же, как сам код, просто не маскируются в логах. Настоящие секреты
|
||||||
|
# (пароли/токены/приватный ключ) — только secrets.*. .env на сервере
|
||||||
|
# пересобирается с нуля на каждом деплое (ничего не хранится в репозитории).
|
||||||
#
|
#
|
||||||
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
|
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
|
||||||
# Несекретные значения (DATA_VPS_IP, имя/юзер БД, домен/лог-левел/SMTP-хост-порт
|
|
||||||
# Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны так же, как
|
|
||||||
# сам код, просто не маскируются в логах. Настоящие секреты (пароли/токены/
|
|
||||||
# приватный ключ) — только secrets.*. .env на сервере пересобирается с нуля на
|
|
||||||
# каждом деплое (ничего не хранится в репозитории).
|
|
||||||
on:
|
on:
|
||||||
push:
|
push:
|
||||||
branches: [main]
|
branches: [main]
|
||||||
@@ -24,13 +26,13 @@ jobs:
|
|||||||
steps:
|
steps:
|
||||||
- uses: actions/checkout@v4
|
- uses: actions/checkout@v4
|
||||||
|
|
||||||
- name: Sync compose file to VPS
|
- name: Sync compose file + postgres config + backup script to VPS
|
||||||
uses: appleboy/scp-action@v0.1.7
|
uses: appleboy/scp-action@v0.1.7
|
||||||
with:
|
with:
|
||||||
host: ${{ vars.DATA_VPS_IP }}
|
host: ${{ vars.DATA_VPS_IP }}
|
||||||
username: root
|
username: root
|
||||||
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
||||||
source: "docker-compose.yml"
|
source: "docker-compose.yml,postgres/pg_hba.conf,postgres/init-backend-db.sh,scripts/backup.sh"
|
||||||
target: "/root/netrunner-data"
|
target: "/root/netrunner-data"
|
||||||
strip_components: 0
|
strip_components: 0
|
||||||
|
|
||||||
@@ -40,16 +42,28 @@ jobs:
|
|||||||
host: ${{ vars.DATA_VPS_IP }}
|
host: ${{ vars.DATA_VPS_IP }}
|
||||||
username: root
|
username: root
|
||||||
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
||||||
envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
|
envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,BACKEND_DB_USER,BACKEND_DB_PASSWORD,BACKEND_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
|
||||||
script: |
|
script: |
|
||||||
set -e
|
set -e
|
||||||
cd /root/netrunner-data
|
cd /root/netrunner-data
|
||||||
mkdir -p data
|
mkdir -p data postgres/certs
|
||||||
|
|
||||||
|
# Самоподписанный сертификат Postgres — генерируется один раз,
|
||||||
|
# последующие деплои его не трогают (см. заголовок workflow).
|
||||||
|
if [ ! -f postgres/certs/server.crt ]; then
|
||||||
|
echo "🔑 Генерирую самоподписанный TLS-сертификат для Postgres (первый деплой)..."
|
||||||
|
openssl req -new -x509 -days 3650 -nodes -subj "/CN=netrunner-db" \
|
||||||
|
-out postgres/certs/server.crt -keyout postgres/certs/server.key
|
||||||
|
chmod 600 postgres/certs/server.key
|
||||||
|
fi
|
||||||
|
|
||||||
cat > .env <<EOF
|
cat > .env <<EOF
|
||||||
VW_DB_USER=${VW_DB_USER}
|
VW_DB_USER=${VW_DB_USER}
|
||||||
VW_DB_PASSWORD=${VW_DB_PASSWORD}
|
VW_DB_PASSWORD=${VW_DB_PASSWORD}
|
||||||
VW_DB_NAME=${VW_DB_NAME}
|
VW_DB_NAME=${VW_DB_NAME}
|
||||||
|
BACKEND_DB_USER=${BACKEND_DB_USER}
|
||||||
|
BACKEND_DB_PASSWORD=${BACKEND_DB_PASSWORD}
|
||||||
|
BACKEND_DB_NAME=${BACKEND_DB_NAME}
|
||||||
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
|
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
|
||||||
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
|
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
|
||||||
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
|
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
|
||||||
@@ -68,10 +82,14 @@ jobs:
|
|||||||
docker image prune -f
|
docker image prune -f
|
||||||
|
|
||||||
echo "✅ netrunner-data synchronized."
|
echo "✅ netrunner-data synchronized."
|
||||||
|
echo "⚠️ Не забудьте: firewall (ufw/DOCKER-USER) на этом VPS должен пускать 5432 ТОЛЬКО с IP backend-VPS, и postgres/pg_hba.conf — с заглушки 0.0.0.0/0 на реальный /32, как только backend-VPS арендован."
|
||||||
env:
|
env:
|
||||||
VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
|
VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
|
||||||
VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
|
VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
|
||||||
VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
|
VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
|
||||||
|
BACKEND_DB_USER: ${{ vars.DATA_BACKEND_DB_USER }}
|
||||||
|
BACKEND_DB_PASSWORD: ${{ secrets.DATA_BACKEND_DB_PASSWORD }}
|
||||||
|
BACKEND_DB_NAME: ${{ vars.DATA_BACKEND_DB_NAME }}
|
||||||
VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
|
VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
|
||||||
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
|
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
|
||||||
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
|
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
|
||||||
|
|||||||
@@ -1,17 +1,19 @@
|
|||||||
name: Deploy
|
name: Deploy
|
||||||
|
|
||||||
# ВАЖНО: DATA_VPS_IP/DATA_SSH_PRIVATE_KEY должны указывать на ТОТ ЖЕ VPS, что
|
# Postgres здесь принимает подключения по сети от netrunner-backend, который
|
||||||
# и прод netrunner-backend (тот же процесс Postgres, сеть netrunner_grid —
|
# живёт на ОТДЕЛЬНОМ VPS (см. docker-compose.yml, сервис `db`, и
|
||||||
# см. docker-compose.yml). Деплой backend'а должен быть выполнен на этом VPS
|
# postgres/pg_hba.conf) — самоподписанный TLS-сертификат генерируется прямо
|
||||||
# РАНЬШЕ первого запуска этого workflow — иначе `docker compose up` здесь
|
# этим workflow при первом деплое (если ещё не существует на диске), при
|
||||||
# упадёт с "network netrunner_grid not found".
|
# последующих деплоях не трогается (важно: перегенерация на каждом деплое
|
||||||
|
# рвала бы уже открытые TLS-сессии на рестарте контейнера без необходимости).
|
||||||
|
#
|
||||||
|
# Несекретные значения (DATA_VPS_IP, имена/юзеры БД, домен/лог-левел/SMTP-
|
||||||
|
# хост-порт Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны
|
||||||
|
# так же, как сам код, просто не маскируются в логах. Настоящие секреты
|
||||||
|
# (пароли/токены/приватный ключ) — только secrets.*. .env на сервере
|
||||||
|
# пересобирается с нуля на каждом деплое (ничего не хранится в репозитории).
|
||||||
#
|
#
|
||||||
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
|
# Без сборки образов (postgres/vaultwarden — публичные образы, не наши).
|
||||||
# Несекретные значения (DATA_VPS_IP, имя/юзер БД, домен/лог-левел/SMTP-хост-порт
|
|
||||||
# Vaultwarden) — repo Variables (vars.*), не Actions secrets: видны так же, как
|
|
||||||
# сам код, просто не маскируются в логах. Настоящие секреты (пароли/токены/
|
|
||||||
# приватный ключ) — только secrets.*. .env на сервере пересобирается с нуля на
|
|
||||||
# каждом деплое (ничего не хранится в репозитории).
|
|
||||||
on:
|
on:
|
||||||
push:
|
push:
|
||||||
branches: [main]
|
branches: [main]
|
||||||
@@ -24,13 +26,13 @@ jobs:
|
|||||||
steps:
|
steps:
|
||||||
- uses: actions/checkout@v4
|
- uses: actions/checkout@v4
|
||||||
|
|
||||||
- name: Sync compose file to VPS
|
- name: Sync compose file + postgres config + backup script to VPS
|
||||||
uses: appleboy/scp-action@v0.1.7
|
uses: appleboy/scp-action@v0.1.7
|
||||||
with:
|
with:
|
||||||
host: ${{ vars.DATA_VPS_IP }}
|
host: ${{ vars.DATA_VPS_IP }}
|
||||||
username: root
|
username: root
|
||||||
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
||||||
source: "docker-compose.yml"
|
source: "docker-compose.yml,postgres/pg_hba.conf,postgres/init-backend-db.sh,scripts/backup.sh"
|
||||||
target: "/root/netrunner-data"
|
target: "/root/netrunner-data"
|
||||||
strip_components: 0
|
strip_components: 0
|
||||||
|
|
||||||
@@ -40,16 +42,28 @@ jobs:
|
|||||||
host: ${{ vars.DATA_VPS_IP }}
|
host: ${{ vars.DATA_VPS_IP }}
|
||||||
username: root
|
username: root
|
||||||
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
key: ${{ secrets.DATA_SSH_PRIVATE_KEY }}
|
||||||
envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
|
envs: "VW_DB_USER,VW_DB_PASSWORD,VW_DB_NAME,BACKEND_DB_USER,BACKEND_DB_PASSWORD,BACKEND_DB_NAME,VAULTWARDEN_DOMAIN,VAULTWARDEN_SIGNUPS_ALLOWED,VAULTWARDEN_ADMIN_TOKEN,VAULTWARDEN_LOG_LEVEL,SMTP_HOST,SMTP_FROM,SMTP_PORT,SMTP_SECURITY,SMTP_USERNAME,SMTP_PASSWORD"
|
||||||
script: |
|
script: |
|
||||||
set -e
|
set -e
|
||||||
cd /root/netrunner-data
|
cd /root/netrunner-data
|
||||||
mkdir -p data
|
mkdir -p data postgres/certs
|
||||||
|
|
||||||
|
# Самоподписанный сертификат Postgres — генерируется один раз,
|
||||||
|
# последующие деплои его не трогают (см. заголовок workflow).
|
||||||
|
if [ ! -f postgres/certs/server.crt ]; then
|
||||||
|
echo "🔑 Генерирую самоподписанный TLS-сертификат для Postgres (первый деплой)..."
|
||||||
|
openssl req -new -x509 -days 3650 -nodes -subj "/CN=netrunner-db" \
|
||||||
|
-out postgres/certs/server.crt -keyout postgres/certs/server.key
|
||||||
|
chmod 600 postgres/certs/server.key
|
||||||
|
fi
|
||||||
|
|
||||||
cat > .env <<EOF
|
cat > .env <<EOF
|
||||||
VW_DB_USER=${VW_DB_USER}
|
VW_DB_USER=${VW_DB_USER}
|
||||||
VW_DB_PASSWORD=${VW_DB_PASSWORD}
|
VW_DB_PASSWORD=${VW_DB_PASSWORD}
|
||||||
VW_DB_NAME=${VW_DB_NAME}
|
VW_DB_NAME=${VW_DB_NAME}
|
||||||
|
BACKEND_DB_USER=${BACKEND_DB_USER}
|
||||||
|
BACKEND_DB_PASSWORD=${BACKEND_DB_PASSWORD}
|
||||||
|
BACKEND_DB_NAME=${BACKEND_DB_NAME}
|
||||||
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
|
VAULTWARDEN_DOMAIN=${VAULTWARDEN_DOMAIN}
|
||||||
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
|
VAULTWARDEN_SIGNUPS_ALLOWED=${VAULTWARDEN_SIGNUPS_ALLOWED}
|
||||||
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
|
VAULTWARDEN_ADMIN_TOKEN=${VAULTWARDEN_ADMIN_TOKEN}
|
||||||
@@ -68,10 +82,14 @@ jobs:
|
|||||||
docker image prune -f
|
docker image prune -f
|
||||||
|
|
||||||
echo "✅ netrunner-data synchronized."
|
echo "✅ netrunner-data synchronized."
|
||||||
|
echo "⚠️ Не забудьте: firewall (ufw/DOCKER-USER) на этом VPS должен пускать 5432 ТОЛЬКО с IP backend-VPS, и postgres/pg_hba.conf — с заглушки 0.0.0.0/0 на реальный /32, как только backend-VPS арендован."
|
||||||
env:
|
env:
|
||||||
VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
|
VW_DB_USER: ${{ vars.DATA_VW_DB_USER }}
|
||||||
VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
|
VW_DB_PASSWORD: ${{ secrets.DATA_VW_DB_PASSWORD }}
|
||||||
VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
|
VW_DB_NAME: ${{ vars.DATA_VW_DB_NAME }}
|
||||||
|
BACKEND_DB_USER: ${{ vars.DATA_BACKEND_DB_USER }}
|
||||||
|
BACKEND_DB_PASSWORD: ${{ secrets.DATA_BACKEND_DB_PASSWORD }}
|
||||||
|
BACKEND_DB_NAME: ${{ vars.DATA_BACKEND_DB_NAME }}
|
||||||
VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
|
VAULTWARDEN_DOMAIN: ${{ vars.VAULTWARDEN_DOMAIN }}
|
||||||
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
|
VAULTWARDEN_SIGNUPS_ALLOWED: ${{ vars.VAULTWARDEN_SIGNUPS_ALLOWED }}
|
||||||
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
|
VAULTWARDEN_ADMIN_TOKEN: ${{ secrets.VAULTWARDEN_ADMIN_TOKEN }}
|
||||||
|
|||||||
Reference in New Issue
Block a user