Jenkins 最佳實踐

1.?在Jenkins中避免調度過載

過載Jenkins以同時運行多個作業可能導致資源競爭、構建速度變慢和系統性能問題。分配作業啟動時間可以防止瓶頸，并確保更順暢的執行。如何實現？

在Cron表達式中使用H：引入抖動（jitter），使用H來錯開作業啟動時間，避免同時執行多個作業。

? ? ? ?H/3 * * * * // 每隔3分鐘運行

? ? ?2. 在cron表達式中正確使用時區。

? ?驗證：

?Jenkins 還有一組別名，可以使使用常見的時間間隔更容易。

2. 使用環境變量來配置管道

硬編碼像API密鑰或部署URL這樣的值會使管道的靈活性降低，并且更難維護。環境變量允許你將這些值外部化，使你的管道能夠適應不同的環境（開發、測試、生產）。

如何實現？

在Jenkinsfile中定義環境變量：

environment {ENV_NAME = 'production'API_KEY = credentials('api-key-id')}

這使得你的管道在不同環境中更加動態和易于管理。?

3.?設置構建保留策略以管理磁盤空間

隨著Jenkins構建的積累，它們會占用大量的磁盤空間。設置保留策略可以幫助您丟棄舊的、不必要的構建，防止Jenkins變慢。

如何實施？

在每個作業的配置中，啟用丟棄舊構建，并指定要保留的構建數量或構建的天數。這樣可以確保Jenkins僅保留相關構建，減少存儲開銷。?

4.? 參數化構建

有時，擁有多個“參數”的構建是有用的/必要的。考慮以下使用情況：

您在Jenkins上設置了一個測試作業，它接受一個分發包作為參數并對其進行測試。您希望開發人員進行本地構建，并讓他們提交構建以在Jenkins上執行測試。在這種情況下，您的參數是一個包含分發的zip文件。
您的測試套件運行時間很長，以至于在正常執行中您無法承受運行整個測試周期的費用。因此，您希望控制要執行的測試部分。

在這種情況下，您的參數可能是一個字符串令牌，指示要運行的測試套件。這些參數可作為環境變量使用。因此，例如，shell（$FOO，%FOO%）或Ant（${env.FOO}）可以訪問這些值。

定義參數：env和jdk_version:?

?在pipeline中使用該參數

驗證：

5. 使用共享庫來簡化流水線

?創建共享庫：要在Jenkins中創建共享庫，請按照以下步驟操作：

1. 創建一個Git倉庫：首先創建一個Git倉庫來托管您的共享庫代碼。該倉庫應具有Jenkins能理解的特定結構。

2. 創建‘vars’目錄：在您的倉庫中創建一個‘vars’目錄。該目錄將包含您的可重用函數。

3. 定義函數：在‘vars’目錄中，將您的函數定義為Groovy文件。每個文件應包含一個函數，文件名將作為函數名。例如，如果您有一個名為‘sayHello’的函數，請創建一個名為`sayHello.groovy`的文件，其中包含該函數。

#!/usr/bin/env groovydef call(String name = 'human') {echo "Hello, ${name}."
}

4. 提交并推送：將您的更改提交到Git倉庫并推送到遠程倉庫。在Jenkins Pipeline中使用共享庫：現在您已創建了一個共享庫，可以在您的Jenkins Pipeline腳本中使用它。以下是一個示例：

@Library('pipeline-library-demo')_stage('Demo') {echo 'Hello world'sayHello 'Alex'}

?構建管道并檢查控制臺輸出表明共享庫正確加載并與用戶輸入交互。

在上面的例子中，我們使用 `@Library` 加載共享庫，并導入我們想用的函數。然后，我們可以在我們的流水線腳本中調用這些函數。

現實世界示例：使用共享庫進行 Kubernetes 部署假設你有一個簡化 Kubernetes 部署的共享庫。以下是你如何在 Jenkins 流水線中使用它的示例：

@Library('k8s-deploy-library') // Load the Kubernetes deployment library
import com.example.kubernetes.*pipeline {agent anyenvironment {DOCKER_IMAGE = 'myapp:latest'}stages {stage('Build and Push Docker Image') {steps {script {buildAndPushDockerImage(image: DOCKER_IMAGE)}}}stage('Deploy to Kubernetes') {steps {script {// Deploy to Kubernetes using the shared library functiondeployToKubernetes(deploymentName: 'myapp', image: DOCKER_IMAGE)}}}}
}

在這個例子中，我們使用共享庫來構建并推送 Docker 鏡像，然后將其部署到 Kubernetes 集群中。共享庫抽象了這些任務的復雜性，使管道腳本更具可讀性和可維護性。

6.?在流水線中執行安全掃描

將安全檢查融入您的流水線可以盡早發現漏洞，確保在代碼進入生產環境之前是更安全的。自動化的安全掃描將減少漏洞被引入代碼庫的風險。如何實施？

將安全工具，如SonarQube或OWASP依賴檢查，集成到您的流水線中：

stage('SonarCloud') {environment {SCANNER_HOME = tool 'SonarQubeScanner'ORGANIZATION = "rock-github"PROJECT_NAME = "java_jenkins-pipeline-as-code"}steps {withSonarQubeEnv('SonarCloudOne') {sh '''$SCANNER_HOME/bin/sonar-scanner -Dsonar.organization=$ORGANIZATION \-Dsonar.java.binaries=build/classes/java/ \-Dsonar.projectKey=$PROJECT_NAME \-Dsonar.sources=.'''}}
}

7. 使用角色來管理用戶的權限

企業有這樣的需求，開發部門的員工不能訪問生產環境的release pipeline。只能看到測試環境的CI pipeline，要實現這樣的需求，需要用到基于角色的權限管理。

首先需要安裝下面的plug-in。

創建用戶，在系統管理-安全-管理用戶?

?點擊創建用戶

然后創建角色，并指定權限，使用表達式來匹配jenkins-ci開頭的job。

然后分配角色給用戶

使用該用戶登錄后，發現只能看到jenkins-ci開頭的pipeline。

7.?將您的流水線作為代碼

建議使用該功能將Jenkinsfile存儲在源代碼管理（SCM）中，然后進行版本控制和測試。將您的流水線視為代碼可以打開一系列新的功能和能力，如多分支、拉取請求檢測以及對GitHub和BitBucket的組織掃描。使用Jenkinsfile調用流水線作為代碼使用其默認名稱Jenkinsfile調用流水線腳本，并開始遵循腳本頭部。這有助于您的IDE、GitHub和其他工具將其識別為Groovy，并啟用所需的代碼高亮顯示。?

8.?不要使用 Maven 作業類型

Jenkins 多年來一直提供 Maven 集成插件，允許用戶通過 Jenkins 的“新建項目”菜單選擇“Maven 項目”來創建 Maven 項目。雖然 Maven 作業類型提供了與 Maven 構建的更高水平集成，但有時由于這種深度集成，可能會引入不必要的復雜性。

考慮使用組織文件夾、多分支管道或管道作業，而不是 Maven 作業類型。這些替代方案在管理您的 Jenkins 作業和工作流程時提供了更多靈活性和簡便性。

Jenkins 項目使用組織文件夾在 ci.jenkins.io 上構建 Jenkins 核心和 Jenkins 插件。Jenkins 管道可以輕松構建 Maven 項目，并為 Maven 用戶提供更好的控制。?

9.?避免資源沖突

可鎖定資源

這個插件允許定義可鎖定的資源（例如打印機、電話、計算機等），這些資源可以被構建使用。如果一個構建需要一個已經被鎖定的資源，它將等待該資源釋放。

當多個作業同時運行時，特別是當它們需要對某些資源或設置服務進行獨占訪問時，可能會發生沖突。為了防止干擾并確保順利執行，有效管理資源訪問至關重要。對于涉及數據庫或網絡服務的構建，實施防止沖突的措施是至關重要的。可鎖定資源插件為Jenkins作業提供了細粒度的資源鎖定功能。通過使用此插件，您可以確保在任何時候只有一個作業能夠訪問特定資源，從而避免沖突并確保正確的同步。在可鎖定資源插件的資源鎖定不足以解決問題的情況下，您可以使用限制并發構建插件進一步控制并發構建。該插件允許您限制可以同時運行的構建數量，提供額外的控制并防止對共享資源的過載。

通過利用這些插件，您可以有效管理資源沖突和并發性，確保Jenkins作業的順利和可靠執行。?

?下面是一個使用資源鎖的pipeline?

echo 'Starting'
lock('SH_Printer_ColorA3_2342') {echo 'Do something here that requires unique access to the resource'// any other build will wait until the one locking the resource leaves this block
}
echo 'Finish'

?10.?報告構建結果

圖表和圖形為項目狀態和進展提供了有價值的見解，展示了趨勢和模式。自動化測試結果，包括單元測試、集成測試和端到端測試，可以揭示脆弱性或不穩定性。覆蓋率報告幫助識別沒有執行自動化測試的領域。編譯器警告消息通常是問題的第一指示。靜態分析工具在報告有風險的代碼或潛在安全風險的代碼方面非常有效。性能測試結果幫助識別延遲或關注區域。

下一代警告插件提供了方便訪問許多報告的途徑，包括：