現代軟體開發的節奏日益加快,市場競爭要求產品能夠快速迭代並回應使用者需求。傳統的手動部署方式不僅耗時費力,更容易因為人為疏失而導致生產環境事故。在這樣的背景下,持續整合與持續部署的概念成為軟體工程實踐中不可或缺的核心能力。這些自動化流程不僅能夠縮短軟體交付週期,更能透過標準化的步驟確保每次部署都符合既定的品質標準。GitHub Actions 作為 GitHub 平台原生的自動化工作流程引擎,與 Google Cloud Run 這個無伺服器容器執行平台的結合,為開發團隊提供了一條從程式碼提交到生產環境部署的完整自動化路徑。
軟體開發生命週期中,部署環節往往是最容易出錯且最耗費時間的階段。在沒有自動化的情況下,開發人員需要手動執行一系列繁瑣的步驟,包含程式碼編譯、測試執行、映像打包、環境配置、服務重啟等。這些重複性的工作不僅消耗大量時間,更因為人工操作的不穩定性而容易產生錯誤。當問題發生時,要追溯是哪個步驟出錯往往需要花費更多時間。透過自動化部署管線的建立,所有這些步驟都能夠標準化並自動執行,確保每次部署都遵循相同的流程與品質標準。
持續整合的核心價值在於縮短問題發現的時間。在傳統的開發模式中,開發人員可能在獨立分支上工作數週甚至數月,最終合併時才發現與主分支存在大量衝突或相容性問題。這時候要解決這些問題往往需要投入大量精力,甚至可能需要重寫部分程式碼。持續整合要求開發人員頻繁地將程式碼變更整合到共享的主分支中,每次整合都會觸發自動化建置與測試流程。這種做法將潛在的整合問題分散到整個開發週期中,每次整合的風險與複雜度都維持在可控範圍內,讓團隊能夠在問題擴大之前就察覺並處理。
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 14
skinparam minClassWidth 100
title 持續整合與持續部署完整流程架構
actor "開發人員" as Developer
participant "GitHub\n儲存庫" as GitHub
participant "GitHub Actions\n運行器" as Actions
participant "Docker\nBuildx" as Docker
participant "Artifact Registry\n映像儲存" as Registry
participant "Cloud Run\n服務平台" as CloudRun
participant "Cloud Monitoring\n監控系統" as Monitoring
== 程式碼提交階段 ==
Developer -> GitHub: 推送程式碼變更
note right
git push origin main
end note
GitHub -> Actions: 觸發工作流程
note right
偵測 .github/workflows
設定檔案並啟動
end note
== 持續整合階段 ==
Actions -> Actions: 檢出原始碼
note right
actions/checkout@v4
取得最新程式碼
end note
Actions -> Actions: 安裝相依套件
note right
pip install -r requirements.txt
設定 Python 環境
end note
Actions -> Actions: 執行程式碼檢查
note right
flake8、black、isort
靜態分析工具
end note
Actions -> Actions: 執行單元測試
note right
pytest 測試框架
產生覆蓋率報告
end note
== 容器化建置階段 ==
Actions -> Docker: 建置容器映像
note right
多階段 Dockerfile
最佳化映像大小
end note
Docker -> Docker: 執行建置快取
note right
GitHub Actions Cache
加速建置流程
end note
Docker -> Registry: 推送映像
note right
標記版本號
上傳至 Artifact Registry
end note
== 部署階段 ==
Actions -> CloudRun: 部署新修訂版本
note right
gcloud run deploy
設定環境變數與資源
end note
CloudRun -> CloudRun: 健康檢查
note right
驗證容器啟動
確認服務就緒
end note
CloudRun -> CloudRun: 更新流量路由
note right
漸進式流量切換
或全量部署
end note
CloudRun -> Monitoring: 發送指標
note right
請求延遲
錯誤率
資源使用率
end note
Actions -> Developer: 發送通知
note right
部署成功或失敗
透過 Slack 或郵件
end note
== 監控與驗證階段 ==
CloudRun -> Actions: 執行冒煙測試
note right
驗證健康檢查端點
測試關鍵功能
end note
Monitoring -> Developer: 監控告警
note right
異常指標通知
效能降級警示
end note
@enduml持續部署將自動化的範圍進一步擴展到生產環境的發布階段。在完全實作持續部署的組織中,一旦程式碼通過所有自動化測試,就會自動部署到生產環境,整個過程不需要任何人工介入。這種高度自動化的方式對團隊的測試能力與流程成熟度提出了極高的要求,因為自動化測試必須能夠捕捉所有可能影響生產環境的問題。然而對於已經建立完善測試體系的團隊而言,持續部署帶來的效益是顯著的,包含更快的功能上市時間、更頻繁的小規模發布,以及更快速的使用者回饋循環。
持續交付則是介於持續整合與持續部署之間的一種平衡做法。在持續交付模式下,程式碼會自動經過建置、測試與準備階段,但最終部署到生產環境的動作仍需要人工核准。這種方式在保留自動化效益的同時,也為團隊保留了一個最終的品質把關點。許多企業在導入 DevOps 實踐的初期會先採用持續交付,待團隊對自動化流程建立足夠信心並累積充分經驗後,再逐步過渡到完全的持續部署。這種漸進式的轉變能夠降低組織變革的風險,讓團隊有時間適應新的工作方式。
GitHub Actions 平台的架構建立在運行器的概念之上。運行器是用於執行工作流程中各項任務的伺服器實例,可以是 GitHub 提供的託管運行器,也可以是團隊自行部署的自託管運行器。GitHub 託管運行器提供了 Ubuntu、Windows 與 macOS 三種作業系統環境,每種環境都預先安裝了常用的開發工具與執行環境。對於大部分的專案而言,託管運行器已經能夠滿足需求,而且使用起來非常方便,無需進行任何設定即可開始使用。自託管運行器則適合有特殊需求的團隊,例如需要存取內部網路資源、使用特定的硬體設備,或者有嚴格的資料合規要求不允許程式碼離開企業內部網路。
工作流程透過 YAML 格式的設定檔定義,這些檔案存放在儲存庫的 .github/workflows 目錄下。當指定的觸發事件發生時,GitHub 會讀取相應的工作流程檔案並開始執行。觸發事件的種類非常豐富,不僅包含常見的程式碼推送、拉取請求建立、發布版本等 Git 相關事件,也支援排程時間觸發、手動觸發,甚至是其他工作流程完成後的鏈式觸發。這種靈活的觸發機制讓團隊能夠根據不同的場景設計適當的自動化流程,例如每日定時執行完整的測試套件,或者在發布新版本時自動產生變更日誌。
GitHub Actions 擁有龐大的 Action 市集,提供數千個由社群貢獻的預建動作。這些 Action 涵蓋了各種常見的 CI/CD 任務,從程式碼檢出、測試執行、映像建置到雲端部署等應有盡有。開發團隊可以像組裝積木一樣,將這些 Action 組合成符合自己需求的工作流程,大幅降低了建立自動化管線的門檻。此外,團隊也可以建立自己的 Action 並分享給組織內部或公開發布,促進自動化實務的標準化與重複使用。
Google Cloud Run 將容器的靈活性與無伺服器運算的便利性完美結合。傳統的容器部署需要管理 Kubernetes 叢集或虛擬機器群組,這些基礎設施的維護工作往往消耗團隊大量的時間與精力。Cloud Run 則完全接管了這些底層細節,開發團隊只需要提供符合 OCI 標準的容器映像,Cloud Run 就會自動處理容器的啟動、擴展、負載平衡與健康監控。這種架構讓開發團隊能夠專注於應用程式本身的開發,而不需要成為基礎設施專家。
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 14
skinparam minClassWidth 100
title Cloud Run 自動擴展與請求處理機制
package "全球負載均衡層" {
component "Cloud Load Balancer\n全球負載均衡器" as LB
component "TLS 終止\n憑證管理" as TLS
}
package "Cloud Run 控制平面" {
component "請求佇列\nRequest Queue" as Queue
component "自動擴展控制器\nAutoscaler" as Scaler
component "修訂版本管理\nRevision Manager" as RevMgr
}
package "容器實例群組" {
component "容器實例 1\n處理中" as Inst1
component "容器實例 2\n處理中" as Inst2
component "容器實例 3\n閒置" as Inst3
component "容器實例 N\n新啟動" as InstN
}
package "後端服務" {
database "Cloud SQL\n資料庫" as DB
component "Cloud Storage\n物件儲存" as Storage
component "Memorystore\n快取服務" as Cache
}
package "監控與計費" {
component "Cloud Monitoring\n指標收集" as Mon
component "Cloud Logging\n日誌彙整" as Log
component "Cloud Billing\n使用計費" as Bill
}
LB -down-> TLS : HTTPS 請求
TLS -down-> Queue : 解密後轉發
Queue -down-> Scaler : 佇列深度監控
Scaler -right-> RevMgr : 決定擴展策略
RevMgr -down-> Inst1 : 分配請求
RevMgr -down-> Inst2 : 分配請求
RevMgr -down-> Inst3 : 備用待命
RevMgr -down-> InstN : 啟動新實例
Inst1 -down-> DB : 資料查詢
Inst1 -down-> Storage : 檔案存取
Inst1 -down-> Cache : 快取讀寫
Inst2 -down-> DB
Inst2 -down-> Storage
Inst2 -down-> Cache
Inst1 -right-> Mon : 效能指標
Inst1 -right-> Log : 應用日誌
Inst1 -right-> Bill : 資源使用
note right of Scaler
擴展決策因素:
- 並行請求數量
- CPU 使用率
- 記憶體使用率
- 請求佇列深度
- 設定的最小/最大實例數
end note
note bottom of Queue
請求佇列管理:
- 緩衝突發流量
- 平滑實例啟動延遲
- 確保請求不遺失
end note
note bottom of RevMgr
修訂版本策略:
- 藍綠部署
- 金絲雀發布
- 流量分割
- 快速回滾
end note
@endumlCloud Run 採用按請求計費的模式,這對於流量波動較大的應用程式特別有利。在傳統的部署模式中,即使沒有任何請求,伺服器也必須持續運行並產生費用。Cloud Run 則會在沒有流量時自動將服務縮減到零個實例,完全不產生運算成本。當請求到達時,Cloud Run 會快速啟動容器實例來處理請求,整個冷啟動過程通常在數秒內完成。對於需要更低延遲的服務,可以設定最小實例數,確保始終有實例處於就緒狀態。這種彈性的計費與擴展機制讓團隊能夠在成本與效能之間找到最佳平衡點。
安全性是 Cloud Run 設計的核心考量之一。每個 Cloud Run 服務預設都配置了由 Google 管理的 SSL 憑證,所有傳輸中的資料都經過 TLS 加密保護。服務之間的通訊可以透過 IAM 身分驗證機制進行保護,確保只有經過授權的呼叫者才能存取服務。對於需要存取私有資源的服務,Cloud Run 支援 VPC 連接器,允許服務安全地存取 VPC 網路中的資源,例如 Cloud SQL 資料庫或 Memorystore 快取實例,而無需將這些資源暴露在公開網路上。這種多層次的安全機制能夠有效保護應用程式與資料的安全。
在建立自動化部署管線之前,必須先在 Google Cloud Platform 上完成身分驗證機制的配置。由於 GitHub Actions 運行器無法進行互動式登入,因此需要使用服務帳號來代表自動化流程執行各項 GCP 操作。服務帳號是 GCP 中專門為應用程式與服務設計的身分類型,不同於一般的使用者帳號,服務帳號可以透過金鑰檔案或 Workload Identity Federation 進行程式化的身分驗證。建立服務帳號後,需要透過 IAM 角色授予操作各項 GCP 資源的權限。對於 Cloud Run 部署流程,服務帳號至少需要 Cloud Run Admin 角色來管理服務、Storage Admin 角色來存取建置產出物,以及 Artifact Registry Writer 角色來推送容器映像。
服務帳號金鑰檔案是一個 JSON 格式的檔案,包含服務帳號的私鑰與相關認證資訊。這個檔案必須妥善保管,因為任何持有這個檔案的人都能以該服務帳號的身分執行操作。在 GitHub Actions 中使用服務帳號金鑰時,應該將金鑰檔案的內容儲存為加密的儲存庫密鑰,絕對不能直接提交到版本控制系統或公開分享。GitHub 的密鑰功能提供了加密儲存與安全存取機制,確保敏感資訊只有在工作流程執行時才能被存取,而且存取過程會留下完整的稽核記錄。
Workload Identity Federation 是 GCP 推出的更安全的身分驗證方式,它允許外部身分提供者的主體直接取得 GCP 憑證,而無需使用長期有效的服務帳號金鑰。透過設定 Workload Identity Pool 與 Provider,可以讓 GitHub Actions 的 OIDC 權杖直接換取短期的 GCP 存取權杖。這種方式消除了金鑰管理的負擔,也大幅降低了金鑰外洩的風險。當金鑰檔案不小心被提交到公開儲存庫時,可能在數分鐘內就被惡意使用者發現並濫用,造成嚴重的安全事故。Workload Identity Federation 透過無金鑰的設計從根本上避免了這類風險,是目前建議的最佳實踐。
Flask 應用程式的容器化需要仔細設計 Dockerfile 以確保建置效率與映像安全性。多階段建置是 Docker 的重要功能,它允許在一個 Dockerfile 中定義多個建置階段,每個階段可以使用不同的基礎映像。在建置階段使用包含完整編譯工具鏈的映像來編譯相依套件,然後在執行階段只複製必要的執行檔案到精簡的基礎映像中。這種方式能夠顯著減小最終映像的大小,降低攻擊面,同時也加快了映像的拉取與啟動速度。一個經過最佳化的 Flask 應用程式映像通常可以控制在 100MB 以下,相比未最佳化的版本可能節省數百 MB 的空間。
容器安全的最佳實踐之一是以非特權使用者執行應用程式。預設情況下,Docker 容器中的行程以 root 使用者執行,這意味著如果應用程式存在安全漏洞被攻擊者利用,攻擊者將獲得容器內的完整控制權。透過建立專門的應用程式使用者並切換到該使用者執行,即使攻擊者成功執行程式碼,他們的權限也受到嚴格限制,無法進行系統層級的操作。這種防禦深度的策略能夠有效降低安全事件的影響範圍。
Gunicorn 是 Python 生態系中最成熟的 WSGI 伺服器之一,專門設計用於生產環境。Flask 內建的開發伺服器雖然方便,但性能有限且缺乏生產環境所需的穩定性與安全特性。Gunicorn 採用預先分叉的工作行程模型,能夠有效利用多核心處理器,並且提供了完善的行程管理、優雅重啟、逾時處理等功能。在 Cloud Run 環境中,建議將工作行程數設定為實例 CPU 核心數的二到四倍,這樣能夠在處理 I/O 密集型請求時保持較高的並行能力。
GitHub Actions 工作流程的設計應該考慮可維護性與可擴展性。將工作流程劃分為多個獨立的作業,每個作業負責特定的任務,例如程式碼檢查、測試執行、映像建置與部署。這種模組化的設計不僅讓工作流程的結構更加清晰,也便於並行執行來縮短整體執行時間。作業之間可以透過 needs 關鍵字定義依賴關係,確保作業按照正確的順序執行。例如部署作業必須等待建置作業成功完成後才能開始,而建置作業則需要等待測試作業通過。
工作流程的觸發條件設定直接影響自動化的效率與成本。過於頻繁的觸發可能導致不必要的運算資源消耗,而過於保守的觸發則可能延誤問題的發現。一個常見的策略是對主分支的推送觸發完整的建置與部署流程,對拉取請求則只執行測試與程式碼檢查,而不實際部署。此外,可以透過路徑過濾器限制觸發範圍,例如只有當應用程式原始碼或 Dockerfile 變更時才觸發部署,文件變更則不需要觸發。這種精細的控制能夠在保證自動化效果的同時,避免浪費運算資源。
Docker 建置快取是提升建置速度的關鍵技術。GitHub Actions 提供了快取機制,能夠在不同的工作流程執行之間保存並重複使用 Docker 層快取。透過 Docker Buildx 的快取後端功能,可以將建置過程中產生的層快取儲存到 GitHub Actions 的快取空間,下次建置時直接重複使用未變更的層,只重新建置有變更的部分。這種增量建置的方式能夠將建置時間從數分鐘縮短到數十秒,對於頻繁部署的專案特別有價值。
部署策略的選擇需要在風險與速度之間取得平衡。全量部署是最簡單直接的方式,適合低風險的變更或開發環境。金絲雀部署則透過漸進式的流量遷移來降低風險,初期只將小部分流量導向新版本,觀察指標正常後再逐步增加比例,最終完全切換到新版本。Cloud Run 的流量分割功能讓這種策略的實作變得非常簡單,只需要在部署命令中指定各個修訂版本的流量百分比即可。藍綠部署則維護兩個完整的環境,透過負載均衡器快速切換流量,這種方式的回滾速度最快,但成本也相對較高。
監控與可觀測性是確保服務穩定運行的基礎。Cloud Run 自動收集請求延遲、錯誤率、CPU 使用率、記憶體使用率等關鍵指標,這些指標可以透過 Cloud Monitoring 檢視並設定告警規則。當指標超過設定的閾值時,系統會自動發送通知給相關人員,讓團隊能夠及時發現並處理問題。日誌管理同樣重要,採用結構化的 JSON 日誌格式能夠讓 Cloud Logging 更容易解析與查詢日誌內容。分散式追蹤則提供了請求在多個服務之間流轉的完整視圖,對於診斷複雜的效能問題特別有幫助。
總結而言,GitHub Actions 與 Cloud Run 的結合為現代化的軟體交付提供了完整且強大的解決方案。透過本文介紹的技術與實務,開發團隊可以建立一個從程式碼提交到生產部署的全自動化管線,大幅提升軟體交付的效率與品質。然而,持續整合與持續部署不僅僅是工具的導入,更是團隊文化與工作方式的轉變。成功的 DevOps 實踐需要團隊成員共同參與,持續改進流程,並建立對自動化系統的信任。隨著團隊對這些工具與實務的掌握程度提升,可以逐步引入更進階的功能如自動化安全掃描、效能測試、合規檢查等,最終建構一個高效、安全且可靠的軟體交付系統。
