Debian 上部署 Jenkins 的关键注意事项
一 环境与资源规划
- Java 版本:选择与 Jenkins LTS 匹配的 Java 11(或 Java 8),避免 Java 9/10/12 等不受支持的版本;安装后用 java -version 校验。生产环境建议 OpenJDK 11 JDK。
- 资源基线:测试环境建议至少 4GB 内存、10GB 磁盘;生产环境建议 8GB+ 内存、SSD 存储,并按需做 Master/Agent 分离 与横向扩容。
- 端口规划:默认 8080(Web 访问),50000(Agent 通信);确保云安全组/本机防火墙放行,避免端口冲突。
二 安装与仓库可信度
- 导入可信密钥与源(推荐新版签名方式):
- 导入密钥:curl -fsSL https://pkg.jenkins.io/debian-stable/jenkins.io.key | sudo tee /usr/share/keyrings/jenkins-keyring.asc > /dev/null
- 写入源:echo “deb [signed-by=/usr/share/keyrings/jenkins-keyring.asc] https://pkg.jenkins.io/debian-stable binary/” | sudo tee /etc/apt/sources.list.d/jenkins.list > /dev/null
- 安装与启动:sudo apt update && sudo apt install -y jenkins;sudo systemctl enable --now jenkins;sudo systemctl status jenkins(确认状态为 Active)。
三 首次启动与安全加固
- 解锁与初始化:访问 http://<服务器IP>:8080,使用初始密码 cat /var/lib/jenkins/secrets/initialAdminPassword 解锁;建议安装 推荐插件 并创建 管理员账户。
- 安全配置要点:
- 启用安全:禁用匿名访问,采用内置数据库或 LDAP/GitHub 等集中认证;设置强密码策略。
- 传输加密:为 8080 配置 反向代理 + HTTPS/TLS(Nginx/Apache),避免明文访问。
- 防火墙:sudo ufw allow 8080/tcp;如需 JNLP Agent 连接,放行 50000/tcp。
- 系统加固:限制 root 直接登录,使用 sudo;SSH 改用密钥登录并禁用密码;按需部署 Fail2ban/Logwatch。
四 插件、更新与备份
- 插件管理:优先安装 Pipeline、GitHub Integration、Docker、Kubernetes CLI、Credentials Binding;为加速插件下载,可在 Manage Jenkins → Plugin Manager → Advanced 将 Update Site 替换为 https://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json;保持插件与 Jenkins 版本同步更新。
- 备份与恢复:定期备份 $JENKINS_HOME(如 /var/lib/jenkins),可使用 ThinBackup 等插件;变更前先快照/备份,确保可回滚。
五 运行维护与性能优化
- JVM 与并发:根据节点内存合理设置 JVM 堆大小(如 -Xms/-Xmx),并限制 并发构建数,避免 OOM 与资源争用。
- 存储与 I/O:优先 SSD,并定期清理工作空间与构建产物;对 /var/log/jenkins 配置 logrotate 做日志轮转与压缩。
- 监控与告警:收集 Jenkins 日志 与系统指标,结合 ELK/Splunk 或邮件告警做持续观测。
- 高可用:重要业务建议 Master/Agent 分离 或引入 Kubernetes 动态代理,提升弹性与容错。
