框架 › Rails

使用 Kamal 部署 Rails 應用程式

使用 Kamal 部署具有加密 .env.vault 檔案的 Rails 應用程式。

初始設定

安裝 Rails。

gem install rails

建立新的 Rails 專案。

rails new kamal-example

編輯 config/routes.rb 並將根目錄設定為 www#index。

config/routes.rb

Rails.application.routes.draw do
  get "up" => "rails/health#show", as: :rails_health_check
  root "www#index"
end

建立 app/controllers/www_controller.rb。

app/controllers/www_controller.rb

class WwwController < ApplicationController
  def index
  end
end

建立 app/views/www/index.html.erb。

app/views/www/index.html.erb

Hello <%= ENV["HELLO"] %>.

將這些變更安全地提交至程式碼。接下來，我們將設定 Kamal。

設定 Kamal

安裝 Kamal。

gem install kamal

初始化 Kamal。

kamal init

編輯您的 config/deploy.yml 檔案。

config/deploy.yml

# Name of your application. Used to uniquely configure containers.
service: kamal-example

# Name of the container image.
image: yourdockerorg/kamal-example

# Deploy to these servers. Replace with your server(s) ip address(es)
servers:
  - 5.78.32.32 # your_server_ip

# Credentials for your image host.
registry:
  # Specify the registry server, if you're not using Docker Hub
  # server: registry.digitalocean.com / ghcr.io / ...
  username: your_username_on_docker_hub

  # Always use an access token rather than real password when possible.
  password:
    - KAMAL_REGISTRY_PASSWORD

# Inject ENV variables into containers (secrets come from .env).
# Remember to run `kamal env push` after making changes!
# env:
#   clear:
#     DB_HOST: 192.168.0.2
#   secret:
#     - RAILS_MASTER_KEY
env:
  secret:
    - RAILS_MASTER_KEY

# https://dev.to/adrienpoly/deploying-a-rails-app-with-mrsk-on-hetzner-a-beginners-guide-39kp
volumes:
  - "storage:/rails/storage"

請確保您可以透過 ssh 連線至您的伺服器。

ssh root@your_server_ip

然後修改您的 .env 檔案，將您的 KAMAL_REGISTRY_PASSWORD 設定為 docker 登錄檔的密碼，並設定您的 RAILS_MASTER_KEY。在 config/master.key 找到您的 RAILS_MASTER_KEY。

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b

關閉 force_ssl。

config/environments/production.rb

Rails.application.configure do
  ...
  # Assume all access to the app is happening through a SSL-terminating reverse proxy.
  # Can be used together with config.force_ssl for Strict-Transport-Security and secure cookies.
  # config.assume_ssl = true

  # Force all access to the app over SSL, use Strict-Transport-Security, and use secure cookies.
  config.force_ssl = false
  ...
end

然後執行 kamal setup。

kamal setup

這將使用所需的一切來引導您的伺服器 - docker 和您的 Rails 應用程式。

造訪您伺服器的 IP 位址。

your_server_ip

您的應用程式將在 your_server_ip 上顯示 'Hello .'，因為它還沒有存取環境變數的方式。接下來我們來解決這個問題。

安裝 dotenv-vault-rails

將 dotenv-vault-rails 新增至您的 Gemfile 的頂端。

Gemfile

source "https://rubygems.org"
ruby "3.1.3"
gem "dotenv-vault-rails", require: "dotenv-vault/rails-now"
gem "rails", "~> 7.1.1"
...

bundle install

將 HELLO=World 新增至您的 .env 檔案。

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b
HELLO=World

嘗試在本地執行它。

bin/rails server
=> Booting Puma
=> Rails 7.1.1 application starting in development
* Listening on http://127.0.0.1:3000
* Listening on http://[::1]:3000

它應該顯示 Hello World。

localhost:3000

太棒了！ENV 現在具有您在 .env 檔案中定義的金鑰和值。這涵蓋了本地開發。接下來，讓我們解決生產問題。

建置 .env.vault

推送您最新的 .env 檔案變更並編輯您的生產機密。深入瞭解同步

npx dotenv-vault@latest push
npx dotenv-vault@latest open production

使用 UI 來設定每個環境的機密。

www.dotenv.org

然後建置您加密的 .env.vault 檔案。

npx dotenv-vault@latest build

其內容應該如下所示。

.env.vault

#/-------------------.env.vault---------------------/
#/         cloud-agnostic vaulting standard         /
#/   [how it works](https://dotenv.org/env-vault)   /
#/--------------------------------------------------/

# development
DOTENV_VAULT_DEVELOPMENT="/HqNgQWsf6Oh6XB9pI/CGkdgCe6d4/vWZHgP50RRoDTzkzPQk/xOaQs="
DOTENV_VAULT_DEVELOPMENT_VERSION=2

# production
DOTENV_VAULT_PRODUCTION="x26PuIKQ/xZ5eKrYomKngM+dO/9v1vxhwslE/zjHdg3l+H6q6PheB5GVDVIbZg=="
DOTENV_VAULT_PRODUCTION_VERSION=2

設定 DOTENV_KEY

提取您的生產 DOTENV_KEY。

npx dotenv-vault@latest keys production
# outputs: dotenv://:[email protected]/vault/.env.vault?environment=production

為 Kamal 的 .env 檔案設定 DOTENV_KEY。

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b
HELLO=World
DOTENV_KEY="dotenv://:[email protected]/vault/.env.vault?environment=production"

並將 DOTENV_KEY 設定為 Kamal 的 config/deploy.yml env.secret 區段。

config/deploy.yml

...
env:
  secret:
    - RAILS_MASTER_KEY
    - DOTENV_KEY
...

將這些 ENV 變更推送至 Kamal。

kamal env push

部署 Kamal

將這些變更安全地提交至程式碼並使用 Kamal 部署。

kamal deploy

就是這樣！在建置和部署時，您的 .env.vault 檔案將會被解密，並且其生產機密會剛好及時地以環境變數的形式注入。

your_server_ip

您已成功使用新的 .env.vault 標準來加密和部署您的機密。這比將您的機密分散在多個第三方平台和工具中要安全得多。每當您需要新增或變更機密時，只需重建您的 .env.vault 檔案並重新部署即可。