初創公司應該如何做好持續集成和部署？(4)

針對服務權限層面

以web服務為例:Nginx和php-fpm運行用戶和用戶組為www-data,代碼目錄用戶為www,這樣代碼目錄默認情況下web服務只讀,避免出現文件和目錄777權限的情況；日志和緩存目錄用戶設置www-data，但要禁止訪問php等動態文件禁止危險函數phpinfo exec eval system等,具體可參考http://www.sinacloud.com/doc/sae/php/runtime.html,禁止夸目錄訪問open_basedir，是否開啟的性能對比請參考http://www.simlinux.com/archives/1531.html

配置變更規范

系統部署

傳統IDC機房可以通過定制鏡像或者使用cobbler定制安裝，運行的服務也可以定制在鏡像中,但建議安裝系統時注冊puppet/salt agent，再自動化署相關服務公有云中可以在服務器上部署相應環境后創建系統快照制作系統鏡像,彈性擴容時可選擇該鏡像自動化安裝

日常變更

日常變更包括服務配置的變更和代碼配置的變更,這些操作我們是通過Ansible(對比puppet/salt的好處就是簡單方便不用裝agent，后面會詳細介紹如何基于Ansible做發布回滾)，變更內容使用git進行版本控制制

發布策略規范

原文轉自：http://www.simlinux.com/archives/1638.html

• 共7頁:
• 上一頁
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 下一頁