跨境开发者使用越南cn2 vps部署CI/CD流水线实战

1. 选择越南 CN2 VPS 与基础配置

步骤：选择带 CN2 路由节点的 VPS（如 Vultr、Bandwagon、国内代理商提供的 Vietnam CN2）。配置建议：Ubuntu 20.04、2 vCPU、4GB 内存、40GB SSD；购买时记下公网IP与控制面板。小分段：开通后在面板设置安装镜像并启用密码或注入公钥。

2. 准备 SSH 与基本安全

步骤：在本地生成密钥 ssh-keygen -t ed25519；将公钥上传到 VPS ~/.ssh/authorized_keys。进行安全加固：禁止密码登录（/etc/ssh/sshd_config：PasswordAuthentication no），修改默认端口，重启 sshd。小分段：验证登录 ssh -p 端口 user@IP。

3. 系统优化与防火墙

步骤：更新系统 apt update && apt upgrade -y；设置时区与时钟。安装 ufw 并允许必要端口（SSH、HTTP、HTTPS、CI 端口）：ufw allow 22/tcp; ufw allow 80; ufw allow 443; ufw enable。小分段：关闭不必要服务，设置 swapfile（如 2G）以避免构建 OOM。

4. 安装 Docker 与 Docker Compose

步骤：按官方步骤安装 Docker：apt install ca-certificates curl gnupg lsb-release -y；添加 Docker GPG 与源并 apt install docker-ce docker-ce-cli containerd.io -y；usermod -aG docker ubuntu。安装 Docker Compose：curl -L "https://github.com/docker/compose/releases/download/..." -o /usr/local/bin/docker-compose && chmod +x。小分段：验证 docker run hello-world。

5. 安装 Git 与代码仓库对接

步骤：apt install git -y；推荐使用 GitLab/GitHub 自建仓库或使用云端仓库。若使用自托管 GitLab，可用 docker-compose 部署 gitlab-ce；若只用远程仓库，确保 VPS 能访问仓库并配置 SSH deploy key。小分段：git clone 仓库 到 /home/ci/projects。

6. 安装并注册 GitLab Runner（示例）

步骤：curl -L https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.deb.sh | bash；apt install gitlab-runner -y；使用 gitlab-runner register，填入 GitLab URL、token、选择 docker executor，指定镜像如 docker:20.10。小分段：配置 /etc/gitlab-runner/config.toml，启用Docker-in-Docker时挂载 /var/run/docker.sock。

7. CI/CD Pipeline 配置示例 (.gitlab-ci.yml)

步骤：在仓库根目录创建 .gitlab-ci.yml 示例： stages: [build,test,deploy] build: image: docker:20.10 services: - docker:dind script: - docker build -t my-app:$CI_COMMIT_SHORT_SHA . - docker push registry.example.com/my-app:$CI_COMMIT_SHORT_SHA deploy: script: - ssh deploy@vps 'docker pull ... && docker-compose up -d' 小分段：若不允许 dind，可使用 Kaniko 或构建在外部 CI。

8. 部署与 webhook 集成

步骤：在仓库设置 CI/CD token 与 webhook 指向 VPS 的接收端（如使用 gitlab-runner 或自建 webhook 服务）。在 VPS 上配置 docker-compose.yml 用于运行应用和反向代理（nginx）。小分段：配置 SSL（使用 certbot）并在 nginx 中反向代理到容器端口。

9. 常见问题与运维建议

步骤：监控：安装 Prometheus/node_exporter 与简单的日志收集（Filebeat）；备份：定期备份 docker 镜像与 volumes。小分段：性能优化：调整 sysctl、禁用 swapiness、合理配置 CI 并发 runner 数。

10. 问：越南 CN2 VPS 对中国大陆访问有什么优势？

答：越南 CN2 路由通常通过中国电信直连，延迟和丢包率相比常规国际线路更低，适合跨境开发者需要与中国大陆服务互通的场景，尤其是 CI 需要访问大陆镜像或部署到中国服务器时更稳定。

11. 问：如何避免 Docker-in-Docker 带来的安全问题？

答：建议使用非特权方式构建镜像：1) 使用 Kaniko 或 buildkit remote，2) 将构建流程放在隔离的构建节点，3) 严格控制 runner 权限，不要在同一 VPS 上暴露 docker.sock 给不可信作业。

12. 问：最低成本的配置能否支持 CI/CD？

答：可以，但建议至少 2 vCPU + 4GB 内存并配置 swap，否则并发构建和镜像构建易OOM。对于长期使用，建议使用带 SSD 的 VPS 并定期清理镜像与缓存以节省空间。