文档
框架 Rails

使用 Kamal 部署 Rails 应用

使用 Kamal 部署具有加密 .env.vault 文件的 Rails 应用。

在本指南中,您可以在 GitHub 上找到完整的代码示例

初始设置

安装 Rails.

gem install rails

创建一个新的 Rails 项目。

rails new kamal-example

编辑 config/routes.rb 并将根目录设置为 www#index

config/routes.rb

Rails.application.routes.draw do
  get "up" => "rails/health#show", as: :rails_health_check
  root "www#index"
end

创建 app/controllers/www_controller.rb

app/controllers/www_controller.rb

class WwwController < ApplicationController
  def index
  end
end

创建 app/views/www/index.html.erb

app/views/www/index.html.erb

Hello <%= ENV["HELLO"] %>.

将这些更改安全地提交到代码。接下来,我们将设置 Kamal.

设置 Kamal

安装 Kamal.

gem install kamal

初始化 Kamal。

kamal init

编辑 config/deploy.yml 文件。

config/deploy.yml

# Name of your application. Used to uniquely configure containers.
service: kamal-example

# Name of the container image.
image: yourdockerorg/kamal-example

# Deploy to these servers. Replace with your server(s) ip address(es)
servers:
  - 5.78.32.32 # your_server_ip

# Credentials for your image host.
registry:
  # Specify the registry server, if you're not using Docker Hub
  # server: registry.digitalocean.com / ghcr.io / ...
  username: your_username_on_docker_hub

  # Always use an access token rather than real password when possible.
  password:
    - KAMAL_REGISTRY_PASSWORD

# Inject ENV variables into containers (secrets come from .env).
# Remember to run `kamal env push` after making changes!
# env:
#   clear:
#     DB_HOST: 192.168.0.2
#   secret:
#     - RAILS_MASTER_KEY
env:
  secret:
    - RAILS_MASTER_KEY

# https://dev.to/adrienpoly/deploying-a-rails-app-with-mrsk-on-hetzner-a-beginners-guide-39kp
volumes:
  - "storage:/rails/storage"

确保您可以 ssh 到您的服务器。

ssh root@your_server_ip

然后修改您的 .env 文件,将 KAMAL_REGISTRY_PASSWORD 设置为您的 Docker 仓库密码,并将 RAILS_MASTER_KEY 设置为您的 Docker 仓库密码。您的 RAILS_MASTER_KEY 在 config/master.key 中。

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b

关闭 force_ssl

config/environments/production.rb

Rails.application.configure do
  ...
  # Assume all access to the app is happening through a SSL-terminating reverse proxy.
  # Can be used together with config.force_ssl for Strict-Transport-Security and secure cookies.
  # config.assume_ssl = true

  # Force all access to the app over SSL, use Strict-Transport-Security, and use secure cookies.
  config.force_ssl = false
  ...
end

然后运行 kamal setup

kamal setup

这将在您的服务器上设置所有必需的组件,包括 Docker 和您的 Rails 应用程序。

访问您的服务器 IP 地址。

your_server_ip

您的应用程序将在 your_server_ip 上显示 'Hello .',因为它还没有访问环境变量的方法。我们将在下一步解决这个问题。

安装 dotenv-vault-rails

dotenv-vault-rails 添加到 Gemfile 的顶部。

Gemfile

source "https://rubygems.org.cn"
ruby "3.1.3"
gem "dotenv-vault-rails", require: "dotenv-vault/rails-now"
gem "rails", "~> 7.1.1"
...

bundle install

在您的 .env 文件中添加 HELLO=World

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b
HELLO=World

尝试在本地运行它。

bin/rails server
=> Booting Puma
=> Rails 7.1.1 application starting in development
* Listening on http://127.0.0.1:3000
* Listening on http://[::1]:3000

它应该显示 Hello World

localhost:3000

很好!ENV 现在包含您在 .env 文件中定义的键和值。这涵盖了本地开发。接下来,我们解决生产环境的问题。

构建 .env.vault

推送您最新的 .env 文件更改并编辑您的生产秘密。 了解有关同步的更多信息

npx dotenv-vault@latest push
npx dotenv-vault@latest open production

使用 UI 为每个环境配置这些秘密。

www.dotenv.org

然后构建您的加密 .env.vault 文件。

npx dotenv-vault@latest build

它的内容应该类似于以下内容。

.env.vault

#/-------------------.env.vault---------------------/
#/         cloud-agnostic vaulting standard         /
#/   [how it works](https://dotenv.org/env-vault)   /
#/--------------------------------------------------/

# development
DOTENV_VAULT_DEVELOPMENT="/HqNgQWsf6Oh6XB9pI/CGkdgCe6d4/vWZHgP50RRoDTzkzPQk/xOaQs="
DOTENV_VAULT_DEVELOPMENT_VERSION=2

# production
DOTENV_VAULT_PRODUCTION="x26PuIKQ/xZ5eKrYomKngM+dO/9v1vxhwslE/zjHdg3l+H6q6PheB5GVDVIbZg=="
DOTENV_VAULT_PRODUCTION_VERSION=2

设置 DOTENV_KEY

获取您的生产 DOTENV_KEY

npx dotenv-vault@latest keys production
# outputs: dotenv://:[email protected]/vault/.env.vault?environment=production

DOTENV_KEY 设置为 Kamal 的 .env 文件。

.env

KAMAL_REGISTRY_PASSWORD=your-docker-registry-password
RAILS_MASTER_KEY=11011070047a1cf7bacd3f7fd6bacd9b
HELLO=World
DOTENV_KEY="dotenv://:[email protected]/vault/.env.vault?environment=production"

并将 DOTENV_KEY 设置为 Kamal 的 config/deploy.ymlenv.secret 部分。

config/deploy.yml

...
env:
  secret:
    - RAILS_MASTER_KEY
    - DOTENV_KEY
...

将这些 ENV 更改推送到 Kamal。

kamal env push

部署 Kamal

将这些更改安全地提交到代码并使用 Kamal 部署。

kamal deploy

就是这样!在构建和部署过程中,您的 .env.vault 文件将被解密,其生产秘密将作为环境变量注入 - 恰逢其时。

your_server_ip

您已成功使用新的 .env.vault 标准来加密和部署您的秘密。这比将您的秘密分散到多个第三方平台和工具中安全得多。每当您需要添加或更改秘密时,只需重新构建您的 .env.vault 文件并重新部署。