用于iGaming项目的GitLab CI/CD

（部分： 技术和基础设施）

简短摘要

GitLab CI/CD是iGaming应用程序，分析和ML服务的"输送机"。它结合了以下内容：存储库，作为代码的pipline，环境和安全管理，自己的容器/数据包注册表，与Kubernetes和Terraform的集成以及漏洞和许可证扫描。成功的关键是相同的吹笛模式、带有自动滑板的短暂跑步者、严格的权利和秘密模式、GitOps流程和成本控制。

1）架构和角色

GitLab（SaaS或Self-Managed）：组/项目，受保护的分支机构/标题，Merge请求应用程序。
Runners: Docker/Kubernetes/Virtual Machine executors.K8s中的短暂波达可最大程度地减少介质的漂移。
寄存器：Container/Package/Dependency Proxy-缓存基本映像和依赖项。
Observability： job logs, job artifacts, pipeline insights,将指标导出到监控。

角色：开发人员（MR），主流人员（approve/release），SecOps（扫描策略），Platform/DevOps（跑步者，模板，GitOps）。

2）基础知识'.gitlab-ci。yml'： 阶段、规则、依赖性

yaml stages: [lint, test, build, security, package, deploy]

variables:
DOCKER_DRIVER: overlay2
IMAGE: "$CI_REGISTRY_IMAGE/app:$CI_COMMIT_SHA"

workflow:
rules:
- if: $CI_PIPELINE_SOURCE == "merge_request_event"
- if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH

.default:
image: alpine:3. 20 before_script: [ 'apk add --no-cache bash curl jq' ]

lint:
stage: lint script: [ "make lint" ]
rules: [ { if: '$CI_PIPELINE_SOURCE == "merge_request_event"' } ]

unit:
stage: test script: [ "make test" ]
artifacts:
when: always reports: { junit: "reports/junit. xml" }
needs: [ "lint" ]

build_image:
stage: build image: docker:27 services: [ 'docker:27-dind' ]
variables: { DOCKER_TLS_CERTDIR: "" }
script:
- docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
- docker build -t $IMAGE.
- docker push $IMAGE cache:
key: "docker-${CI_COMMIT_REF_SLUG}"
paths: [ "/var/lib/docker" ]
policy: pull-push needs: [ "unit" ]

• 分支/MR/标签的"规则"；DAG并发的"needs"；JUnit/coverage的"artifacts： reports"；"工作流"-不运行多余的管道。

3）跑步者和自动滑板

Kubernetes executor（推荐）

短暂的配额，CPU/RAM配额，nodeSelector/taints，保密。

缓存/工件： 对象存储；dependency proxy для NPM/Maven/PyPI/Docker.

Docker executor

一个简单的开始；使用DinD或Kaniko/BuildKit进行无权限构建。

• 按负载类型（Build/Test/Security/ML）分开的Runner池；对组/项目的约束限制；排行榜（"k8s"，"gpu"，"security"）。

4）缓存，工件和矩阵

yaml cache:
key: "pip-${CI_COMMIT_REF_SLUG}"
paths: [ "venv/", ".cache/pip/" ]
policy: pull-push

test:py:
stage: test parallel:
matrix:
- PY: ["3. 10", "3. 12"]
image: python:${PY}
script:
- python -m venv venv &&. venv/bin/activate
- pip install -r requirements. txt
- pytest -q

使用全局dependency proxy来节省流量和时间,通过矩阵进行分解测试,artifacts:expire_in用于卫生。

5）安全性和合规性（Shift-Left）

yaml sast:
stage: security image: registry. gitlab. com/security-products/sast:latest script: [ "analyzer run" ]
artifacts: { reports: { sast: "gl-sast-report. json" } }
rules: [ { if: '$CI_PIPELINE_SOURCE == "merge_request_event"' } ]

secret_detection:
stage: security image: registry. gitlab. com/security-products/secret-detection:latest script: [ "analyzer run" ]
artifacts: { reports: { secret_detection: "gl-secret-report. json" } }

sbom:
stage: security image: alpine:3. 20 script:
- apk add syft cosign
- syft $IMAGE -o cyclonedx-json > sbom. json
- cosign sign --key $COSIGN_KEY $IMAGE artifacts:
reports: { cyclonedx: "sbom. json" }

另外：用于看台的DAST，Dependency/License Compliance，在关键设置中强制执行MR，掩盖变量。

6）环境，评论Apps和发布

yaml review:
stage: deploy image: bitnami/kubectl environment:
name: review/$CI_COMMIT_REF_SLUG url: https://$CI_COMMIT_REF_SLUG. apps. example. com on_stop: stop_review script:
-./deploy. sh --env=review --image=$IMAGE rules: [ { if: '$CI_PIPELINE_SOURCE == "merge_request_event"' } ]

stop_review:
stage: deploy when: manual environment:
name: review/$CI_COMMIT_REF_SLUG action: stop script: [ "./deploy. sh --env=review --delete" ]

Release/Tag pipline： Helm图表/工件发布,发行说明生成,映像签名。

7) Progressive delivery: canary/blue-green

yaml deploy_canary:
stage: deploy script: [ "./helm_upgrade. sh --set canary. weight=10 --image=$IMAGE" ]
environment: { name: production }
rules: [ { if: '$CI_COMMIT_TAG' } ]

promote_100:
stage: deploy when: manual script: [ "./helm_upgrade. sh --set canary. weight=100" ]
needs: [ "deploy_canary" ]

添加quality gates： SLO latency/error-rate从监控→分辨率/回滚。

8）家长/儿童和多项目管道

父母/儿童：加速大型单体（每个组件都是儿童管道）。

yaml trigger_components:
stage: build trigger:
include: [ "ci/component-a. yml", "ci/component-b. yml" ]
strategy: depend

Multi-Project："发布"项目将CD触发到manifor-repo（GitOps）中。

9) GitOps и Terraform/IaC

GitOps通过MR进入清单存储库

yaml gitops_bump:
stage: deploy image: alpine/git script:
- git clone $MANIFESTS_REPO manifests
- yq -i '.image = env(IMAGE)' manifests/apps/app/values. yaml
- cd manifests && git commit -am "bump $CI_COMMIT_SHA" && git push origin HEAD:$TARGET_BRANCH

Terraform в CI

yaml terraform:
stage: deploy image: hashicorp/terraform:1. 9 script:
- terraform init -backend-config="bucket=$TF_BUCKET"
- terraform plan -out tfplan
- terraform apply -auto-approve tfplan rules: [ { if: '$CI_COMMIT_BRANCH == "infra"'} ]

10）秘密和可用性

CI Variables: masked/protected;按环境/组划分。
受保护的分支机构/标签：在prod中丢弃-仅来自受保护的分支机构,并带有手动确认。
外部秘密：与Secrets Manager/HashiCorp Vault （JWT/OIDC）集成,仅在工作时间内安装到跑步机上。

11）piplines和SLO的可观察性

Pipeline DORA/KPI: lead time, deployment frequency, change fail rate, MTTR.

工具：retrai/taymauts，用于非阻塞任务的"allow_failure"，代码覆盖报告。
导出指标：阶段持续时间，排队，成功率；ChatOps中的异常值。

12） FinOps： 成本和性能

Dependency Proxy+Docker依存关系和层缓存。
Runner池（prod/security/ML）与concurrency限制分离。
自动暂停Review Apps和非活动环境；'artifacts： expire_in'。
大型装配在spot/premptable池上；预先预热基本图像。

13） iGaming桉例模板

Backend/API服务

yaml include: [ "ci/includes/security. yml", "ci/includes/docker. yml" ]
deploy_prod:
stage: deploy environment: { name: production, url: https://api. example. com }
script: [ "./helm_upgrade. sh --env=prod --image=$IMAGE" ]
rules: [ { if: '$CI_COMMIT_TAG' } ]

ETL/DBT模型

yaml dbt_run:
stage: build image: ghcr. io/dbt-labs/dbt-snowflake:latest script: [ "dbt deps", "dbt run --profiles-dir. ", "dbt test" ]
artifacts: { paths: [ "target/" ], expire_in: 3 days }

ML/LLM工件

yaml ml_pack:
stage: package image: nvidia/cuda:12. 1. 0-runtime-ubuntu22. 04 tags: [ "gpu" ]
script:
- python export_onnx. py
- trtexec --onnx=model. onnx --saveEngine=model. plan artifacts: { paths: [ "model. plan", "model. onnx" ] }

14）实施支票

1.为命令（lint/test/build/security/deploy）定义管道模板和共享包络。
2.展开短暂的K8s Runner,启用dependency proxy（用于工件/缓存的对象存储）。
3.输入rules/needs/DAG、矩阵和并行性。
4.根据策略配置SAST/DAST/Secret/SBOM/许可证和 MR应用程序。
5.组织Environments/Review Apps、自动浏览和整洁URL。
6.启用GitOps：一个单独的清单回购,MR图像/图表卷。
7.提供保密管理（masked/Protected, Vault/OIDC）,保护品牌/标签。
8.连接Terraform/IaC和"监视代码"。
9.输入FinOps实践：预约限制、缓存/代理、人工制品的曝光、展台自动挂载。
10.常规游戏日：跑步者下降，高速缓存填充，注册表不可用。

15）反模式

一个没有隔离和配额的"通用"跑步者。
没有"规则"（始终运行），没有"需要"（缓慢）的管道。
无限制的prod ranners中的特权DinD装配。
将秘密存储在存储库/工作日志中。
缺乏安全阶段和MR应用。
无限评论Apps没有"on_stop"和"expire_in"。
在没有受保护标签的prod中手动发布。

结果

GitLab CI/CD为iGaming团队提供了快速且可预测的版本：单个模板，自动滑行跑步者，高质量的安全门，环境和渐进式解锁，GitOps和Terraform集成。添加可观察性和FinOps-您的应用程序、ETL和ML服务将定期发布,安全且成本可控。