Jenkins e pipline CI
(Sezione Tecnologia e infrastruttura)
Breve riepilogo
Jenkins rimane il «motore» universale di CHI nelle infrastrutture ibride del iGaming, che unisce assemblaggio di applicazioni, contenitore, test, test di sicurezza e pubblicazione di manufatti. Il successo è una catena di montaggio come codice (Declarative/Multibranch), Shared Libraries, agenti effimeri in Kubernets, sicurezza e segreti rigidi, GitOps Management configure e metriche di prestazioni e costi.
1) Architettura Jenkins sotto iGaming
Controller (LTS) + agenti: minimo plugin sul controller; Il lavoro viene trasferito agli agenti.
Agenti effimeri: avvia K8s/sotto «jnlp» dinamico (avvio rapido, ambienti puliti).
Isolamento lavoro: cartelle/diritti (Folders + Role-Based Strategy), crediti per diritti inferiori.
Osservabilità - Esporta metriche (latency, coda), loghi di fase centralizzati, trace-ID in pipline.
2) Pattern pipline: Declarative e Multiplanch
Quando Declarative è una linea di montaggio standard con fasi omogenee, chiari «post» sono shag.
Quando gli Script sono rari rami «non convenzionali».
Multiplanch: pipline auto per ciascun ramo/PR; criteri «solo rami attivi».
Base Declarative-pipline
groovy pipeline {
agent { label 'k8s' } // или agent { kubernetes {... } }
options {
timestamps()
ansiColor('xterm')
buildDiscarder(logRotator(numToKeepStr: '50'))
timeout(time: 30, unit: 'MINUTES')
disableConcurrentBuilds()
}
environment {
REGISTRY = 'registry. example. com'
IMAGE = "${env. REGISTRY}/payments:${env. GIT_COMMIT}"
}
stages {
stage('Checkout') {
steps { checkout(scm) }
}
stage('Lint & Unit') {
parallel {
stage('Lint') { steps { sh 'make lint' } }
stage('Unit') { steps { sh 'make test' } }
}
}
stage('SCA/SAST') {
steps {
sh'make deps_audit'//SCA (dependencies)
sh'make sast '//static analysis
}
}
stage('Build Image') {
steps { sh 'docker build -t $IMAGE. && docker push $IMAGE' }
}
stage('SBOM & Sign') {
steps {
sh 'syft $IMAGE -o spdx-json > sbom. json'
sh 'cosign sign --key $COSIGN_KEY $IMAGE'
archiveArtifacts artifacts: 'sbom. json', fingerprint: true
}
}
}
post {
success { echo '+ Build OK' }
failure { echo '- Build failed'; sh 'printenv sort sed -n "1,50p"' }
always { cleanWs() }
}
}3) Agenti Kubernets e ambienti contenitori
Esempio di podTemplate (Declarative)
groovy pipeline {
agent {
kubernetes {
yaml """apiVersion: v1 kind: Pod spec:
serviceAccountName: jenkins containers:
- name: build image: docker:27-dind securityContext: { privileged: true }
- name: tools image: alpine:3. 20 command: ['cat']
tty: true
"""
defaultContainer 'tools'
}
}
stages {
stage('Build in DinD') {
steps {
container('build') {
sh '''
dockerd-entrypoint. sh & sleep 5 docker build -t $IMAGE.
docker push $IMAGE
'''
}
}
}
}
}Pratica: cache dei livelli attraverso il generico «emptyDir »/remote cache; limiti CPU/RAM; 'nodeSelector/taints' per la separazione degli assiemi pesanti.
4) Shared Libraries: DRY e standard comuni
In Shared Library vengono visualizzati passi comuni (lenti, SAST, Assemblaggio, Pubblicazione).
groovy
// vars/withQuality. groovy def call(Closure body) {
stage('Quality Gate') {
parallel(
"Lint": { sh 'make lint' },
"Unit": { sh 'make test' },
"SCA": { sh 'make deps_audit' }
)
}
body()
}groovy
@Library('ci-lib@v3') _
pipeline {
agent any stages {
stage('Pipeline') {
steps {
withQuality {
sh 'make build'
}
}
}
}
}Suggerimenti: versionare la libreria ('tags'), coprire con test unit i passi, condurre CHANGELOG.
5) Segreti e credenziali
Credentials Binding: `usernamePassword`, `string`, `file`, `sshUserPrivateKey`.
Secret scopes: minimo diritti; L'uso è solo nelle fasi giuste.
Gestori di segreti: provider di storage esterno (KMS/Secret d'Vault).
groovy withCredentials([string(credentialsId: 'cosign-key', variable: 'COSIGN_KEY')]) {
sh 'cosign sign --key $COSIGN_KEY $IMAGE'
}6) Parallelismo, matrici, cache
Assemblaggio matrix
groovy stage('Test Matrix') {
matrix {
axes {
axis { name 'PY'; values '3. 10', '3. 12' }
axis { name 'DB'; values 'mysql', 'postgres' }
}
stages {
stage('Run') { steps { sh 'pytest -q' } }
}
post { always { junit 'reports/.xml' } }
}
}Cache: Docker layer cache, cache delle dipendenze («not/.m2», «not/.cache/pip») per volume; gli artefatti tra le fasi, attraverso «stash/unstash» o un magazzino artefatto.
7) Controlli di sicurezza e conformità
SCA/SAST/Secret-scan in CI, DAST in un ambiente separato.
SBOM (Syft/CycloneDX), firma di manufatti (cosign), criterio «senza firma - nessun deploy».
Policy-gate - Arresto del pipline per CVE critici; rapporti in PR.
Tracciati PII - Non logica segreti, maschera variabili, singoli agenti per assiemi sensibili.
8) Pubblicazione di manufatti e integrazione con CD
Registry: Docker/OCI con regole retenschn, immutability tag.
Package Repos: Maven/NPM/PyPI proxy+cache.
Trigger CD: invio di eventi a Argo CD/Flagger, oppure creazione di PR nel repository GitOps dei manifesti.
9) Jenkins Configuration as Code (JCasC) и GitOps
Tenete il controller di config come codice: modelli di jobs, credenziali (link), RBAC, agenti.
yaml jenkins:
systemMessage: "Jenkins (iGaming CI)"
numExecutors: 0 authorizationStrategy:
roleBased:
roles:
global:
- name: "readers"
pattern: "."
permissions: ["Overall/Read"]
nodes:
- permanent:
name: "edge-builder"
remoteFS: "/home/jenkins"
labels: "docker"
unclassified:
location:
url: "https://ci. example. com/"
credentials:
system:
domainCredentials:
- credentials:
- string:
id: "cosign-key"
description: "Cosign key ref"
secret: "${COSIGN_KEY_FROM_ENV}"Pratica: config - in Git, RV, promozione dev→stage→prod; i segreti sono tramite variabili/manager esterni.
10) Osservabilità, affidabilità e costo
Metriche: coda, durata delle fasi, percentuale di riavvio, larghezza di banda degli agenti.
Gli errori sono: «retry», «timeout», «stable».
FinOps: disattivazione automatica degli agenti inattivi, limiti degli assiemi paralleli, quote di cartelle/comandi.
11) Pipline per attività diverse
Servizio Backend/Web
Unità SAST/SCA Build SBOM/Sign Publish "(trigger CD).
Data/ETL
Verifica diagrammi (dbt test), generazione di manufatti, analisi statiche SQL, pubblicazione di modelli e documentazione.
ML/LLM
Controllo dati/licenze, allenamento in agenti spot, esportazione di test di (latency/tokens/s), firma e pubblica il modello.
12) Runabuki (tipici incidenti)
La coda cresce: aggiungi agenti, controlla pipline, limiti concurrency.
Fluttuano gli assiemi: calcia le versioni degli strumenti nel contenitore dell'agente. disattivare shared workspace.
Il segreto delle «anatre» nel login è rimuovere i build-logs, sostituire i crediti, eseguire un controllo; Aggiungi maschera.
Decadenza del controller: ripristino da backup JCasC + deposito di job/plugin versioning.
13) Assegno-foglio di implementazione
1. Jenkins LTS con un set minimo di plugin; Tutti gli altri sono agenti.
2. Agenti K8s effimeri, limiti di risorse, layer-cache.
3. Declarative/Multiplanch, convalida PR, 'post {always {cleanWs ()}} ".
4. Shared Libraries con versioning; un unico passo di qualità/sicurezza.
5. Credentials Binding + segreti esterni; Gli scrocchi minimi.
6. SCA/SAST/Secret-scan/DAST, SBOM e firma delle immagini.
7. JCasC e GitOps Management configure; La rivisitazione PR.
8. Metriche/alert/ChatOps; retrai/timeout; manufatti e riviste.
9. Regole di conservazione/retenza, igiene automatica degli spazi di lavoro.
10. Runabook documentati e game-day regolari.
14) Antipattern
Controller come server totale, assemblaggio pesante e plugin su di esso stesso.
Script-jobs senza versioning e codice-review.
Miscelare segreti e fogli; Crediti con ampi diritti.
Gli agenti sono pochi/sono una deriva costante degli ambienti, test flaky.
Nessuna firma SBOM/manufatti e gate CVE.
Controllo di configura manuale, niente JCasC/GitOps.
Riepilogo
Jenkins rimane un nucleo ICI potente e flessibile. Tradotto in codice ( ), standardizzando i passaggi in Shared Libraries, lanciando assemblaggi su agenti K8s effimeri e incorporando sicurezza/firma/SBOM direttamente nella catena di montaggio, otterrete rilasci prevedibili, costi controllati e resistenza ai picchi di carico.