deployment-patterns

deployment-patterns

熱門

部署工作流程、CI/CD 管線模式、Docker 容器化、健康檢查、回滾策略以及網頁應用程式的生產就緒檢查清單。

23萬星標
3.5萬分支
更新於 2026/7/14
SKILL.md
readonlyread-only
name
deployment-patterns
description

部署工作流程、CI/CD 管線模式、Docker 容器化、健康檢查、回滾策略以及網頁應用程式的生產就緒檢查清單。

部署模式

生產環境部署工作流程與 CI/CD 最佳實務。

何時啟用

  • 設定 CI/CD 管線
  • 將應用程式 Docker 化
  • 規劃部署策略(藍綠部署、金絲雀部署、滾動更新)
  • 實作健康檢查與就緒探針
  • 準備生產環境發布
  • 設定環境特定配置

部署策略

滾動部署(預設)

逐步取代實例 — 在更新過程中,新舊版本同時運行。

實例 1: v1 → v2  (先更新)
實例 2: v1        (仍執行 v1)
實例 3: v1        (仍執行 v1)

實例 1: v2
實例 2: v1 → v2  (第二個更新)
實例 3: v1

實例 1: v2
實例 2: v2
實例 3: v1 → v2  (最後更新)

優點: 零停機時間、逐步推出
缺點: 兩個版本同時運行 — 需要向後相容的變更
使用時機: 標準部署、向後相容的變更

藍綠部署

運行兩個相同的環境。以原子方式切換流量。

藍色 (v1) ← 流量
綠色 (v2)   閒置,執行新版本

# 驗證後:
藍色 (v1)   閒置(成為備用)
綠色 (v2) ← 流量

優點: 即時回滾(切回藍色)、乾淨的切換
缺點: 部署期間需要 2 倍的基礎設施
使用時機: 關鍵服務、零容忍問題

金絲雀部署

先將一小部分流量導向新版本。

v1: 95% 流量
v2:  5% 流量  (金絲雀)

# 如果指標良好:
v1: 50% 流量
v2: 50% 流量

# 最終:
v2: 100% 流量

優點: 在全面推出前以真實流量發現問題
缺點: 需要流量分割基礎設施與監控
使用時機: 高流量服務、高風險變更、功能開關

Docker

多階段 Dockerfile(Node.js)

# 階段 1:安裝依賴
FROM node:22-alpine AS deps
WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci --production=false

# 階段 2:建置
FROM node:22-alpine AS builder
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
RUN npm run build
RUN npm prune --production

# 階段 3:生產映像
FROM node:22-alpine AS runner
WORKDIR /app

RUN addgroup -g 1001 -S appgroup && adduser -S appuser -u 1001
USER appuser

COPY --from=builder --chown=appuser:appgroup /app/node_modules ./node_modules
COPY --from=builder --chown=appuser:appgroup /app/dist ./dist
COPY --from=builder --chown=appuser:appgroup /app/package.json ./

ENV NODE_ENV=production
EXPOSE 3000

HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
  CMD wget --no-verbose --tries=1 --spider http://localhost:3000/health || exit 1

CMD ["node", "dist/server.js"]

多階段 Dockerfile(Go)

FROM golang:1.22-alpine AS builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o /server ./cmd/server

FROM alpine:3.19 AS runner
RUN apk --no-cache add ca-certificates
RUN adduser -D -u 1001 appuser
USER appuser

COPY --from=builder /server /server

EXPOSE 8080
HEALTHCHECK --interval=30s --timeout=3s CMD wget -qO- http://localhost:8080/health || exit 1
CMD ["/server"]

多階段 Dockerfile(Python/Django)

FROM python:3.12-slim AS builder
WORKDIR /app
RUN pip install --no-cache-dir uv
COPY requirements.txt .
RUN uv pip install --system --no-cache -r requirements.txt

FROM python:3.12-slim AS runner
WORKDIR /app

RUN useradd -r -u 1001 appuser
USER appuser

COPY --from=builder /usr/local/lib/python3.12/site-packages /usr/local/lib/python3.12/site-packages
COPY --from=builder /usr/local/bin /usr/local/bin
COPY . .

ENV PYTHONUNBUFFERED=1
EXPOSE 8000

HEALTHCHECK --interval=30s --timeout=3s CMD python -c "import urllib.request; urllib.request.urlopen('http://localhost:8000/health/')" || exit 1
CMD ["gunicorn", "config.wsgi:application", "--bind", "0.0.0.0:8000", "--workers", "4"]

Docker 最佳實務

# 良好做法
- 使用特定版本標籤(node:22-alpine,而非 node:latest)
- 多階段建置以最小化映像大小
- 以非 root 使用者執行
- 先複製依賴檔案(層級快取)
- 使用 .dockerignore 排除 node_modules、.git、測試檔案
- 加入 HEALTHCHECK 指令
- 在 docker-compose 或 k8s 中設定資源限制

# 不良做法
- 以 root 執行
- 使用 :latest 標籤
- 在單一 COPY 層中複製整個儲存庫
- 在生產映像中安裝開發依賴
- 將機密儲存在映像中(應使用環境變數或機密管理工具)

CI/CD 管線

GitHub Actions(標準管線)

name: CI/CD

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: 22
          cache: npm
      - run: npm ci
      - run: npm run lint
      - run: npm run typecheck
      - run: npm test -- --coverage
      - uses: actions/upload-artifact@v4
        if: always()
        with:
          name: coverage
          path: coverage/

  build:
    needs: test
    runs-on: ubuntu-latest
    if: github.ref == 'refs/heads/main'
    steps:
      - uses: actions/checkout@v4
      - uses: docker/setup-buildx-action@v3
      - uses: docker/login-action@v3
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}
      - uses: docker/build-push-action@v5
        with:
          push: true
          tags: ghcr.io/${{ github.repository }}:${{ github.sha }}
          cache-from: type=gha
          cache-to: type=gha,mode=max

  deploy:
    needs: build
    runs-on: ubuntu-latest
    if: github.ref == 'refs/heads/main'
    environment: production
    steps:
      - name: Deploy to production
        run: |
          # 平台特定的部署指令
          # Railway: railway up
          # Vercel: vercel --prod
          # K8s: kubectl set image deployment/app app=ghcr.io/${{ github.repository }}:${{ github.sha }}
          echo "Deploying ${{ github.sha }}"

管線階段

PR 開啟:
  lint → typecheck → 單元測試 → 整合測試 → 預覽部署

合併至 main:
  lint → typecheck → 單元測試 → 整合測試 → 建置映像 → 部署 staging → 煙霧測試 → 部署生產環境

健康檢查

健康檢查端點

// 簡單健康檢查
app.get("/health", (req, res) => {
  res.status(200).json({ status: "ok" });
});

// 詳細健康檢查(用於內部監控)
app.get("/health/detailed", async (req, res) => {
  const checks = {
    database: await checkDatabase(),
    redis: await checkRedis(),
    externalApi: await checkExternalApi(),
  };

  const allHealthy = Object.values(checks).every(c => c.status === "ok");

  res.status(allHealthy ? 200 : 503).json({
    status: allHealthy ? "ok" : "degraded",
    timestamp: new Date().toISOString(),
    version: process.env.APP_VERSION || "unknown",
    uptime: process.uptime(),
    checks,
  });
});

async function checkDatabase(): Promise<HealthCheck> {
  try {
    await db.query("SELECT 1");
    return { status: "ok", latency_ms: 2 };
  } catch (err) {
    return { status: "error", message: "資料庫無法連線" };
  }
}

Kubernetes 探針

livenessProbe:
  httpGet:
    path: /health
    port: 3000
  initialDelaySeconds: 10
  periodSeconds: 30
  failureThreshold: 3

readinessProbe:
  httpGet:
    path: /health
    port: 3000
  initialDelaySeconds: 5
  periodSeconds: 10
  failureThreshold: 2

startupProbe:
  httpGet:
    path: /health
    port: 3000
  initialDelaySeconds: 0
  periodSeconds: 5
  failureThreshold: 30    # 30 * 5s = 150s 最大啟動時間

環境設定

十二要素應用模式

# 所有設定透過環境變數 — 絕不寫在程式碼中
DATABASE_URL=postgres://user:pass@host:5432/db
REDIS_URL=redis://host:6379/0
API_KEY=${API_KEY}           # 由機密管理工具注入
LOG_LEVEL=info
PORT=3000

# 環境特定行為
NODE_ENV=production          # 或 staging, development
APP_ENV=production           # 明確的應用環境

設定驗證

import { z } from "zod";

const envSchema = z.object({
  NODE_ENV: z.enum(["development", "staging", "production"]),
  PORT: z.coerce.number().default(3000),
  DATABASE_URL: z.string().url(),
  REDIS_URL: z.string().url(),
  JWT_SECRET: z.string().min(32),
  LOG_LEVEL: z.enum(["debug", "info", "warn", "error"]).default("info"),
});

// 啟動時驗證 — 若設定錯誤則快速失敗
export const env = envSchema.parse(process.env);

回滾策略

即時回滾

# Docker/Kubernetes:指向先前的映像
kubectl rollout undo deployment/app

# Vercel:提升先前的部署
vercel rollback

# Railway:重新部署先前的提交
railway up --commit <previous-sha>

# 資料庫:回滾遷移(若可逆)
npx prisma migrate resolve --rolled-back <migration-name>

回滾檢查清單

  • [ ] 先前的映像/成品可用且已標記
  • [ ] 資料庫遷移向後相容(無破壞性變更)
  • [ ] 功能開關可在不部署的情況下停用新功能
  • [ ] 已設定錯誤率飆升的監控告警
  • [ ] 在生產環境發布前已於 staging 測試回滾

生產就緒檢查清單

在任何生產環境部署之前:

應用程式

  • [ ] 所有測試通過(單元、整合、端到端)
  • [ ] 程式碼或設定檔中無硬編碼的機密
  • [ ] 錯誤處理涵蓋所有邊界情況
  • [ ] 日誌為結構化格式(JSON)且不含個人識別資訊
  • [ ] 健康檢查端點回傳有意義的狀態

基礎設施

  • [ ] Docker 映像可重複建置(固定版本)
  • [ ] 環境變數已記錄並在啟動時驗證
  • [ ] 已設定資源限制(CPU、記憶體)
  • [ ] 已設定水平擴展(最小/最大實例數)
  • [ ] 所有端點啟用 SSL/TLS

監控

  • [ ] 匯出應用程式指標(請求率、延遲、錯誤)
  • [ ] 已設定錯誤率超過閾值的告警
  • [ ] 已設定日誌彙總(結構化日誌、可搜尋)
  • [ ] 健康端點的運作時間監控

安全性

  • [ ] 掃描依賴項的 CVE
  • [ ] CORS 僅設定允許的來源
  • [ ] 公開端點啟用速率限制
  • [ ] 驗證與授權已確認
  • [ ] 設定安全標頭(CSP、HSTS、X-Frame-Options)

營運

  • [ ] 回滾計畫已記錄並測試
  • [ ] 資料庫遷移已針對生產規模資料測試
  • [ ] 常見故障情境的 runbook
  • [ ] 已定義值班輪值與升級路徑