SKILL.md
readonlyread-only
name
deployment-patterns
description
部署工作流程、CI/CD 管線模式、Docker 容器化、健康檢查、回滾策略以及網頁應用程式的生產就緒檢查清單。
部署模式
生產環境部署工作流程與 CI/CD 最佳實務。
何時啟用
- 設定 CI/CD 管線
- 將應用程式 Docker 化
- 規劃部署策略(藍綠部署、金絲雀部署、滾動更新)
- 實作健康檢查與就緒探針
- 準備生產環境發布
- 設定環境特定配置
部署策略
滾動部署(預設)
逐步取代實例 — 在更新過程中,新舊版本同時運行。
實例 1: v1 → v2 (先更新)
實例 2: v1 (仍執行 v1)
實例 3: v1 (仍執行 v1)
實例 1: v2
實例 2: v1 → v2 (第二個更新)
實例 3: v1
實例 1: v2
實例 2: v2
實例 3: v1 → v2 (最後更新)
優點: 零停機時間、逐步推出
缺點: 兩個版本同時運行 — 需要向後相容的變更
使用時機: 標準部署、向後相容的變更
藍綠部署
運行兩個相同的環境。以原子方式切換流量。
藍色 (v1) ← 流量
綠色 (v2) 閒置,執行新版本
# 驗證後:
藍色 (v1) 閒置(成為備用)
綠色 (v2) ← 流量
優點: 即時回滾(切回藍色)、乾淨的切換
缺點: 部署期間需要 2 倍的基礎設施
使用時機: 關鍵服務、零容忍問題
金絲雀部署
先將一小部分流量導向新版本。
v1: 95% 流量
v2: 5% 流量 (金絲雀)
# 如果指標良好:
v1: 50% 流量
v2: 50% 流量
# 最終:
v2: 100% 流量
優點: 在全面推出前以真實流量發現問題
缺點: 需要流量分割基礎設施與監控
使用時機: 高流量服務、高風險變更、功能開關
Docker
多階段 Dockerfile(Node.js)
# 階段 1:安裝依賴
FROM node:22-alpine AS deps
WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci --production=false
# 階段 2:建置
FROM node:22-alpine AS builder
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .
RUN npm run build
RUN npm prune --production
# 階段 3:生產映像
FROM node:22-alpine AS runner
WORKDIR /app
RUN addgroup -g 1001 -S appgroup && adduser -S appuser -u 1001
USER appuser
COPY --from=builder --chown=appuser:appgroup /app/node_modules ./node_modules
COPY --from=builder --chown=appuser:appgroup /app/dist ./dist
COPY --from=builder --chown=appuser:appgroup /app/package.json ./
ENV NODE_ENV=production
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
CMD wget --no-verbose --tries=1 --spider http://localhost:3000/health || exit 1
CMD ["node", "dist/server.js"]
多階段 Dockerfile(Go)
FROM golang:1.22-alpine AS builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o /server ./cmd/server
FROM alpine:3.19 AS runner
RUN apk --no-cache add ca-certificates
RUN adduser -D -u 1001 appuser
USER appuser
COPY --from=builder /server /server
EXPOSE 8080
HEALTHCHECK --interval=30s --timeout=3s CMD wget -qO- http://localhost:8080/health || exit 1
CMD ["/server"]
多階段 Dockerfile(Python/Django)
FROM python:3.12-slim AS builder
WORKDIR /app
RUN pip install --no-cache-dir uv
COPY requirements.txt .
RUN uv pip install --system --no-cache -r requirements.txt
FROM python:3.12-slim AS runner
WORKDIR /app
RUN useradd -r -u 1001 appuser
USER appuser
COPY --from=builder /usr/local/lib/python3.12/site-packages /usr/local/lib/python3.12/site-packages
COPY --from=builder /usr/local/bin /usr/local/bin
COPY . .
ENV PYTHONUNBUFFERED=1
EXPOSE 8000
HEALTHCHECK --interval=30s --timeout=3s CMD python -c "import urllib.request; urllib.request.urlopen('http://localhost:8000/health/')" || exit 1
CMD ["gunicorn", "config.wsgi:application", "--bind", "0.0.0.0:8000", "--workers", "4"]
Docker 最佳實務
# 良好做法
- 使用特定版本標籤(node:22-alpine,而非 node:latest)
- 多階段建置以最小化映像大小
- 以非 root 使用者執行
- 先複製依賴檔案(層級快取)
- 使用 .dockerignore 排除 node_modules、.git、測試檔案
- 加入 HEALTHCHECK 指令
- 在 docker-compose 或 k8s 中設定資源限制
# 不良做法
- 以 root 執行
- 使用 :latest 標籤
- 在單一 COPY 層中複製整個儲存庫
- 在生產映像中安裝開發依賴
- 將機密儲存在映像中(應使用環境變數或機密管理工具)
CI/CD 管線
GitHub Actions(標準管線)
name: CI/CD
on:
push:
branches: [main]
pull_request:
branches: [main]
jobs:
test:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-node@v4
with:
node-version: 22
cache: npm
- run: npm ci
- run: npm run lint
- run: npm run typecheck
- run: npm test -- --coverage
- uses: actions/upload-artifact@v4
if: always()
with:
name: coverage
path: coverage/
build:
needs: test
runs-on: ubuntu-latest
if: github.ref == 'refs/heads/main'
steps:
- uses: actions/checkout@v4
- uses: docker/setup-buildx-action@v3
- uses: docker/login-action@v3
with:
registry: ghcr.io
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- uses: docker/build-push-action@v5
with:
push: true
tags: ghcr.io/${{ github.repository }}:${{ github.sha }}
cache-from: type=gha
cache-to: type=gha,mode=max
deploy:
needs: build
runs-on: ubuntu-latest
if: github.ref == 'refs/heads/main'
environment: production
steps:
- name: Deploy to production
run: |
# 平台特定的部署指令
# Railway: railway up
# Vercel: vercel --prod
# K8s: kubectl set image deployment/app app=ghcr.io/${{ github.repository }}:${{ github.sha }}
echo "Deploying ${{ github.sha }}"
管線階段
PR 開啟:
lint → typecheck → 單元測試 → 整合測試 → 預覽部署
合併至 main:
lint → typecheck → 單元測試 → 整合測試 → 建置映像 → 部署 staging → 煙霧測試 → 部署生產環境
健康檢查
健康檢查端點
// 簡單健康檢查
app.get("/health", (req, res) => {
res.status(200).json({ status: "ok" });
});
// 詳細健康檢查(用於內部監控)
app.get("/health/detailed", async (req, res) => {
const checks = {
database: await checkDatabase(),
redis: await checkRedis(),
externalApi: await checkExternalApi(),
};
const allHealthy = Object.values(checks).every(c => c.status === "ok");
res.status(allHealthy ? 200 : 503).json({
status: allHealthy ? "ok" : "degraded",
timestamp: new Date().toISOString(),
version: process.env.APP_VERSION || "unknown",
uptime: process.uptime(),
checks,
});
});
async function checkDatabase(): Promise<HealthCheck> {
try {
await db.query("SELECT 1");
return { status: "ok", latency_ms: 2 };
} catch (err) {
return { status: "error", message: "資料庫無法連線" };
}
}
Kubernetes 探針
livenessProbe:
httpGet:
path: /health
port: 3000
initialDelaySeconds: 10
periodSeconds: 30
failureThreshold: 3
readinessProbe:
httpGet:
path: /health
port: 3000
initialDelaySeconds: 5
periodSeconds: 10
failureThreshold: 2
startupProbe:
httpGet:
path: /health
port: 3000
initialDelaySeconds: 0
periodSeconds: 5
failureThreshold: 30 # 30 * 5s = 150s 最大啟動時間
環境設定
十二要素應用模式
# 所有設定透過環境變數 — 絕不寫在程式碼中
DATABASE_URL=postgres://user:pass@host:5432/db
REDIS_URL=redis://host:6379/0
API_KEY=${API_KEY} # 由機密管理工具注入
LOG_LEVEL=info
PORT=3000
# 環境特定行為
NODE_ENV=production # 或 staging, development
APP_ENV=production # 明確的應用環境
設定驗證
import { z } from "zod";
const envSchema = z.object({
NODE_ENV: z.enum(["development", "staging", "production"]),
PORT: z.coerce.number().default(3000),
DATABASE_URL: z.string().url(),
REDIS_URL: z.string().url(),
JWT_SECRET: z.string().min(32),
LOG_LEVEL: z.enum(["debug", "info", "warn", "error"]).default("info"),
});
// 啟動時驗證 — 若設定錯誤則快速失敗
export const env = envSchema.parse(process.env);
回滾策略
即時回滾
# Docker/Kubernetes:指向先前的映像
kubectl rollout undo deployment/app
# Vercel:提升先前的部署
vercel rollback
# Railway:重新部署先前的提交
railway up --commit <previous-sha>
# 資料庫:回滾遷移(若可逆)
npx prisma migrate resolve --rolled-back <migration-name>
回滾檢查清單
- [ ] 先前的映像/成品可用且已標記
- [ ] 資料庫遷移向後相容(無破壞性變更)
- [ ] 功能開關可在不部署的情況下停用新功能
- [ ] 已設定錯誤率飆升的監控告警
- [ ] 在生產環境發布前已於 staging 測試回滾
生產就緒檢查清單
在任何生產環境部署之前:
應用程式
- [ ] 所有測試通過(單元、整合、端到端)
- [ ] 程式碼或設定檔中無硬編碼的機密
- [ ] 錯誤處理涵蓋所有邊界情況
- [ ] 日誌為結構化格式(JSON)且不含個人識別資訊
- [ ] 健康檢查端點回傳有意義的狀態
基礎設施
- [ ] Docker 映像可重複建置(固定版本)
- [ ] 環境變數已記錄並在啟動時驗證
- [ ] 已設定資源限制(CPU、記憶體)
- [ ] 已設定水平擴展(最小/最大實例數)
- [ ] 所有端點啟用 SSL/TLS
監控
- [ ] 匯出應用程式指標(請求率、延遲、錯誤)
- [ ] 已設定錯誤率超過閾值的告警
- [ ] 已設定日誌彙總(結構化日誌、可搜尋)
- [ ] 健康端點的運作時間監控
安全性
- [ ] 掃描依賴項的 CVE
- [ ] CORS 僅設定允許的來源
- [ ] 公開端點啟用速率限制
- [ ] 驗證與授權已確認
- [ ] 設定安全標頭(CSP、HSTS、X-Frame-Options)
營運
- [ ] 回滾計畫已記錄並測試
- [ ] 資料庫遷移已針對生產規模資料測試
- [ ] 常見故障情境的 runbook
- [ ] 已定義值班輪值與升級路徑






