海外云服务器容器化Jenkins持续集成部署手册

某跨境电商企业曾因Jenkins持续集成环境未限制公网访问，遭恶意IP暴力破解管理员密码，导致测试代码泄露，影响新功能上线进度。这一真实案例凸显：在全球化业务场景中，基于海外云服务器的容器化Jenkins部署，不仅要关注功能实现，更需重视环境配置的安全性与规范性。以下为具体操作指南。

前期准备：硬件与工具配置

首先需要准备一台海外云服务器，建议选择2核4G以上配置（CPU主频≥2.5GHz，存储≥40GB），确保能支撑Jenkins主进程及容器化任务的资源需求。服务器需预先安装Docker（容器化平台，用于打包、分发应用）和Docker Compose（多容器管理工具）。以Ubuntu系统为例，可通过`apt install docker.io docker-compose`命令完成安装，安装后需执行`sudo systemctl enable --now docker`启动服务。

构建自定义Jenkins镜像：Dockerfile编写

在服务器创建`jenkins_ci`目录，进入后新建Dockerfile文件，内容如下：

FROM jenkins/jenkins:lts  # 基于官方LTS版本镜像
USER root
RUN apt-get update && apt-get install -y apt-transport-https \
       ca-certificates curl gnupg2 software-properties-common  # 安装依赖工具
RUN curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -  # 添加Docker官方GPG密钥
RUN add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"  # 添加Docker源
RUN apt-get update && apt-get install -y docker-ce-cli  # 安装Docker客户端
USER jenkins  # 切回Jenkins用户

此文件的作用是在官方镜像基础上，额外安装Docker客户端，使Jenkins容器能直接操作宿主机Docker服务，实现容器内创建子容器的需求。

定义服务：docker-compose.yml配置

同一目录下创建docker-compose.yml文件，内容如下：

version: '3'
services:
  jenkins:
    build: .  # 使用当前目录的Dockerfile构建镜像
    ports:
      - "8080:8080"  # 映射Web管理端口
      - "50000:50000"  # 映射代理通信端口
    volumes:
      - jenkins_home:/var/jenkins_home  # 持久化存储Jenkins工作目录
      - /var/run/docker.sock:/var/run/docker.sock  # 挂载Docker套接字，实现容器间通信
volumes:
  jenkins_home:  # 定义命名卷，避免数据随容器删除丢失

该配置文件通过命名卷`jenkins_home`持久化存储配置数据，同时通过挂载Docker套接字，让Jenkins容器能调用宿主机Docker服务，是实现容器化CI/CD的关键设置。

启动与初始化：从命令到界面配置

在`jenkins_ci`目录执行`docker-compose up -d`启动服务。命令执行后，通过`docker ps`查看容器状态，当`jenkins_jenkins_1`容器显示`Up`状态时，说明启动成功。

打开浏览器访问`http://服务器公网IP:8080`，首次登录需获取初始密码。在终端执行`docker logs jenkins_jenkins_1 | grep "Please use the following password"`，输出结果中的字符串即为初始密码。输入密码后，按提示安装推荐插件（如Git、Pipeline等），创建管理员账号，完成初始化。

安全加固：防范潜在风险

容器化Jenkins虽提升了部署效率，但也面临三方面风险：公网暴露的8080端口可能被暴力破解、过时插件存在已知漏洞、Docker套接字挂载可能引发权限逃逸。针对性防护措施包括：
- 网络层面：通过云服务器安全组限制仅研发办公IP访问8080端口；
- 账号层面：设置至少12位包含字母、数字、符号的强密码，启用双因素认证（2FA）；
- 运维层面：每周检查Jenkins官方安全公告，及时更新核心组件及插件；
- 权限层面：定期审计`docker.sock`挂载权限，避免非必要容器获取过高权限。

通过以上步骤，基于海外云服务器的容器化Jenkins持续集成环境即可投入使用。其优势在于：借助海外节点的网络覆盖能力，可高效拉取全球代码仓库；容器化部署则降低了环境一致性维护成本，配合合理的安全策略，能为跨区域研发团队提供稳定可靠的持续集成支持。