最终成果

部署了一个免费的 IdentityServer 实例： https://id6-jeff-tian.cloud.okteto.net/

相关代码提交

一共 3 个，以这个为主：

https://github.com/Jeff-Tian/IdentityServer/commit/b40e6c6f8e4193ef459ab558a102f84442b3cede

【资料图】

前情提要

早在《身份验证哪家强？Identity Server 初体验》中，就部署了一个免费的 IdentityServer 实例，托管在 Azure 上： https://id6.azurewebsites.net/。

后来，我宣称 Free Arch 要狡兔三窟，多处部署：《Free Arch: 狡兔三窟，多处部署》。今天，就来给 IdentityServer 这个实例，添加一个分身，从此不局限于 Azure 平台。就详述一下部署将它部署到 Okteto 的步骤。由于采用了 OAM，不需要太多工作，就能参考前文，将它部署到 Napptive 等任何 Kubernetes 集群里。

第一步，容器化

这是一个 ASP.NET Core 项目，从官方的开源仓库 fork 过来后做了一些魔改，源代码在： https://github.com/Jeff-Tian/IdentityServer。其 Dockerfile 如下：

FROM mcr.microsoft.com/dotnet/aspnet:6.0 AS baseWORKDIR /appEXPOSE 5000EXPOSE 5001FROM mcr.microsoft.com/dotnet/sdk:6.0 AS buildWORKDIR /srcCOPY . .RUN dotnet restore "hosts/main/Host.Main.csproj"RUN dotnet build hosts/main/Host.Main.csproj -c Release -o /app/buildFROM build AS publishRUN dotnet publish hosts/main/Host.Main.csproj -c Release -o /app/publishFROM base AS finalWORKDIR /appCOPY --from=publish /app/publish .ENTRYPOINT ["dotnet", "Host.Main.dll"]

第二步，构建镜像并上传至 Docker Registry

为了能够自动在 github actions 的 cicd 过程中自动进行这一步，我们把手动执行的命令放在一个文件里： .github/ci.sh。这一步的提交见：

https://github.com/Jeff-Tian/IdentityServer/commit/3db4235f5e091cda1d2752a8f61df5a9fddbd2b4。

docker build -t jefftian/id6 .docker imagesdocker run --network host -e CI=true -d -p 127.0.0.1:5000:5000 --name id6 jefftian/id6docker ps | grep -q id6docker ps -aqf "name=id6"docker push jefftian/id6docker logs $(docker ps -aqf "name=id6$")curl localhost:5000 || docker logs $(docker ps -aqf "name=id6$")docker kill id6 || echo "id6 killed"docker rm id6 || echo "id6 removed"

第三步，准备数据库

本 IdentityServer 使用了 PostgreSQL 数据库。如何拥有一个免费的 PostgreSQL 数据库服务？如果喜欢自己部署，仍然可以利用 Okteto，参考：《Free Arch: 在 Okteto 上部署 backstage （第一部分： PostgreSQL）》。

当然，也可以使用别人部署好的免费 PostgreSQL 服务，比如 app.nhost.io 提供的服务就不错。

为了验证数据库连接正常，本 IdenityServer 只是连接了数据库，并且执行了一个空的 EF Migration，在本地使用 docker compose 验证了成功执行了 Migration：

这个 docker compose 文件如下：

version: "3"services:postgres:image: "postgres"ports:- "5432:5432"environment:POSTGRES_DB: id6POSTGRES_USER: postgresPOSTGRES_PASSWORD: nopwdvolumes:- pg:/var/lib/postgresql/dataadminer:image: library/adminer:latestrestart: alwaysports:- 7777:8080volumes:pg: ~

由于依赖了数据库，在本地运行本 IdentityServer 实例，需要：

docker compose up -ddotnet run --project hosts/main/Host.Main.csproj

最终部署后，它会在线上的数据库里也创建出一个 __EFMigrationHistory 表，如果是使用了 app.nhost.io 的服务，可以使用其提供的 Hasura 验证：

第四步，加密敏感信息

这就是前面提到的主要的提交。再一次使用了 SOPS，对 SOPS 步骤的详细介绍参考《[Free Arch： 在 Okteto 上部署 backstage（第二部分） - Jeff Tian的文章 - 知乎 ](https://zhuanlan.zhihu.com/p/590640020) 》。要使用它，需要在项目根目录添加一个 .sops.yaml文件：

creation_rules:# If assuming roles for another account use "arn+role_arn".# See Advanced usage- path_regex: k8s\/app\/secrets\.yaml$kms: "arn:aws:kms:us-east-1:443862765029:key/b1739688-ec15-407d-895d-d05ca1217a2f"aws_profile: lambda-doc-rotary

在 k8s/app/secrets.yaml添加数据库连接信息：

apiVersion: v1kind: Secretmetadata:name: id6labels:branch: maintype: OpaquestringData:DatabaseHost: xxxDatabasePort: "5432"DatabaseUser: postgresDatabasePassword: yyyDatabaseName: zzz

第五步，添加 k8s 相关的描述文件

这一步，基本上和《[Free Arch： 在 Okteto 上部署 backstage（第二部分） - Jeff Tian的文章 - 知乎](https://zhuanlan.zhihu.com/p/590640020) 》相同。一个显著不同的是在开启 Ingress 这里，这次没有使用自动 Ingress，而是专门添加了一个 Ingress.yaml 描述文件：

apiVersion: networking.k8s.io/v1kind: Ingressmetadata:name: id6annotations:dev.okteto.com/generate-host: id6spec:rules:- http:paths:- backend:service:name: id6port:number: 80path: /pathType: ImplementationSpecific

这一点在那篇文章有提及，但这次算是真的补上了这个公开示例。

相比上文，其他的改进点在 deployment.yaml 文件中添加了 replicas，并指定了 2，使得同时有 2 个 pod 运行。

其他文件略过，在此不表。最终需要在 .github/workflows 文件夹下添加一个 cicd 的描述文件：

name: cicdon:push:branches: [ "main" ]pull_request:branches: [ "main" ]schedule:- cron: "0 */12 * * *"jobs:deploy-okteto:runs-on: ubuntu-latestneeds: buildsteps:- uses: actions/checkout@v3- run: curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl- run: chmod +x ./kubectl- run: sudo mv ./kubectl /usr/local/bin/kubectl- run: mkdir ${HOME}/.kube&&mkdir ${HOME}/.aws- run: npm i -g k8ss- run: echo -e "machine github.com\n  login ${{secrets.GH_TOKEN}}" > ~/.netrc- run: echo -e "[lambda-doc-rotary]\naws_access_key_id = ${{secrets.AWS_ACCESS_KEY}}\naws_secret_access_key = ${{secrets.AWS_SECRET_KEY}}\n" > ~/.aws/config- run: wget https://github.com/mozilla/sops/releases/download/v3.7.3/sops-v3.7.3.linux.amd64- run: sudo cp sops-v3.7.3.linux.amd64 /usr/local/bin/sops- run: sudo chmod +x /usr/local/bin/sops- run: git clone https://github.com/Jeff-Tian/k8s-config.git ${HOME}/k8s-config- run: k8ss switch --cluster=okteto --namespace=jeff-tian- run: sops -d k8s/app/secrets.yaml --aws-profile lambda-doc-rotary | kubectl apply -f -- run: kubectl apply -k k8s/app&&kubectl rollout restart deploy id6build:runs-on: ubuntu-lateststeps:- uses: actions/checkout@v3- run: echo "${{secrets.DOCKER_PASSWORD}}" | docker login -u "${{secrets.DOCKER_USERNAME}}" --password-stdin- run: sh .github/ci.sh

注意在这个文件里，依赖了多个环境变量，这需要添加在 github 代码仓库的 secrets 里：

第六步，没有第六步了！

提交代码，等待 Actions 跑完：

IdentityServer 的第二个分身上线了！

关键词：