将python编写的网站制作成docker镜像并上传到Github Packages上

文章目录

前言
Docker
- 安装docker
- - 注意事项
- 创建Dockerfile
- - 注意事项
- 构建 Docker 镜像
- 运行 Docker 镜像
发布到Github Packages
- 坑坑到位
- - 申请token的坑
  - docker登录的坑
  - 给镜像添加标签的坑
  - docker推送的坑
在Github Packages上查看
总结

前言

还记得上一篇《借助ChatGPT使用Python搭建一个工具网站》总结中我利用ChatGPT写了一个网站，最终它运行良好，就在昨天我看到了Github Packages，不久前刚刚使用了GitHub Actions，我发现Github在被微软收购后，并没有变的更“闭源”，之前广大网友还在调侃，最大的闭源软件公司收购了最大的开源平台，看来一切还在向好的方向发展，简单介绍下前面提到的这两个都是什么东西。

GitHub Actions 是一个Github原生的持续集成和部署的工作流组件。通俗来说就是Github免费给你提供虚拟主机，由你编写工作流脚本来进行源码的检出，编译，测试，和发布。类似的我们可以想象成Github给每个仓库都免费绑定了一个Jenkins服务，编写pipeline脚本即可进行源码的集成和发布。

GitHub Packages 是一个和每一个代码仓库关联的软件包仓库。通俗来说就是代码仓库中存放的是源码，软件包仓库中存放的是编译输出后的可以被各个语言生态的依赖管理工具直接依赖的lib，类似的我们熟知的有maven中央仓库和nmp仓库。

今天我们只看GitHub Packages这部分，并且将范围缩小到制作一个Docker镜像并上传到GitHub Packages，用来制作的项目就是前文中我们在ChatGPT辅助下编写的网站，本文只写流程，对于其中的概念不会过多解释，大家可以借助网络来解决概念性问题，但是我在完成目标过程中遇到的坑会列举出来，希望能帮助有相同经历的人，同时自己记录一下防止忘记。

Docker

既然要制作docker镜像，那先简单了解下docker是什么

Docker 使用 Google 公司推出的 Go 语言进行开发实现，基于 Linux 内核的 cgroup，namespace，以及 OverlayFS 类的 Union FS 等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。最初实现是基于 LXC，从 0.7 版本以后开始去除 LXC，转而使用自行开发的 libcontainer，从 1.11 版本开始，则进一步演进为使用 runC 和 containerd

Docker 可以通过定制应用镜像来实现持续集成、持续交付、部署。开发人员可以通过 Dockerfile 来进行镜像构建，并结合持续集成(Continuous Integration) 系统进行集成测试，而运维人员则可以直接在生产环境中快速部署该镜像，甚至结合持续部署(Continuous Delivery/Deployment) 系统进行自动部署。而且使用 Dockerfile 使镜像构建透明化，不仅仅开发团队可以理解应用运行环境，也方便运维团队理解应用运行所需条件，帮助更好的生产环境中部署该镜像。

以上我只是摘抄了一部分，想要看更详细的解释请跳转至《Docker 技术入门与实战》，总的来说就是能解决环境一致性问题，并且可以方便部署的，把你的软件及运行环境打个包，在目标机器上直接运行，最大程度的去除环境差异，被打成的这个包就是docker镜像，我们可以把这个镜像丢到“任何”一台机器上去执行，不用再操心安装繁琐的运行环境。

但是无论是制作docker镜像还是运行docker镜像都需要先安装docker环境，相当于它来做软件和机器之间的代理，是不是听起来像虚拟机，他俩常常被拿来比较，而docker更加轻量级，目前应用广泛，我们来列举下安装步骤，事先说明操作系统是Ubuntu20.04，项目是minimalist-tool-web，未特殊说明时则是在项目根目录下执行命令。

安装docker

更新apt包列表
```
sudo apt update
```

安装依赖包，以允许apt通过HTTPS使用存储库

sudo apt install -y apt-transport-https ca-certificates curl gnupg2 software-properties-common

添加Docker的官方GPG密钥

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

添加Docker的APT存储库

sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"

再次更新apt包列表
```
sudo apt update
```
安装Docker
```
sudo apt install -y docker-ce
```
验证Docker是否安装成功：
```
sudo docker --version
```

注意事项

添加GPG密钥的时候有可能报错 curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to download.docker.com:443，相同命令多尝试几次就能看见 OK
我在 sudo apt update 的时候报错 Failed to fetch https://dl.google.com/linux/chrome/deb/dists/stable/InRelease The following signatures couldn't be verified because the public key is not available: NO_PUBKEY E88979FB9B30ACF2，通过执行 wget -q -O - https://dl.google.com/linux/linux_signing_key.pub | sudo apt-key add - 修复好的，不过这可能是个例，你们不一定遇到

创建Dockerfile

在项目根目录下创建一个名为 Dockerfile 的文件，并编写 Docker 镜像的构建指令，以下是一个示例的 Dockerfile 文件，它是在初始命令模板下精简而成，目的是缩小镜像大小，调整命令后镜像从1.1G缩小到65M

# 使用 Alpine Linux 作为基础镜像
FROM python:3.8-alpine

# 设置工作目录
WORKDIR /app

# 将当前目录下的所有文件复制到工作目录
COPY . .

# 安装项目依赖
RUN pip install --no-cache-dir -r requirements.txt

# 清理不必要的缓存
RUN rm -rf /var/cache/apk/*

# 暴露应用端口
EXPOSE 9206

# 运行应用
CMD ["python3", "main.py"]

注意事项

WORKDIR /app 是指镜像中的目录，在当前操作系统中可能并不存在
COPY . . 很奇怪的写法，但是两个.含义是不同的，第一个只当前目录，第二个指镜像中的当前目录，也就是 /app

构建 Docker 镜像

$ sudo docker build -t minimalist-tool-web .

其中 -t minimalist-tool-web 指定了镜像的名称为 minimalist-tool-web，构建完成后，可以查看当前镜像

$ sudo docker images
REPOSITORY            TAG       IMAGE ID       CREATED          SIZE
minimalist-web-tool   latest    f11497961379   5 minutes ago    65.6MB
hello-world           latest    d2c94e258dcb   10 months ago    13.3kB

运行 Docker 镜像

docker run -d -p 9206:9205 minimalist-tool-web

其中 -d参数表示在后台运行容器，-p 9206:9205 将容器内部的 9205 端口映射到宿主机的 9206 端口，这样就可以通过 http://localhost:9206 访问应用程序，至此，我的项目就已经制作成了 Docker 镜像，并且可以在 Docker 容器中运行了。

发布到Github Packages

这部分确实花了我不少时间，我先把正确的流程描述完，然后再说一下我遇到的问题。

到Developer Settings (classic) 申请一个token，记得至少勾选 read:packages 和 write:packages 权限
登录docker，使用上一步申请的token

sudo docker login ghcr.io --username your-github-username --password-stdin your-personal-access-token

给镜像添加标签

sudo docker tag your-image-id ghcr.io/your-github-username/your-image-name:1.0.0

将docker镜像推送到Github Packages上

sudo docker push ghcr.io/your-github-username/your-image-name:1.0.0

坑坑到位

申请token的坑

许多教程上申请token截图还是只有一个页面，但是现在（2024-3-8）的Github上申请的token的页面已经分成了两类，具体导航路径在『Github头像』->『Settings』->『Developer Settings』->『Personal access tokens』，到此处申请token页面分成了两个，分别是 Fine-grained tokens和 Tokens (classic)，最近几次其他的访问权限分配我都是用的前面这种Fine-grained tokens，虽然标记着 Beta，但这是官方推荐的形式。

但这一次我却遇到了 unauthorized: unauthenticated: User cannot be authenticated with the token provided. 这个问题，后来改成Tokens (classic)这种类型的token才解决，可以看到的是第一个Fine-grained tokens中我没有找到read:packages 和 write:packages 权限，不知道是不是和这个有关，我还在尝试。

那么在申请 Tokens (classic) 时要记得勾选read:packages 和 write:packages 权限，最好把 delete:packages 和 repo 也勾选上，如果想通过token更新Github Actions，最好也要勾选上 workflow

Fine-grained tokens：这种token形如 github_pat_xxx，位数较长

Tokens (classic)：这种token形如 ghp_xxx，位数较短

docker登录的坑

很多帖子可能是时间太久远了，里面提到的地址都是 docker.pkg.github.com，我这里倒是都显示登录成功，但是每次推送都会提示 no basic auth credentials，就像下面这样

$ cat ~/TOKEN.txt | docker login https://docker.pkg.github.com -u AlbertGithubHome --password-stdin
WARNING! Your password will be stored unencrypted in /home/shz/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

$ sudo docker push docker.pkg.github.com/albertgithubhome/minimalist-tool-web/tools-web:1.0.0
The push refers to repository [docker.pkg.github.com/albertgithubhome/minimalist-tool-web/tools-web]
c0f047bfac29: Preparing
87174263225b: Preparing
5462d39b06ad: Preparing
2c604764da2f: Preparing
a469c5a79f90: Preparing
7402639a4746: Waiting
42672d5bf49e: Waiting
678cac8b069e: Waiting
d4fc045c9e3a: Waiting
no basic auth credentials

后来在 Stack Overflow 上找到一个问题，里面用的是 ghcr.io 修改之后发现才可以

给镜像添加标签的坑

这个需要注意的点是整个标签的字母必须都是小写的，而我的用户名是大写，所以我按照老版本的教程创建了类似 docker tag f11497961379 docker.pkg.github.com/albertgithubhome/minimalist-tool-web/tools-web:1.0.0 的标签，但是我的用户名是大写的，每次推送失败告诉我未验证时，我无法确定是哪类的问题:

token类型有问题
权限有问题，登录没有用sudo
登录地址有问题，https://docker.pkg.github.com地址打不开
我的用户名有大写字母，与推送的镜像名中的用户名不匹配

反正费了九牛二虎之力吧，把这些原因一一排除掉，总算能推送上去了

还有一点，之前老版本的教程标签格式要求是 docker.pkg.github.com/your-github-username/your-repository/your-image-name:1.0.0，在新版的教程中改为了 ghcr.io/your-github-username/your-image-name:1.0.0，不要求添加库的名称了

docker推送的坑

这一步的坑都是前面几步积累得来的，因为这一步的失败根本不知道前边哪一步出错了，更离谱的是在登录这一步，无论用户名是什么，token是什么都显示登录成功，导致后面查找原因浪费了不少时间

推送时直接填写前面的标签名即可

$ sudo docker push ghcr.io/albertgithubhome/minimalist-tool-web:1.0.0
The push refers to repository [ghcr.io/albertgithubhome/minimalist-tool-web]
c0f047bfac29: Pushed
87174263225b: Pushed
5462d39b06ad: Pushed
2c604764da2f: Pushed
a469c5a79f90: Pushed
7402639a4746: Pushed
42672d5bf49e: Pushed
678cac8b069e: Pushed
d4fc045c9e3a: Pushed
1.0.0: digest: sha256:f749fd2eba021248c97c8a44374772165372354b9d48f4f6b845bbce46d02402 size: 2201

这些参数可以在 ghcr.io 查看，页面上有一个示例

ghcr.io

echo $PAT | docker login ghcr.io --username phanatic --password-stdin
docker tag app ghcr.io/phanatic/app:1.0.0
docker push ghcr.io/phanatic/app:1.0.0

在Github Packages上查看

打开你账号下的Packages页签就能看到了，点击进去可以将这个 package 关联到指定项目，这样在项目的首页右侧的packages区域就能看到这个package，在package的介绍页面会教你怎么使用这个镜像

docker pull ghcr.io/albertgithubhome/minimalist-tool-web:1.0.0

minimalist-tool-web

总结

GitHub Actions 是一个Github原生的持续集成和部署的工作流组件，相当免费绑定了一个Jenkins服务
GitHub Packages 是和每一个代码仓库关联的软件包仓库，类似我们熟知的maven中央仓库和nmp仓库
运行docker命令 docker run -d -p 9206:9205 minimalist-tool-web，其中minimalist-tool-web是镜像名
停止docker命令 sudo docker stop af98cf2f93bf，其中af98cf2f93bf是容器ID
推送docker命令 sudo docker push ghcr.io/albertgithubhome/minimalist-tool-web:1.0.0
拉取docker命令 sudo docker pull ghcr.io/albertgithubhome/minimalist-tool-web:1.0.0
最终Fine-grained tokens应该会替换到Tokens (classic)，但现在感觉还不能完全代替
接下来会尝试用.yml编写一个GitHub Action控制项目更新时自动创建镜像和发布