Laravel CI/CD 流水线:Jenkins + n8n + GitLab CI 指南(2025)
现代 Laravel 开发需要一条健壮的 CI/CD 流水线来自动化部署、数据库迁移与基础设施操作。如果你正受困于手工部署、环境不一致,或担心在生产环境执行 php artisan migrate 的风险,这篇文章将给出一套可落地的端到端方案。
当你的生产环境运行在 Kubernetes 上,同时又希望 GitLab CI、Jenkins 与 n8n 无缝协作时,挑战会显著增加:工具链割裂、流程半自动、以及“别把生产搞挂了”的心理负担。本指南将带你构建一条完整的 Laravel CI/CD 流水线:在合并到 master 后自动触发生产数据库迁移,由 Jenkins 编排 n8n 工作流,在 Kubernetes 中安全执行 kubectl 操作。
架构理解
完整流水线概览
整套 CI/CD 架构由四个组件协同工作:
- GitLab CI:作为触发点,检测合并到
master的变更。若你使用 GitLab 进行版本控制,它在代码集成方面具有天然优势。 - Jenkins:作为编排层,负责整体部署流程与历史记录管理。
- n8n:用于工作流自动化,提供可视化的复杂部署逻辑设计与错误处理能力。
- Kubernetes:承载生产环境的 Laravel 应用,提供可扩展与高可靠性。
流程是:每次合并到 master,GitLab CI 发现变更 → Jenkins 接收触发 → n8n 执行部署工作流 → 在 Kubernetes 中运行 kubectl 命令进行镜像更新、回滚与数据库迁移。
多工具组合的优势
看似复杂,但“各司其职”能带来强健性与灵活性:GitLab CI 负责集成与测试,Jenkins 提供成熟的构建与插件生态,n8n 以可视化方式表达复杂决策与异常路径,Kubernetes 则是生产级容器编排底座。职责清晰、边界明确,使系统具备可维护性与可演进性。
配置 GitLab CI(Laravel 项目)
基础 .gitlab-ci.yml
在项目根目录新增 .gitlab-ci.yml 定义阶段与触发规则:
yaml
stages:
- test
- build
- deploy
variables:
JENKINS_URL: 'https://your-jenkins-instance.com'
JENKINS_JOB: 'laravel-production-deploy'
test:
stage: test
image: php:8.2
before_script:
- apt-get update -qq && apt-get install -y -qq git curl libmcrypt-dev libjpeg-dev libpng-dev libfreetype6-dev libbz2-dev
- curl -sS https://getcomposer.org/installer | php
- php composer.phar install --no-dev --no-scripts
script:
- cp .env.example .env
- php artisan key:generate
- php artisan test
only:
- master
- merge_requests测试阶段是质量门禁。在深入学习 Laravel 测试策略时,可参考这篇指南:Laravel testing with unit, feature, and integration tests。
手动触发生产部署:
yaml
deploy_production:
stage: deploy
script:
- |
curl -X POST \
-H "Authorization: Bearer $JENKINS_API_TOKEN" \
-H "Content-Type: application/json" \
-d "{\"parameter\": [{\"name\": \"GIT_COMMIT\", \"value\": \"$CI_COMMIT_SHA\"}, {\"name\": \"BRANCH\", \"value\": \"$CI_COMMIT_REF_NAME\"}]}" \
"$JENKINS_URL/job/$JENKINS_JOB/buildWithParameters"
only:
- master
when: manual进阶:传递更多部署元数据
为更精细的可观测性与审计,将提交信息、分支、流水线 ID 与环境等元数据传给 Jenkins:
yaml
deploy_production:
stage: deploy
variables:
DEPLOYMENT_METADATA: |
{
"commit_sha": "$CI_COMMIT_SHA",
"commit_message": "$CI_COMMIT_MESSAGE",
"branch": "$CI_COMMIT_REF_NAME",
"pipeline_id": "$CI_PIPELINE_ID",
"environment": "production",
"timestamp": "$(date -u +%Y-%m-%dT%H:%M:%SZ)"
}
script:
- echo "$DEPLOYMENT_METADATA" > deployment_metadata.json
- |
curl -X POST \
-H "Authorization: Bearer $JENKINS_API_TOKEN" \
-H "Content-Type: application/json" \
-F "metadata=@deployment_metadata.json" \
"$JENKINS_URL/job/$JENKINS_JOB/buildWithParameters"配置 Jenkins(Laravel 部署)
Jenkins 任务
新建 Jenkins Pipeline Job 接收来自 GitLab CI 的触发,负责通过 n8n 编排整个部署过程。
建议安装插件:HTTP Request Plugin、Build Authorization Token Root Plugin、Pipeline Plugin。它们使 Jenkins 能接受 GitLab 的远程触发,并向 n8n 发起 HTTP 请求。
Jenkins Pipeline 配置
接受 GitLab 传入的参数并触发 n8n 工作流:
groovy
pipeline {
agent any
parameters {
string(name: 'GIT_COMMIT', defaultValue: '', description: 'Git commit SHA')
string(name: 'BRANCH', defaultValue: 'master', description: 'Git branch')
string(name: 'ENVIRONMENT', defaultValue: 'production', description: 'Deployment environment')
}
environment {
N8N_WEBHOOK_URL = credentials('n8n-webhook-url')
KUBE_CONFIG = credentials('kubernetes-config')
}
stages {
stage('Validate Parameters') {
steps {
script {
if (!params.GIT_COMMIT) {
error('Git commit SHA is required')
}
echo "Deploying commit ${params.GIT_COMMIT} to ${params.ENVIRONMENT}"
}
}
}
stage('Trigger n8n Workflow') {
steps {
script {
def payload = [
git_commit: params.GIT_COMMIT,
branch: params.BRANCH,
environment: params.ENVIRONMENT,
jenkins_job: env.JOB_NAME,
jenkins_build: env.BUILD_NUMBER
]
def response = httpRequest(
url: "${N8N_WEBHOOK_URL}",
httpMode: 'POST',
contentType: 'APPLICATION_JSON',
requestBody: groovy.json.JsonBuilder(payload).toString(),
timeout: 300
)
if (response.status != 200) {
error("n8n workflow failed with status: ${response.status}")
}
echo "n8n workflow triggered successfully"
echo "Response: ${response.content}"
}
}
}
stage('Monitor Deployment') {
steps {
script {
// Add monitoring logic here
echo "Monitoring deployment progress..."
sleep(30)
}
}
}
}
post {
success {
echo "Deployment completed successfully"
}
failure {
echo "Deployment failed"
}
}
}安全与访问控制
- 为 GitLab 集成创建专用服务账号。
- 使用 Jenkins Credentials 管理敏感信息(API Token、KubeConfig、n8n Webhook 等)。
- 不要在流水线中硬编码敏感数据,统一从凭据与变量中注入。
构建 n8n 工作流(Kubernetes 部署)
主部署工作流
在 n8n 中新建工作流:通过 Webhook 接收 Jenkins 触发,编排 Kubernetes 部署,包含异常处理与回滚。
建议节点:Webhook(接收)、Function(数据处理)、HTTP Request(发 kubectl 指令或调用 API 网关)、IF/Condition(校验)、Slack/Email(通知)。
Webhook 节点配置(示例 Function 处理)
js
// 处理 Jenkins 传入的 JSON
const deploymentData = {
gitCommit: $json.git_commit,
branch: $json.branch,
environment: $json.environment,
jenkinsJob: $json.jenkins_job,
jenkinsBuild: $json.jenkins_build,
timestamp: new Date().toISOString()
}
if (!deploymentData.gitCommit) {
throw new Error('Git commit SHA is required')
}
if (deploymentData.environment !== 'production') {
throw new Error('Only production deployments are supported')
}
return {
deployment: deploymentData,
kubeNamespace: 'laravel-prod',
migrationCommand: 'php artisan migrate --force'
}Kubernetes 集成功能节点
js
// 组装需要执行的 kubectl 命令
const kubeCommands = [
`kubectl set image deployment/laravel-app laravel-app=your-registry/laravel:${$json.deployment.gitCommit} -n ${$json.kubeNamespace}`,
`kubectl rollout status deployment/laravel-app -n ${$json.kubeNamespace} --timeout=300s`,
`kubectl exec -n ${$json.kubeNamespace} deployment/laravel-app -- ${$json.migrationCommand}`,
`kubectl get pods -n ${$json.kubeNamespace} -l app=laravel-app --field-selector=status.phase=Running`
]
return {
commands: kubeCommands,
namespace: $json.kubeNamespace,
deployment: $json.deployment
}错误处理与回滚策略
js
// 统一错误处理:失败即触发回滚
if ($json.error) {
const rollbackCommands = [`kubectl rollout undo deployment/laravel-app -n ${$json.namespace}`, `kubectl rollout status deployment/laravel-app -n ${$json.namespace} --timeout=300s`]
return {
action: 'rollback',
commands: rollbackCommands,
originalError: $json.error,
deployment: $json.deployment
}
}
return {
action: 'success',
deployment: $json.deployment
}Kubernetes 配置(Laravel)
Deployment 清单(滚动更新与健康检查)
yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: laravel-app
namespace: laravel-prod
labels:
app: laravel-app
spec:
replicas: 3
strategy:
type: RollingUpdate
rollingUpdate:
maxUnavailable: 1
maxSurge: 1
selector:
matchLabels:
app: laravel-app
template:
metadata:
labels:
app: laravel-app
spec:
containers:
- name: laravel-app
image: your-registry/laravel:latest
ports:
- containerPort: 80
env:
- name: APP_ENV
value: 'production'
- name: DB_HOST
valueFrom:
secretKeyRef:
name: laravel-secrets
key: db-host
- name: DB_PASSWORD
valueFrom:
secretKeyRef:
name: laravel-secrets
key: db-password
livenessProbe:
httpGet:
path: /health
port: 80
initialDelaySeconds: 30
periodSeconds: 10
readinessProbe:
httpGet:
path: /ready
port: 80
initialDelaySeconds: 5
periodSeconds: 5
resources:
requests:
memory: '256Mi'
cpu: '250m'
limits:
memory: '512Mi'
cpu: '500m'数据库迁移 Job 模板(安全执行)
yaml
apiVersion: batch/v1
kind: Job
metadata:
name: laravel-migration-${BUILD_NUMBER}
namespace: laravel-prod
spec:
template:
spec:
restartPolicy: Never
containers:
- name: migration
image: your-registry/laravel:${GIT_COMMIT}
command: ['php', 'artisan', 'migrate', '--force']
env:
- name: APP_ENV
value: 'production'
- name: DB_HOST
valueFrom:
secretKeyRef:
name: laravel-secrets
key: db-host
- name: DB_PASSWORD
valueFrom:
secretKeyRef:
name: laravel-secrets
key: db-password
backoffLimit: 3RBAC 配置(最小权限)
yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: laravel-deployer
namespace: laravel-prod
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: laravel-prod
name: laravel-deployment-manager
rules:
- apiGroups: ['apps']
resources: ['deployments']
verbs: ['get', 'list', 'watch', 'update', 'patch']
- apiGroups: ['batch']
resources: ['jobs']
verbs: ['create', 'get', 'list', 'watch', 'delete']
- apiGroups: ['']
resources: ['pods']
verbs: ['get', 'list', 'watch']
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: laravel-deployment-binding
namespace: laravel-prod
subjects:
- kind: ServiceAccount
name: laravel-deployer
namespace: laravel-prod
roleRef:
kind: Role
name: laravel-deployment-manager
apiGroup: rbac.authorization.k8s.io进阶流水线特性
蓝绿部署(零停机)
js
// n8n function:蓝绿切换
const currentEnvironment = $json.currentActive // 'blue' 或 'green'
const targetEnvironment = currentEnvironment === 'blue' ? 'green' : 'blue'
const deploymentCommands = [
`kubectl set image deployment/laravel-app-${targetEnvironment} laravel-app=your-registry/laravel:${$json.gitCommit} -n laravel-prod`,
`kubectl rollout status deployment/laravel-app-${targetEnvironment} -n laravel-prod --timeout=300s`,
`kubectl exec -n laravel-prod deployment/laravel-app-${targetEnvironment} -- php artisan migrate --force`,
`kubectl patch service laravel-service -n laravel-prod -p '{"spec":{"selector":{"version":"${targetEnvironment}"}}}'`
]
return {
commands: deploymentCommands,
targetEnvironment: targetEnvironment,
previousEnvironment: currentEnvironment
}迁移安全检查(避免数据风险)
js
// 迁移前置检查与备份
const safetyChecks = [
`kubectl exec -n laravel-prod deployment/laravel-app -- php artisan migrate:status`,
`kubectl exec -n laravel-prod deployment/laravel-app -- php artisan backup:run --only-db`,
`kubectl exec -n laravel-prod deployment/laravel-app -- ls -la storage/app/backups/`
]
return {
checks: safetyChecks,
backupRequired: true,
migrationCommand: $json.migrationCommand
}监控与告警集成
js
// 部署后健康检查
const monitoringChecks = [
{ type: 'http', url: 'https://your-app.com/health', expectedStatus: 200 },
{ type: 'kubectl', command: 'kubectl exec -n laravel-prod deployment/laravel-app -- php artisan tinker --execute="DB::connection()->getPdo();"' },
{ type: 'prometheus', query: 'up{job="laravel-app"}' }
]
return {
checks: monitoringChecks,
alertChannels: ['slack', 'email'],
deployment: $json.deployment
}常见问题排障(FAQ 式)
GitLab CI 触发 Jenkins 失败
- 核对 Jenkins 对外可达性与防火墙策略。
- 校验 API Token 与远程触发配置。
Jenkins 中 n8n Webhook 超时
- 提高 HTTP 请求超时,加入指数退避重试。
- 优化 n8n 工作流的慢节点。
Kubernetes 认证失败
- 确认 KubeConfig 已正确存入凭据并在 Agent 可达集群。
- 校验用于自动化的 ServiceAccount 与 RBAC。
n8n 执行 kubectl 失败
- 确认 n8n 运行环境已安装并配置
kubectl。 - 核对网络连通性与集群访问权限。
生产迁移失败
- 自 Job 验证数据库连通、权限与锁。
- 设计回滚流程并在预发环境演练。
滚动更新失败
- 回看资源配额、就绪/存活探针。
- 确认应用支持优雅终止。
性能优化建议
流水线时长
- 并行化独立检查(测试、安全扫描、质量门禁)。
- 复用缓存:依赖与构建产物。
- Jenkins Agent 资源要足够,Kubernetes 操作尽量在专用 Agent 上执行。
Kubernetes 资源管理
- 依据真实负载设定 requests/limits,配置 HPA 弹性扩缩。
- 在命名空间设配额,必要时使用节点亲和性。
数据库迁移优化
- 批处理与高效 SQL;在贴近生产数据量的环境演练。
- 使用迁移锁避免并发迁移;设置合理超时与告警。
安全最佳实践
机密管理
- 统一使用 GitLab CI Variables、Jenkins Credentials、Kubernetes Secrets。
- 落实密钥轮换与最小权限;审计访问与使用记录。
网络安全
- 全链路 TLS;Kubernetes NetworkPolicy 收敛东西向流量。
- 私有镜像仓库与镜像扫描;精简防火墙放行范围。
访问控制与审计
- 全流程日志与审计:谁在何时对什么环境做了什么动作。
- 关键生产变更必须走审批或双人复核。
FAQ 精选
出现问题如何快速回滚数据库迁移?
- 迁移前自动化备份(如 Laravel Backup 或数据库原生工具)。
- 设计“先回滚应用版本,再恢复数据库”的手册化/自动化预案,并在预发多次验证。
如何支持多环境(dev/staging/prod)?
- 参数化配置:GitLab CI 使用环境变量,Jenkins 使用参数,Kubernetes 使用不同命名空间。
- 可为各环境独立工作流,或在单一工作流中以条件区分。
- 按环境差异设置触发策略:开发自动、预发需审批、生产手动或受控自动。
如果 n8n 在部署时不可用怎么办?
- 以多副本+负载均衡提升可用性;部署前健康探测。
- Jenkins 侧增加可回退到“直接执行”的兜底路径,并完善人工应急手册。
如何监控整条 CI/CD 链路?
- 用 Prometheus/Grafana 观测指标,ELK/Fluentd 聚合日志。
- 构建可视化看板:成功率、失败率、执行时长、频率、变更失败率等。
资源需求大致如何?
- Jenkins ≥ 2C/4G,n8n ≥ 1C/2G,Laravel 应用按负载定额并配置 HPA。
- 预留并发部署高峰期的资源冗余与持久化存储容量(构建缓存、日志、备份)。
如何保护敏感数据(数据库凭据等)?
- 从不将密钥写入代码或日志;统一用平台原生机密存储或集中式 Vault。
- 加密传输与静态加密,定期审计与轮换。
结语
通过 Jenkins + n8n + GitLab CI 打造的 Laravel CI/CD,可以在生产安全地自动执行数据库迁移,保证发布一致与可追溯,让团队从“运维焦虑”回到“专注交付价值”。
这套架构的关键收益包括:
- 自动触发消除手工干预;
- n8n 将复杂部署流程可视化并具备完备异常处理;
- Jenkins 提供企业级编排与可扩展性;
- Kubernetes 提供容器原生的高可靠部署;
- 完整的回滚与安全策略守护生产系统。
建议从最小可行流开始,逐步叠加蓝绿发布、监控告警与安全增强。现在就从 GitLab CI 与 Jenkins Job 起步,随后接入 n8n 与 Kubernetes 集成。
JaguarJack
后端开发工程师,前端入门选手,略知相关服务器知识,偏爱❤️ Laravel & Vue
本作品采用《CC 协议》,转载必须注明作者和本文链接