Files
template-rest-api-python/.gitea/workflows/APP_NAME-build.yaml
idp-template-mirror c1cabdc5d2
All checks were successful
__APP_NAME__ — build & deploy / ¿Credenciales de build listas? (push) Successful in 1s
__APP_NAME__ — build & deploy / Calidad + build + push (push) Has been skipped
__APP_NAME__ — build & deploy / ¿Cluster del tenant listo? (push) Has been skipped
__APP_NAME__ — build & deploy / Helm upgrade --install (push) Has been skipped
chore(mirror): sync desde templates/rest-api-python (ADR-095)
2026-06-20 01:02:29 +00:00

224 lines
10 KiB
YAML

name: __APP_NAME__ — build & deploy
# Workflow self-contained del golden path (ADR-061): calidad + build + push +
# helm-deploy inline, SIN `uses:` cross-repo al repo privado `coralware/IDP`.
# El repo del tenant es un repo cliente — su CI no comparte el ciclo de release
# del IDP ni el GitOps de Fleet; se construye leyendo solo su propio repo.
# Corre sobre los runners `[self-hosted, buildkit]` de ci-system (executor=host,
# buildkit remoto — sin Docker daemon local; ADR-043).
on:
push:
branches: [main]
paths:
- 'code/**'
- 'helm/**'
- 'scripts/**'
- '.gitea/workflows/__APP_NAME__-build.yaml'
workflow_dispatch: {}
# ── Serialización de deploys (TENANT-BUILD-NO-CONCURRENCY-GUARD) ──────────────
# Sin este guard, múltiples dispatches del mismo repo (scaffold `on:push` +
# tenant-manager fase 1/fase 2 + re-dispatch por rotación de kubeconfig + smoke)
# corren `helm upgrade --install` EN PARALELO sobre el MISMO release → Helm aborta
# con "another operation (install/upgrade/rollback) is in progress" y deja el
# release trabado en `pending-install` → el primer deploy del tenant nunca
# completa (vivido E2E 2026-06-10, tenant 9e6babb0; destrabado a mano borrando el
# secret del release). Los runs se ENCOLAN, NO se cancelan: cancelar un run a mitad
# de `helm install` es justo lo que CREA el estado `pending-install`.
concurrency:
group: deploy-${{ gitea.repository }}
cancel-in-progress: false
jobs:
# ── Gate de credenciales de build (GOLDEN-PATH-BUILD-DEPLOY-ORDER-RACE) ───
# Los secrets HARBOR_ROBOT_USER/TOKEN los siembra tenant-manager en su fase 1
# (build-ready) cuando RepoProvision.phase=ready. El commit de render de
# repo-provisioner dispara este workflow on:push en segundos; en un template
# mínimo la calidad (ruff/black/bandit/pytest) corre en ~15s, así que el build
# alcanzaría el step "Build y push a Harbor" ANTES de que la fase 1 siembre
# (~20s) → fallaría con secrets vacíos. Este gate decide ANTES de la calidad:
# si los secrets no están, el job build se SKIPEA (no falla, no rojo) y
# tenant-manager dispara automáticamente un run completo (workflow_dispatch)
# tras la fase 1+2. Simétrico con cluster-gate del helm-deploy.
build-gate:
name: ¿Credenciales de build listas?
runs-on: [self-hosted, buildkit]
outputs:
ready: ${{ steps.check.outputs.ready }}
steps:
- name: Verificar secrets Harbor sembrados
id: check
env:
ROBOT_USER: ${{ secrets.HARBOR_ROBOT_USER }}
run: |
if [ -z "$ROBOT_USER" ]; then
echo "::notice::Credenciales Harbor aún no sembradas (tenant-manager fase 1 build-ready). Este run se omite; el deploy completo se dispara automáticamente cuando estén listas (run #2)."
echo "ready=false" >> "$GITHUB_OUTPUT"
else
echo "ready=true" >> "$GITHUB_OUTPUT"
fi
# ── Calidad + build + push de imagen a Harbor ────────────────────────────
build:
name: Calidad + build + push
needs: build-gate
if: needs.build-gate.outputs.ready == 'true'
runs-on: [self-hosted, buildkit]
outputs:
image_tag: ${{ steps.meta.outputs.tag }}
defaults:
run:
working-directory: code
steps:
- name: Checkout
uses: actions/checkout@v4
- name: Crear venv e instalar dependencias
# --system-site-packages reutiliza ruff/black/bandit/pytest ya
# preinstalados en la imagen del runner; el venv añade las deps de la app.
run: |
python3 -m venv --system-site-packages /tmp/venv-__APP_NAME__
/tmp/venv-__APP_NAME__/bin/pip install --no-cache-dir -r requirements-dev.txt
- name: Lint (ruff)
run: ruff check app
- name: Formato (black --check)
run: black --check app
- name: Seguridad (bandit)
run: bandit -c pyproject.toml -r app --severity-level medium
- name: Tests con cobertura
run: |
/tmp/venv-__APP_NAME__/bin/python -m pytest tests/ -v \
--cov=app --cov-report=term-missing --cov-fail-under=80
- name: Metadata de imagen
id: meta
run: echo "tag=${{ gitea.sha }}" >> "$GITHUB_OUTPUT"
- name: Build y push a Harbor
# Proyecto Harbor del tenant: `t-<tenant-id-short>` (ADR-019 D-03).
# Credenciales: robot scoped push/pull SOLO a ese proyecto, sembrado por
# tenant-manager (fase 1 build-ready). El job build-gate ya garantizó que
# HARBOR_ROBOT_USER está presente (si no, este job se habría skipeado).
env:
REGISTRY: registry.coralsafety.com
ROBOT_USER: ${{ secrets.HARBOR_ROBOT_USER }}
ROBOT_TOKEN: ${{ secrets.HARBOR_ROBOT_TOKEN }}
IMAGE: t-__TENANT_ID_SHORT__/__APP_NAME__
TAG: ${{ steps.meta.outputs.tag }}
run: |
printf '%s' "$ROBOT_TOKEN" | docker login "$REGISTRY" -u "$ROBOT_USER" --password-stdin
# Builder buildx remoto — apunta al buildkit daemon de ci-system
# (el runner no tiene Docker daemon local).
if ! docker buildx inspect tenant-builder >/dev/null 2>&1; then
docker buildx create --name tenant-builder --driver remote --use \
"${BUILDKIT_HOST:-tcp://buildkitd.ci-system.svc.cluster.local:2375}"
else
docker buildx use tenant-builder
fi
docker buildx build --platform linux/amd64 \
-t "${REGISTRY}/${IMAGE}:${TAG}" \
--push .
# ── Gate de cluster listo (GOLDEN-PATH-BUILD-DEPLOY-ORDER-RACE) ──────────
# El kubeconfig (secret KUBECONFIG_TENANT_B64) lo siembra tenant-manager en su
# fase 2 (deploy-ready) cuando el cluster RKE2 del tenant está Ready (~8 min).
# En el primer run (disparado por el commit de bootstrap) el cluster aún se
# está aprovisionando: este gate marca `ready=false` → el job helm-deploy se
# SKIPEA (no falla, no rojo). La imagen ya quedó publicada en el job build.
# tenant-manager dispara automáticamente un segundo run (workflow_dispatch) al
# sembrar el kubeconfig → ahí helm-deploy corre y la app queda viva.
cluster-gate:
name: ¿Cluster del tenant listo?
needs: build
runs-on: [self-hosted, buildkit]
outputs:
ready: ${{ steps.check.outputs.ready }}
steps:
- name: Verificar kubeconfig sembrado
id: check
env:
KUBECONFIG_B64: ${{ secrets.KUBECONFIG_TENANT_B64 }}
run: |
if [ -z "$KUBECONFIG_B64" ]; then
echo "::notice::Imagen publicada en Harbor ✅. El cluster del tenant se está aprovisionando (~8 min); el deploy se ejecutará automáticamente cuando esté listo (run #2)."
echo "ready=false" >> "$GITHUB_OUTPUT"
else
echo "ready=true" >> "$GITHUB_OUTPUT"
fi
# ── Deploy al cluster del tenant — Helm upgrade --install (sin hook Alembic) ─
# El runner corre executor=host: los steps se ejecutan directo sobre el pod
# runner, sin `container:`. helm se instala en runtime.
# Solo corre cuando el cluster está listo (cluster-gate). En caso contrario el
# job aparece como skipped (no failure) — separa "imagen publicada" de
# "app desplegada" como dos hitos.
helm-deploy:
name: Helm upgrade --install
needs: [build, cluster-gate]
if: needs.cluster-gate.outputs.ready == 'true'
runs-on: [self-hosted, buildkit]
steps:
- uses: actions/checkout@v4
- name: Asegurar helm disponible
# helm v3.14.4 viene pre-horneado en la imagen del runner
# (infrastructure/ci-system/Dockerfile, igual que kubectl/trivy) → este
# step es un no-op de verificación. Fallback para imágenes antiguas:
# descarga a un directorio ÚNICO por-run (`mktemp -d`) y lo añade al PATH;
# NUNCA escribe a rutas compartidas ($HOME/.local/bin ni /tmp/linux-$ARCH),
# que con executor=host se pisan entre jobs concurrentes del mismo runner
# (causa raíz del flake first-deploy: "helm: Text file busy" /
# "mv: can't rename", CI-SHARED-HOME-RACE, sesión CI 2026-06-16).
run: |
if command -v helm >/dev/null 2>&1; then
echo "helm pre-horneado en la imagen: $(helm version --short)"
exit 0
fi
HELM_VERSION=v3.14.4
case "$(uname -m)" in
x86_64) ARCH=amd64 ;;
aarch64) ARCH=arm64 ;;
*) echo "Arquitectura no soportada: $(uname -m)"; exit 1 ;;
esac
DEST="$(mktemp -d)"
curl -fsSL "https://get.helm.sh/helm-${HELM_VERSION}-linux-${ARCH}.tar.gz" \
| tar -xz -C "$DEST" "linux-${ARCH}/helm"
chmod +x "${DEST}/linux-${ARCH}/helm"
echo "${DEST}/linux-${ARCH}" >> "$GITHUB_PATH"
"${DEST}/linux-${ARCH}/helm" version
- name: Decodificar kubeconfig del tenant
env:
KUBECONFIG_B64: ${{ secrets.KUBECONFIG_TENANT_B64 }}
run: |
if [ -z "$KUBECONFIG_B64" ]; then
echo "ERROR: secret KUBECONFIG_TENANT_B64 no configurado en el proyecto Gitea."
echo "tenant-manager debe provisionarlo al crear el repo."
exit 1
fi
mkdir -p "${HOME}/.kube"
echo "$KUBECONFIG_B64" | base64 -d > "${HOME}/.kube/config"
chmod 600 "${HOME}/.kube/config"
# ── Deploy del tenant — lógica factorizada a script reusable (ADR-095 §B2-D2) ─
# La secuencia completa del deploy (wait-webhook → recovery-release → helm
# upgrade --install → rollout → smoke) vive en scripts/tenant-first-deploy.sh,
# IDÉNTICO byte-a-byte al de web-backend (fuente única, CS-7). Este template no
# tiene manifests/addonclaim.yaml → el script salta el bloque AddonClaim por
# presencia de archivo. HELM_TIMEOUT=5m preserva el timeout previo de rest-api.
# helm y el kubeconfig ya quedaron listos en los steps previos (setup de entorno).
- name: Deploy del tenant (tenant-first-deploy.sh)
env:
APP_NAME: __APP_NAME__
IMAGE_TAG: ${{ needs.build.outputs.image_tag }}
TENANT_ID: ${{ vars.TENANT_ID }}
TENANT_ID_NODASHES: ${{ vars.TENANT_ID_NODASHES }}
TENANT_TIER: ${{ vars.TENANT_TIER }}
HELM_TIMEOUT: 5m
run: bash scripts/tenant-first-deploy.sh