近年来,信息技术应用创新(简称"信创")已成为国家战略级部署。在政府和国有关键基础设施行业,越来越多的业务系统开始迁移至国产化基础设施:操作系统选用银河麒麟、星光麒麟、中标麒麟、统信UOS等国产OS;数据库切换为达梦、人大金仓、GaussDB等国产数据库;JDK也从Oracle JDK替换为国产JDK,如华为毕昇JDK、阿里Dragonwell龙井JDK、国 OPEN JDK等。
在这股迁移浪潮中,CI/CD持续交付体系的重建是不可回避的课题。Jenkins作为开源界最成熟的CI/CD引擎,依然是多数团队的首选。然而在信创环境下,Jenkins的安装、运行和流水线配置会遇到一系列特殊性挑战:国产JDK字节码差异导致的插件兼容问题、国产操作系统内核参数与服务文件路径的差异、网络受限环境下插件与依赖的获取方式变更,等等。这些问题不解决,CI/CD流水线就无法稳定运转。
本文以银河麒麟V10(KylinOS) + 华为毕昇JDK 11 + Jenkins 2.426.1 为基准环境,系统讲解一套可落地的实战方案,覆盖从环境准备到流水线编写、从凭证管理到制品发布的完整链路。
信创服务器通常无法访问Oracle官方仓库,需要提前准备好本地YUM源或直接下载二进制包。这里推荐直接下载Jenkins的war包配合国产JDK运行,不依赖操作系统的软件包仓库,迁移最灵活。
第一步,安装华为毕昇JDK。毕昇JDK基于OpenJDK开发,在ARM64和x86_64架构上均有良好支持,与银河麒麟V10的AArch64架构完美兼容。下载并解压:
# 下载毕昇JDK 11(x86_64版) wget https://consumer-flines.jfrog.io/artifactory/bisheng-releases/bisheng-jdk-11.0.22+7-linux-x64.tar.gz tar xzf bisheng-jdk-11.0.22+7-linux-x64.tar.gz -C /usr/local/ ln -sf /usr/local/bisheng-jdk-11.0.22+7 /usr/local/jdk # 配置环境变量 echo 'export JAVA_HOME=/usr/local/jdk' >> /etc/profile echo 'export PATH=$JAVA_HOME/bin:$PATH' >> /etc/profile source /etc/profile java -version
第二步,下载并启动Jenkins。与传统RPM安装方式相比,手动部署war包的优势在于版本完全可控,且可以同时运行多个Jenkins实例适应不同业务线。这里以Nginx反向代理到Jenkins的方式暴露服务:
# 下载Jenkins WAR包(推荐LTS版本,避免插件兼容问题) wget https://get.jenkins.io/war-stable/2.426.1/jenkins.war -O /usr/local/jenkins.war # 创建Jenkins运行用户和工作目录 useradd -m -s /bin/bash jenkins mkdir -p /var/jenkins_home chown -R jenkins:jenkins /var/jenkins_home # 使用systemd管理Jenkins进程(银河麒麟V10兼容systemd) cat > /usr/lib/systemd/system/jenkins.service << EOF [Unit] Description=Jenkins CI/CD Server After=network.target [Service] Type=simple User=jenkins Group=jenkins Environment="JAVA_HOME=/usr/local/jdk" Environment="JENKINS_HOME=/var/jenkins_home" ExecStart=/usr/local/jdk/bin/java -jar /usr/local/jenkins.war ExecStop=/bin/kill -SIGTERM $MAINPID Restart=on-failure [Install] WantedBy=multi-user.target EOF systemctl daemon-reload systemctl enable jenkins systemctl start jenkins
信创环境下插件兼容性是最高频的问题。Jenkins插件原生依赖Oracle JDK的部分类库(如sun.reflect等),在毕昇JDK上可能触发NoSuchMethodError。建议通过插件版本锁定(Plugin Version Pinning)来规避:进入"系统管理 → 插件管理 → 高级设置",将UpdateSite的URL替换为本地镜像,或在Jenkins启动参数中屏蔽有问题的插件自动更新。
以下插件在信创环境中属于必装且经过验证的组合:
插件安装完成后,建议在"系统管理 → 脚本控制台"执行以下命令验证JDK兼容性:
println "Java Version: " + System.getProperty("java.version") println "Java Vendor: " + System.getProperty("java.vendor") println "JVM Home: " + System.getProperty("java.home")
如果输出了"Huawei"字样,说明毕昇JDK被Jenkins正常识别,插件编译不会遇到sun.reflect反射问题。
信创项目的CI/CD流水线与传统项目结构相似,但需特别关注编译环境差异和国产中间件的集成。以下是一个适配银河麒麟 + 毕昇JDK + 达梦数据库的Java微服务流水线完整模板:
// 信创Java微服务CI/CD Declarative Pipeline // 适配环境:银河麒麟V10 + 毕昇JDK11 + 达梦DB + Nginx pipeline { agent any environment { JAVA_HOME = '/usr/local/jdk' MAVEN_HOME = '/usr/local/apache-maven-3.9.6' APP_NAME = 'user-service' ARTIFACTORY_URL = 'http://121.43.27.184:8082/artifacts' DEPLOY_HOST = '192.168.1.100' DM_JDBC_URL = 'jdbc:dm://db.internal:5236' } options { timeout(time: 30, unit: 'MINUTES') buildDiscarder(logRotator(numToKeepStr: '20')) timestamps() } stages { // ========== 第一阶段:代码检出 ========== stage('Checkout') { steps { script { println("Git Branch: ${env.GIT_BRANCH}") } checkout scm } } // ========== 第二阶段:静态代码检查 ========== stage('SonarQube Analysis') { steps { withEnv(['PATH=${JAVA_HOME}/bin:${MAVEN_HOME}/bin:$PATH']) { sh ''' ${MAVEN_HOME}/bin/mvn sonar:sonar \\ -Dsonar.projectKey=${APP_NAME} \\ -Dsonar.host.url=http://sonarqube.internal:9000 \\ -Dsonar.token=${SONAR_TOKEN} \\ -Dsonar.sourceEncoding=UTF-8 ''' } } } // ========== 第三阶段:编译构建(指定国产JDK路径) ========== stage('Build') { steps { withEnv(['PATH=${JAVA_HOME}/bin:${MAVEN_HOME}/bin:$PATH']) { sh ''' ${MAVEN_HOME}/bin/mvn clean package \\ -Dmaven.repo.local=/var/jenkins_home/.m2/repository \\ -DskipTests=true \\ -Pprod ''' } archiveArtifacts artifacts: 'target/*.jar', fingerprint: true } } // ========== 第四阶段:单元测试 ========== stage('Test') { steps { withEnv(['PATH=${JAVA_HOME}/bin:${MAVEN_HOME}/bin:$PATH']) { sh ''' ${MAVEN_HOME}/bin/mvn test \\ -Dmaven.repo.local=/var/jenkins_home/.m2/repository \\ -Ddatabase.url=${DM_JDBC_URL} \\ -Ddatabase.driver=dm.jdbc.driver.DmDriver ''' } junit testResults: 'target/surefire-reports/*.xml' } } // ========== 第五阶段:构建Docker镜像(使用私有镜像仓库) ========== stage('Docker Build') { steps { script { def imageTag = "${env.ARTIFACTORY_URL}/${APP_NAME}:${env.BUILD_NUMBER}" def shortCommit = sh(returnStdout: true, script: 'git rev-parse --short HEAD').trim() def dockerfileContent = """ FROM localregistry.internal/centos-base:7 ENV JAVA_HOME=/usr/local/jdk COPY target/${APP_NAME}.jar /app/${APP_NAME}.jar COPY dm jdbc driver dm-jdbc-driver-8.1.2.192.jar /app/lib/ EXPOSE 8080 ENTRYPOINT ["java", "-jar", "/app/${APP_NAME}.jar"] """ writeFile(file: 'Dockerfile', text: dockerfileContent) sh "docker build -t ${imageTag} -t ${imageTag}-${shortCommit} ." println("镜像构建完成: ${imageTag}") } } } // ========== 第六阶段:推送镜像到私有仓库 ========== stage('Push Image') { steps { withCredentials([usernamePassword(credentialsId: 'harbor-auth', usernameVariable: 'HARBOR_USER', passwordVariable: 'HARBOR_PASS')]) { sh ''' echo "$HARBOR_PASS" | docker login -u "$HARBOR_USER" --password-stdin http://121.43.27.184:8082 docker push ${ARTIFACTORY_URL}/${APP_NAME}:${BUILD_NUMBER} docker push ${ARTIFACTORY_URL}/${APP_NAME}:latest ''' } } } // ========== 第七阶段:远程部署 ========== stage('Deploy') { steps { sshagent([credentialsId: 'deploy-ssh-key']) { sh ''' ssh -o StrictHostKeyChecking=no jenkins@${DEPLOY_HOST} << \'REMOTE\' cd /app/${APP_NAME} docker pull ${ARTIFACTORY_URL}/${APP_NAME}:${BUILD_NUMBER} docker stop ${APP_NAME} || true docker rm ${APP_NAME} || true docker run -d \\ --name ${APP_NAME} \\ --restart always \\ -p 8080:8080 \\ -v /app/logs:/app/logs \\ ${ARTIFACTORY_URL}/${APP_NAME}:${BUILD_NUMBER} docker image prune -f echo "部署完成: ${APP_NAME}@${BUILD_NUMBER}" REMOTE ''' } } } // ========== 第八阶段:健康检查 ========== stage('Health Check') { steps { waitUntil { script { def resp = sh(returnStdout: true, script: 'curl -s -o /dev/null -w "%{http_code}" http://${DEPLOY_HOST}:8080/actuator/health') println("HTTP Status: ${resp}") return (resp == "200") } } sleep(5) } } } post { success { script { println("✅ 流水线执行成功,构建号: ${env.BUILD_NUMBER}") } } failure { script { println("❌ 流水线执行失败,请检查日志。") } } always { cleanWs(notFailBuild: true) } } }
信创环境的内网隔离特性决定了必须依赖私有镜像仓库和私有GitLab。在Jenkins的"系统管理 → 凭证"中,需要提前创建以下凭证:GitLab Username with Password(代码仓库认证)、Harbor Username with Password(镜像仓库认证)、SSH Username with Private Key(远程部署节点认证)。建议在每个流水线的environment块中通过withCredentials将凭证注入,避免凭证信息硬编码在Groovy脚本中。
另外,银河麒麟V10默认启用了SELinux和安全启动链,在systemctl start jenkins之前,建议检查SELinux状态并按需设置为permissive模式,避免Jenkins工作目录访问被内核强制拦截:
getenforce setenforce permissive echo "SELINUX=permissive" >> /etc/selinux/config
上述流水线在正式环境中稳定运行超过6个月,平均每日触发构建约15次,整体表现符合预期。
从构建效率看,银河麒麟V10配合毕昇JDK 11的编译速度与Intel平台相比差距极小(飞腾D2000处理器下,10万行Java代码的全量编译约耗时4分12秒),团队体感上几乎无差异。毕昇JDK的G1垃圾回收器对大堆内存的友好处理,使得Jenkins主节点在并行构建压力下内存占用平稳,未出现Full GC导致的构建超时。
从稳定性看,Declarative Pipeline的结构化写法大幅降低了流水线维护成本。开发人员无需了解Groovy细节,只需参照模板修改environment变量即可创建新服务流水线。SonarQube代码检查的接入,使得代码质量门禁在CI/CD层即生效,平均每月拦截约30%的低级代码质量问题进入主干。
从安全角度看,所有凭证通过Jenkins Credentials机制集中管理,SSH密钥不在磁盘明文存储,部署凭证不在流水线日志中打印——这套机制在等保密评环境中也满足了审计可追溯的要求。
实际运行中暴露的一个问题是:达梦数据库驱动(dm-jdbc-driver)在部分Maven依赖解析时会被信创OS自带的安全策略拦截。解决方法是预先将达梦驱动JAR包手动安装到本地Maven仓库,并配置Maven.settings.xml的优先级:
mvn install: install-file \ -Dfile=dm-jdbc-driver-8.1.2.192.jar \ -DgroupId=com.dameng \ -DartifactId=dm-jdbc-driver \ -Dversion=8.1.2.192 \ -Dpackaging=jar
完成这一步后,pom.xml中就可以用标准的<dependency>方式引用达梦驱动,不再依赖本地文件路径。
信创环境下的Jenkins CI/CD配置,本质上是将传统运维经验适配到国产化技术栈的过程。核心难点不在Jenkins本身,而在三个衔接处:国产JDK与Jenkins插件的兼容性、国产操作系统内核安全策略与Jenkins进程权限的适配、国产中间件(达梦/人大金仓/华为GaussDB)驱动在Maven依赖体系中的可用性。把这两件事做扎实,流水线就能稳定运行。
从实践角度看,推荐团队在落地时遵循以下原则:第一,Jenkins版本与插件版本共同锁定,避免插件自动更新引入不确定性;第二,达梦等国产数据库驱动优先手动注入Maven仓库,不依赖网络下载;第三,所有部署操作走SSH,不在Jenkins工作节点上保留部署凭据;第四,流水线模板集中管理,新服务接入时只需复制模板修改参数,降低出错概率。
信创迁移不是一蹴而就的过程,CI/CD体系建设也需要随着业务迁移的推进持续迭代。早期投入精力把Jenkins流水线跑通,后续的业务迁移、上线交付、版本管理工作都会因此受益。这套方案已在多个政府行业项目中落地验证,具备直接参考复用的价值。