Rust项目在Linux上如何配置CI/CD

Rust 项目在 Linux 上的 CI/CD 实战指南

一 方案总览

• 在 GitHub Actions 中，使用 actions-rust-lang/setup-rust-toolchain 管理工具链，配合 actions/checkout 与 actions/cache 实现高效构建与缓存；在 GitLab CI 中，基于 rust:latest 镜像，设置 CARGO_HOME/RUSTUP_HOME 并缓存 .cargo 与 target 目录；在 Jenkins 中，通过 rustup 安装与切换工具链，必要时结合 Docker 做多平台构建。以上方案均已在生产实践中被广泛采用，适合库与应用的不同交付目标。

二 GitHub Actions 示例

• 一个覆盖多版本测试、代码质量检查、发布与产物上传的最小工作流如下（放到 .github/workflows/ci.yml）：

name: Rust CI/CD

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

env:
  CARGO_TERM_COLOR: always

jobs:
  test:
    name: Test
    runs-on: ubuntu-latest
    strategy:
      matrix:
        rust: [stable, beta, nightly]
    steps:
      - uses: actions/checkout@v4
      - name: Setup Rust
        uses: actions-rust-lang/setup-rust-toolchain@v1
        with:
          toolchain: ${{ matrix.rust }}
          override: true
      - name: Cache
        uses: actions/cache@v4
        with:
          path: |
            ~/.cargo/registry
            ~/.cargo/git
            target
          key: ${{ runner.os }}-cargo-${{ matrix.rust }}-${{ hashFiles('**/Cargo.lock') }}
      - name: Build
        run: cargo build --verbose
      - name: Test
        run: cargo test --all-features --verbose

  lint:
    name: Lint
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions-rust-lang/setup-rust-toolchain@v1
        with:
          toolchain: stable
          components: clippy, rustfmt
      - name: Format check
        run: cargo fmt -- --check
      - name: Clippy
        run: cargo clippy --all-targets --all-features -- -D warnings

  build-release:
    name: Build Release
    needs: [test, lint]
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions-rust-lang/setup-rust-toolchain@v1
        with:
          toolchain: stable
      - name: Cache
        uses: actions/cache@v4
        with:
          path: |
            ~/.cargo/registry
            ~/.cargo/git
            target
          key: ${{ runner.os }}-cargo-release-${{ hashFiles('**/Cargo.lock') }}
      - name: Build release
        run: cargo build --release
      - name: Upload artifact
        uses: actions/upload-artifact@v4
        with:
          name: app-binary
          path: target/release/your-bin-name  # 替换为你的二进制名

  # 可选：发布到 crates.io（库）
  # publish-crate:
  #   name: Publish to crates.io
  #   if: github.event_name == 'push' && github.ref == 'refs/heads/main'
  #   needs: [build-release]
  #   runs-on: ubuntu-latest
  #   steps:
  #     - uses: actions/checkout@v4
  #     - uses: actions-rust-lang/setup-rust-toolchain@v1
  #       with:
  #         toolchain: stable
  #     - name: Publish
  #       run: cargo publish --token ${{ secrets.CRATES_IO_TOKEN }}

• 要点说明：
  • 使用 matrix 并行跑 stable/beta/nightly，保证跨版本兼容。
  • 通过 actions/cache 缓存 ~/.cargo 与 target，显著加速 CI。
  • 质量门禁包含 cargo fmt 与 cargo clippy，失败即阻断合并。
  • 产物上传便于后续 CD 或手动分发。

三 GitLab CI 与 Jenkins 模板

• GitLab CI（.gitlab-ci.yml）：基于官方 rust:latest 镜像，设置缓存与多阶段流程，包含安全扫描与产物归档。

image: rust:latest

variables:
  CARGO_HOME: $CI_PROJECT_DIR/.cargo
  RUSTUP_HOME: $CI_PROJECT_DIR/.rustup

cache:
  paths:
    - .cargo/registry
    - .cargo/git
    - target/
  key: "$CI_COMMIT_REF_SLUG"
  policy: pull-push

stages:
  - setup
  - test
  - build
  - security
  - deploy

setup_rust:
  stage: setup
  script:
    - rustup component add clippy rustfmt
    - rustup target add wasm32-unknown-unknown  # 如需 WASM

test_suite:
  stage: test
  script:
    - cargo test --verbose
    - cargo clippy --all-targets --all-features -- -D warnings
    - cargo fmt -- --check

build_release:
  stage: build
  script:
    - cargo build --release
  artifacts:
    paths:
      - target/release/

security_scan:
  stage: security
  script:
    - cargo audit
    - cargo deny check

deploy_prod:
  stage: deploy
  script:
    - echo "Deploy steps here (e.g., scp, rsync, kubectl)"
  only:
    - main

• Jenkins（声明式 Pipeline 片段）：使用 rustup 安装工具链，按需添加组件与多平台交叉编译。

pipeline {
  agent any
  environment {
    RUSTUP_HOME = '/usr/local/rustup'
    CARGO_HOME  = '/usr/local/cargo'
    PATH = "$CARGO_HOME/bin:$PATH"
  }
  stages {
    stage('Setup Rust') {
      steps {
        sh 'curl --proto "=https" --tlsv1.2 -sSf https://sh.rustup.rs | sh -s -- -y'
        sh 'source $HOME/.cargo/env'
        sh 'rustup toolchain install stable'
        sh 'rustup default stable'
        sh 'rustup component add clippy rustfmt'
      }
    }
    stage('Test') {
      steps {
        sh 'cargo test --verbose'
        sh 'cargo clippy -- -D warnings'
        sh 'cargo fmt -- --check'
      }
    }
    stage('Build') {
      steps {
        sh 'cargo build --release'
      }
    }
  }
}

• 要点说明：
  • GitLab CI 中显式设置 CARGO_HOME/RUSTUP_HOME 并缓存，可稳定复现与提速。
  • Jenkins 适合已有自建 Runner 的团队，按需扩展多平台与部署脚本。

四 容器化与发布交付

• 多阶段构建减小镜像体积（Dockerfile）：

# 构建阶段
FROM rust:1.70 as builder
WORKDIR /usr/src/app
COPY . .
RUN cargo build --release

# 运行阶段（Debian Slim）
FROM debian:bookworm-slim
RUN apt-get update && apt-get install -y ca-certificates && rm -rf /var/lib/apt/lists/*
COPY --from=builder /usr/src/app/target/release/your-bin-name /usr/local/bin/your-bin-name
USER 1000:1000
CMD ["your-bin-name"]

• 在 GitHub Actions 中构建并推送镜像（放到 build-release 作业后追加）：

    - name: Login to Docker Hub
      if: github.ref == 'refs/heads/main'
      uses: docker/login-action@v3
      with:
        username: ${{ secrets.DOCKER_HUB_USERNAME }}
        password: ${{ secrets.DOCKER_HUB_TOKEN }}

    - name: Build and push
      if: github.ref == 'refs/heads/main'
      uses: docker/build-push-action@v5
      with:
        context: .
        push: true
        tags: your-dockerhub/your-app:latest

• 可选：镜像安全扫描（Trivy）

    - name: Scan image
      uses: aquasecurity/trivy-action@master
      with:
        image-ref: your-dockerhub/your-app:latest
        format: 'table'
        exit-code: '1'
        severity: 'CRITICAL'

• 要点说明：
  • 多阶段构建仅保留运行时二进制，显著减小攻击面与体积。
  • 仅在 main 分支推送镜像，凭据通过 Secrets 管理。
  • 上线前执行 Trivy 等镜像漏洞扫描，阻断高风险镜像进入生产。

五 性能与安全最佳实践

• 性能优化
  • 缓存策略：同时缓存 ~/.cargo/registry、~/.cargo/git 与 target，并使用 Cargo.lock 哈希作为缓存键，命中率更高。
  • 构建加速：在 CI 中启用 sccache（如设置环境变量 RUSTC_WRAPPER=sccache 与 SCCACHE_CACHE_SIZE），可显著减少重复编译时间。
• 质量与安全
  • 质量门禁：在 CI 中固定执行 cargo fmt – --check 与 cargo clippy – -D warnings，必要时扩展到 –all-targets --all-features。
  • 安全审计：集成 cargo audit 与 cargo deny，定期检测依赖漏洞与许可证合规。
• 运行时与交付
  • 容器安全：以 非 root 用户运行（如 USER 1000:1000），基础镜像优先选择 debian:*-slim 或 distroless，减少暴露面。
  • 健康检查：为服务暴露 /health 端点，配合 Kubernetes 的 livenessProbe/readinessProbe 实现零停机滚动升级。