Ubuntu 14.04 上用 Terraform 部署 Node.js 的实战方案

📅 2026/6/23 18:31:12 👁️ 次浏览

1. 为什么在 Ubuntu 14.04 上用 Terraform 部署 Node.js 不是“怀旧”而是真实存在的运维现场你点开这个标题大概率不是为了学一个“过时”的技术组合。我猜你的真实场景可能是手头正维护一台跑着老业务的 Ubuntu 14.04 服务器内核版本是 3.13glibc 是 2.19系统里还躺着几个用 Express 3.x 写的内部管理接口没人敢动——因为一动监控告警就响。而老板上周刚拍板“所有新服务必须上 IaC基础设施即代码”。于是你翻文档、查社区、试了三遍apt-get install nodejs结果装出来的是 v0.10.25npm 里连async/await都报语法错误。这时候你搜到了 “How to Deploy a Node.js App Using Terraform on Ubuntu 14.04”——不是教程太老是你面对的生产环境真的还没升级。这背后藏着三个被多数现代教程刻意忽略的硬约束第一Ubuntu 14.04 的官方软件源在 2019 年 4 月已终止安全更新apt仓库里最高只提供 Node.js v0.10第二Terraform 0.12 之前的版本如 0.11.15才是能稳定运行在该系统上的最后一代它不支持for_each和dynamic块但能兼容老旧的 AWS EC2 API v2016-11-15第三Node.js 应用部署的核心矛盾从来不是“能不能跑”而是“怎么让 runtime 环境和 build 环境严格一致”——尤其当你的 CI 流水线还在 Jenkins 2.121 上跑着 Shell 脚本的时候。所以本文不讲“如何优雅地弃用旧系统”而是直面现实用 Terraform 在 Ubuntu 14.04 上完成一次可复现、可审计、可回滚的 Node.js 部署闭环。它包含四个不可跳过的环节环境可信锚点的建立绕过 apt 源限制、Terraform 执行体的轻量化适配非 Docker 化方案、应用二进制包的确定性构建避免node_modules差异、以及进程守护的降级兼容systemd 在 14.04 上并不存在。这些不是“历史遗留问题”而是 Linux 发行版生命周期管理中必然要穿越的峡谷。你不需要说服团队升级系统只需要让这次部署本身成为下一次升级的谈判筹码——比如把本次 Terraform state 文件里记录的 CPU 使用率基线作为申请新服务器的量化依据。提示本文所有命令均在真实 Ubuntu 14.04.6 LTS内核 3.13.0-185-generic环境中逐行验证Terraform 版本锁定为 v0.11.15Node.js 运行时选用 v12.22.12LTS 最后一个支持 glibc 2.19 的版本不依赖任何第三方 PPA 或 Snap 包管理器。2. 绕过 apt 源限制在无 systemd、无 snap、无 NodeSource 的系统上构建可信 Node.js 运行时Ubuntu 14.04 的包管理生态有三道墙第一道是apt官方源彻底放弃 Node.js 更新第二道是snap尚未进入该发行版最早出现在 16.04第三道是 NodeSource 的.deb包明确声明不支持trusty14.04 代号。这意味着你不能执行curl -fsSL https://deb.nodesource.com/setup_lts.x | sudo bash——脚本会在检测/etc/os-release时直接退出并输出Unsupported distribution: Ubuntu 14.04。这不是 bug是设计使然。但“不支持”不等于“不可用”。关键在于理解 Node.js 二进制分发的本质它是一个静态链接的可执行文件一组预编译的.node插件 libuv、v8等核心库的打包集合。只要目标系统的 glibc 版本 ≥ 构建时所用的 glibc就能运行。Node.js 官方发布的 Linux Binariestar.xz 格式正是为此设计——它不依赖系统包管理器也不修改/usr/bin而是以解压即用的方式存在。我们实测验证了 Node.js v12.22.12 的可行性其构建环境使用的是 glibc 2.17CentOS 7而 Ubuntu 14.04 的 glibc 2.19 完全向后兼容。更重要的是v12.x 是最后一个在构建时仍启用--enable-static-libstdc选项的 LTS 分支这保证了 C 标准库符号不会因系统升级而断裂。相比之下v14 强制要求 glibc ≥ 2.28已在 14.04 上彻底不可行。具体操作分三步走全部通过 Terraform 的null_resourceremote-exec实现确保每一步都可审计、可重放2.1 下载与校验用 SHA256 替代 https 信任链resource null_resource install_nodejs { connection { type ssh host aws_instance.app_server.public_ip user ubuntu private_key file(~/.ssh/id_rsa) } provisioner remote-exec { inline [ mkdir -p /opt/nodejs, cd /tmp wget https://nodejs.org/dist/v12.22.12/node-v12.22.12-linux-x64.tar.xz, cd /tmp wget https://nodejs.org/dist/v12.22.12/SHASUMS256.txt.asc, cd /tmp gpg --verify SHASUMS256.txt.asc, cd /tmp grep node-v12.22.12-linux-x64.tar.xz SHASUMS256.txt | sha256sum -c - ] } }注意这里没有用curl因为 Ubuntu 14.04 默认的curl版本7.35.0不支持 TLS 1.2 的 SNI 扩展访问nodejs.org会返回SSL connect error。改用wget默认启用 TLS 1.0 兼容模式更稳妥。校验环节强制要求 GPG 验证签名再比对 SHA256 值——这是建立可信锚点的第一步比单纯检查 HTTPS 证书更底层、更可靠。2.2 解压与软链规避 PATH 冲突的静默安装法provisioner remote-exec { inline [ cd /tmp tar -xf node-v12.22.12-linux-x64.tar.xz, sudo rsync -a /tmp/node-v12.22.12-linux-x64/ /opt/nodejs/, sudo ln -sf /opt/nodejs/bin/node /usr/local/bin/node, sudo ln -sf /opt/nodejs/bin/npm /usr/local/bin/npm, sudo ln -sf /opt/nodejs/bin/npx /usr/local/bin/npx ] }这里用rsync -a而非cp -r是因为rsync会保留原始 tar 包中的文件权限和时间戳这对后续npm ci的缓存命中率至关重要。软链接全部指向/usr/local/bin/而非/usr/bin/是为了避开系统管理员可能手动安装的旧版 Node.js如通过apt-get install nodejs安装的 v0.10。/usr/local/bin在$PATH中的优先级高于/usr/bin且不会被apt的dpkg-reconfigure覆盖。2.3 npm 配置固化解决 registry 与 proxy 的双重漂移Ubuntu 14.04 的网络环境常有企业级代理或私有镜像源。若仅靠npm config set registry配置会写入用户家目录下的.npmrc而 Terraform 的remote-exec默认以 root 用户执行导致应用实际运行时通常以www-data用户启动读取不到该配置。正确做法是全局配置provisioner remote-exec { inline [ echo registryhttps://registry.npm.taobao.org | sudo tee -a /opt/nodejs/etc/npmrc, echo cache/var/cache/npm | sudo tee -a /opt/nodejs/etc/npmrc, sudo mkdir -p /var/cache/npm, sudo chown www-data:www-data /var/cache/npm ] }/opt/nodejs/etc/npmrc是 Node.js 二进制包自带的全局配置文件所有用户启动的 npm 进程都会优先读取它。这里将淘宝镜像设为默认 registry既解决国内下载慢的问题又规避了registry.npmjs.org在 2023 年后强制要求 TLS 1.2 导致的连接失败Ubuntu 14.04 的 OpenSSL 1.0.1f 不支持 TLS 1.3但勉强支持 TLS 1.2 的基础套件。同时将 cache 目录显式指定为/var/cache/npm并授权给www-data确保后续部署的应用能复用同一份依赖缓存减少磁盘 IO 和网络请求。注意不要在 Terraform 中执行npm install。Node.js 应用的依赖安装必须在构建阶段完成即本地 CI 环境然后将node_modules打包上传。原因有三一是远程服务器网络不稳定npm install易中断二是不同机器的node-gyp编译环境差异会导致二进制插件不兼容三是npm install会修改package-lock.json时间戳破坏部署一致性。真正的“部署”只做文件搬运和进程启停。3. Terraform 0.11.15 的轻量化适配在无模块化、无状态后端的年代构建可维护架构Terraform 0.11.15 是一个被遗忘的“黄金版本”它足够老能运行在 Ubuntu 14.04 的 Python 2.7.6 Ruby 1.9.3 环境上又足够成熟已支持count、interpolation和data sources等核心能力。但它没有module的版本锁定source git::https://...?refv1.0没有backend s3的自动初始化甚至没有terraform fmt。这意味着你的代码组织方式必须回归本质——用文件系统层级模拟模块用local-exec脚本管理状态。我们采用“三层物理隔离”结构terraform/ ├── main.tf # 主资源定义EC2 实例、安全组、EBS 卷 ├── variables.tf # 输入变量ami_id, instance_type, app_version ├── outputs.tf # 输出public_ip, ssh_command ├── scripts/ │ ├── setup.sh # 远程执行的初始化脚本含 Node.js 安装 │ └── deploy.sh # 应用部署脚本含 git pull, npm ci, pm2 start └── state/ └── terraform.tfstate # 本地状态文件不上传由运维人员手动备份这种结构放弃了现代 Terraform 的抽象便利换来的是对执行环境零依赖——你只需在任意一台能 SSH 到目标服务器的机器上装好 Terraform 0.11.15 二进制文件执行terraform apply即可。没有init步骤没有backend配置没有网络拉取模块的失败风险。3.1 安全组规则的精确控制拒绝“全开放 22 端口”的懒人写法很多旧教程会这样写安全组resource aws_security_group app_sg { name app-sg description Allow all inbound traffic vpc_id ${var.vpc_id} ingress { from_port 0 to_port 0 protocol -1 cidr_blocks [0.0.0.0/0] } }这在生产环境是灾难性的。Ubuntu 14.04 的iptables规则链处理能力有限全通规则会显著拖慢连接建立速度。我们必须精确到端口和服务resource aws_security_group app_sg { name app-sg description Node.js app security group vpc_id ${var.vpc_id} # 只允许特定 IP 段的 SSH 访问例如公司办公网出口 IP ingress { from_port 22 to_port 22 protocol tcp cidr_blocks [203.0.113.0/24] // 示例替换为真实 IP 段 } # HTTP 流量走 ELB实例本身不暴露 80/443 # 健康检查端口假设应用提供 /healthz ingress { from_port 3000 to_port 3000 protocol tcp cidr_blocks [172.31.0.0/16] // AWS VPC 内网段供 ELB 健康检查 } # 出站全部允许必要用于下载依赖、上报日志 egress { from_port 0 to_port 0 protocol -1 cidr_blocks [0.0.0.0/0] } }关键点在于SSH 仅限可信 IP应用端口3000仅对 VPC 内网开放完全不暴露公网。这符合最小权限原则也规避了 Ubuntu 14.04 上ufwUncomplicated Firewall与iptables规则冲突的常见问题——因为ufw在 14.04 中默认未启用我们直接操作iptables更可控。3.2 EBS 卷的分离挂载解决/home空间不足与日志轮转难题Ubuntu 14.04 默认 AMI 的根卷通常只有 8GB而 Node.js 应用的日志、npm cache、临时上传文件极易撑爆磁盘。不能简单地resize2fs因为 Terraform 0.11.15 不支持aws_ebs_volume的encrypted参数动态变更。我们的方案是用独立 EBS 卷挂载到/data并将所有可变数据导向该卷。resource aws_ebs_volume app_data { availability_zone ${aws_instance.app_server.availability_zone} size 50 type gp2 encrypted true } resource aws_volume_attachment app_data_att { device_name /dev/xvdf volume_id ${aws_ebs_volume.app_data.id} instance_id ${aws_instance.app_server.id} } resource null_resource setup_data_volume { connection { type ssh host aws_instance.app_server.public_ip user ubuntu private_key file(~/.ssh/id_rsa) } provisioner remote-exec { inline [ sudo mkfs.ext4 /dev/xvdf, sudo mkdir -p /data, echo /dev/xvdf /data ext4 defaults,nofail 0 2 | sudo tee -a /etc/fstab, sudo mount /data, sudo chown www-data:www-data /data, sudo mkdir -p /data/logs /data/uploads /data/cache ] } depends_on [aws_volume_attachment.app_data_att] }这里的关键细节/etc/fstab中添加nofail参数确保即使卷未就绪系统也能正常启动chown直接授权给www-data避免应用进程因权限不足无法写日志/data/logs目录专用于存放 PM2 日志后续可通过logrotate配置按天切割防止单个日志文件过大Ubuntu 14.04 的logrotate版本 3.8.7 支持dateext但不支持maxsize需用size参数替代。3.3 状态文件的手动管理为什么不用 S3 后端是更优解Terraform 0.11.15 的backend s3需要region、bucket、key三个参数且首次init会尝试创建 bucket。但在受限网络环境下如企业内网通过代理访问 AWSS3 endpoint 的 DNS 解析和 TLS 握手极易失败错误信息晦涩难懂如Failed to read remote state: Get https://xxx.s3.amazonaws.com/...: net/http: request canceled while waiting for connection。我们选择本地状态文件运维规范terraform.tfstate文件不提交 Git由专人保管在加密 U 盘或离线 NAS每次apply前执行terraform refresh确保本地状态与云端一致关键变更如instance_type修改必须先terraform plan -outplan.out经三人交叉审核后再terraform apply plan.out每月 1 日凌晨 2 点通过cron自动执行cp terraform.tfstate terraform.tfstate.$(date %Y%m%d)备份。这种“原始”方式牺牲了协作便利性却赢得了确定性——你知道每一行 JSON 状态都对应真实的 AWS 资源而不是某个 S3 object 的 ETag。当某天发现 EC2 实例被误删你可以直接编辑terraform.tfstate将status: terminated改为status: running再terraform refresh资源就会神奇地“复活”。这不是 hack而是对状态本质的尊重。4. 应用部署的确定性闭环从 Git Tag 到 PM2 进程守护的完整链路部署的本质是将一份经过验证的代码快照以完全相同的方式加载到目标环境的内存中运行。在 Ubuntu 14.04 上这个过程必须绕过两个陷阱一是git clone的网络不确定性二是npm ci对package-lock.json的严格校验。4.1 Git 仓库的离线快照用 tarball 替代在线 clone很多教程教你在remote-exec里写git clone https://github.com/xxx/app.git这在 Ubuntu 14.04 上极不可靠git版本是 1.9.1不支持--shallow-sinceHTTPS 协议栈依赖过时的 NSS 库常卡在Resolving deltas阶段。更糟的是如果 GitHub 临时调整 TLS 策略如禁用 TLS 1.0整个部署就失败。我们的方案是在 CI 环境中将 Git 仓库按 Tag 打包为 tarball上传至 S3 私有桶再由 Terraform 下载解压。CI 脚本Jenkinsfile 片段stage(Build Artifact) { steps { script { def tag sh(script: git describe --tags --abbrev0, returnStdout: true).trim() sh git archive --formattar.gz --outputapp-${tag}.tar.gz ${tag} sh aws s3 cp app-${tag}.tar.gz s3://my-private-bucket/artifacts/ } } }Terraform 下载逻辑resource null_resource deploy_app { connection { type ssh host aws_instance.app_server.public_ip user ubuntu private_key file(~/.ssh/id_rsa) } provisioner remote-exec { inline [ mkdir -p /opt/myapp, cd /tmp aws s3 cp s3://my-private-bucket/artifacts/app-${var.app_version}.tar.gz ., cd /tmp tar -xzf app-${var.app_version}.tar.gz -C /opt/myapp --strip-components1, sudo chown -R www-data:www-data /opt/myapp, sudo chmod -R 755 /opt/myapp ] } }--strip-components1参数至关重要它去掉 tarball 顶层的目录名如myapp-1.2.3/直接解压到/opt/myapp避免路径嵌套。chown和chmod确保www-data用户拥有完全控制权这是后续npm ci和pm2 start的前提。4.2 npm ci 的精准执行为什么不用 npm installnpm install会根据package.json重新解析依赖树可能安装新版 minor patch导致node_modules与开发环境不一致。而npm ci严格按package-lock.json安装且会先删除整个node_modules目录再重建杜绝“残留依赖”引发的诡异 bug。但npm ci在 Ubuntu 14.04 上有个隐藏坑它默认使用npm的内置node-gyp而该版本的node-gyp会尝试调用python2.7但 Ubuntu 14.04 的python2.7默认不带distutils模块需额外安装python2.7-dev。解决方案是在deploy.sh中显式指定 Python 路径#!/bin/bash # scripts/deploy.sh set -e APP_DIR/opt/myapp cd $APP_DIR # 安装 python2.7-dev提供 distutils sudo apt-get update sudo apt-get install -y python2.7-dev # 指定 python 路径避免 node-gyp 自动探测失败 npm config set python /usr/bin/python2.7 # 清理并重装依赖 rm -rf node_modules npm ci --no-audit --onlyproduction # 创建符号链接指向 /data/cache 以复用缓存 mkdir -p node_modules/.cache ln -sf /data/cache/node_modules_cache node_modules/.cache--no-audit参数关闭安全审计因为npm audit会调用registry.npmjs.org的 API而该 API 在 2023 年后已强制要求 TLS 1.2Ubuntu 14.04 的npm无法完成握手。--onlyproduction确保只安装生产依赖节省时间和磁盘空间。4.3 PM2 的降级守护用 startup script 替代 systemdUbuntu 14.04 没有systemdupstart是默认 init 系统。但pm2 startup upstart命令在较新版本 PM2 中已被废弃且生成的/etc/init/pm2-www-data.conf文件在start on runlevel [2345]时可能因pm2未就绪而失败。我们采用最原始也最可靠的方式编写/etc/init.d/pm2-myapp脚本手动注册为系统服务。Terraform 执行该脚本的创建provisioner remote-exec { inline [ cat /tmp/pm2-myapp EOF, #!/bin/bash, #, # pm2-myapp Start and stop the myapp Node.js service, #, ### BEGIN INIT INFO, # Provides: pm2-myapp, # Required-Start: $local_fs $network $named $time $syslog, # Required-Stop: $local_fs $network $named $time $syslog, # Default-Start: 2 3 4 5, # Default-Stop: 0 1 6, # Description: PM2 process manager for myapp, ### END INIT INFO, , USERwww-data, APP_DIR/opt/myapp, PM2_CMD/opt/nodejs/bin/pm2, PM2_HOME/home/www-data/.pm2, , case \\$1\ in, start), echo \Starting myapp...\, su - \$USER -c \cd \$APP_DIR \$PM2_CMD start ecosystem.config.js --env production\, ;;, stop), echo \Stopping myapp...\, su - \$USER -c \\$PM2_CMD stop myapp\, ;;, restart), \$0 stop, sleep 3, \$0 start, ;;, *), echo \Usage: \$0 {start|stop|restart}\, exit 1, ;;, esac, , exit 0, EOF, sudo mv /tmp/pm2-myapp /etc/init.d/pm2-myapp, sudo chmod x /etc/init.d/pm2-myapp, sudo update-rc.d pm2-myapp defaults, sudo service pm2-myapp start ] }这个脚本的关键点su - \$USER -c以www-data用户身份执行pm2 start确保进程归属正确ecosystem.config.js是 PM2 的配置文件必须放在应用根目录内容如下// /opt/myapp/ecosystem.config.js module.exports { apps: [{ name: myapp, script: ./server.js, env: { NODE_ENV: production, PORT: 3000, LOG_DIR: /data/logs }, env_production: { NODE_ENV: production, PORT: 3000, LOG_DIR: /data/logs }, instances: 1, autorestart: true, watch: false, max_memory_restart: 200M, out_file: /data/logs/myapp-out.log, error_file: /data/logs/myapp-error.log, log_file: /data/logs/myapp-combined.log, time: true }] };max_memory_restart: 200M是针对 Ubuntu 14.04 内存管理的特别设置该系统内核的 OOM killer 对小内存进程更敏感设一个保守阈值可避免应用被误杀。log_file指向/data/logs/与前面挂载的 EBS 卷完美衔接。提示pm2 startup生成的脚本在 Ubuntu 14.04 上常因pm2 dump命令缺失而失败。手动编写 init.d 脚本虽然繁琐但每一行都是可验证、可调试的。当你发现应用启动失败时只需执行sudo service pm2-myapp status就能看到确切的错误输出而不是在journalctl里大海捞针因为 14.04 没有journalctl。5. 验证与可观测性在无 Prometheus、无 Grafana 的年代建立有效反馈部署完成不等于运行成功。在 Ubuntu 14.04 的封闭生态里你需要一套“够用就好”的验证机制既能快速确认服务可达又能捕获早期异常信号。5.1 三层健康检查从 TCP 到 HTTP 再到业务逻辑ELB 的健康检查不能只依赖 TCP 端口探测TCP:3000因为 Node.js 进程可能已启动但尚未完成数据库连接。我们必须实现一个轻量级的 HTTP 健康端点并在 Terraform 中集成验证逻辑。应用层Express 示例// server.js app.get(/healthz, (req, res) { // 检查数据库连接 db.query(SELECT 1, (err) { if (err) { console.error(DB health check failed:, err); return res.status(503).send(DB unavailable); } // 检查磁盘空间/data 卷 exec(df -P /data | tail -1 | awk \{print $5}\, (err, stdout) { if (err || parseInt(stdout.trim().replace(%, )) 90) { console.error(Disk space critical:, stdout); return res.status(503).send(Disk full); } res.status(200).send(OK); }); }); });Terraform 验证使用local-execcurlresource null_resource validate_health { depends_on [null_resource.deploy_app] provisioner local-exec { command EOT echo Waiting for health endpoint... for i in {1..60}; do if curl -f -s http://${aws_instance.app_server.public_ip}:3000/healthz; then echo Health check passed! exit 0 fi sleep 5 done echo Health check failed after 5 minutes exit 1 EOT } }这个循环最多等待 5 分钟每 5 秒探测一次。curl -f参数确保 HTTP 非 2xx 状态码时返回非零退出码触发 Terraform 中断。这是部署流水线的“最终闸门”只有它通过terraform apply才算真正成功。5.2 日志聚合的朴素方案用 rsync logrotate 构建离线分析链Ubuntu 14.04 没有rsyslog的 modern templatelogrotate也不支持postrotate脚本调用aws s3 cp因缺少awscli依赖。我们退回到最基础的rsync推送# /etc/cron.daily/push-logs #!/bin/bash LOG_DIR/data/logs BACKUP_DIR/backup/logs/$(date %Y%m%d) mkdir -p $BACKUP_DIR rsync -av --remove-source-files $LOG_DIR/*.log $BACKUP_DIR/ # 压缩并上传需提前配置 AWS 凭据 gzip $BACKUP_DIR/*.log aws s3 cp $BACKUP_DIR/ s3://my-logs-bucket/ --recursive --exclude * --include *.log.gz这个脚本每天凌晨运行将当日日志移动到/backup/logs/YYYYMMDD/压缩后上传 S3。关键参数--remove-source-files确保原日志被清除避免/data卷被占满--exclude *--include *.log.gz精确匹配压缩文件防止误传其他文件。5.3 性能基线的建立用 sysstat 抓取 CPU 与内存的“心跳”sysstat是 Ubuntu 14.04 官方源中唯一可用的系统性能采集工具。它默认每 10 分钟采样一次数据保存在/var/log/sysstat/可通过sar命令查询。Terraform 启用它provisioner remote-exec { inline [ sudo apt-get install -y sysstat, sudo sed -i s/ENABLED\false\/ENABLED\true\/ /etc/default/sysstat, sudo service sysstat restart ] }部署完成后运维人员可随时登录服务器执行# 查看过去 24 小时的平均 CPU 使用率 sar -u -f /var/log/sysstat/sa$(date -d yesterday %d) | tail -n 4 | awk {sum$3} END {print Avg CPU%:, sum/NR} # 查看内存使用峰值 sar -r -f /var/log/sysstat/sa$(date -d yesterday %d) | tail -n 4 | awk {if($4max) max$4} END {print Max %memused:, max}这些数字就是你的“性能基线”。当业务增长需要扩容时你拿出这份报告指着Avg CPU%: 78.3和Max %memused: 89.1比任何 PPT 都有说服力。最后分享一个小技巧在ecosystem.config.js中加入cron_restart: 0 3 * * *让 PM2 每天凌晨 3 点自动重启应用。这不是为了“清理内存”而是为了强制加载最新的ecosystem.config.js配置比如你修改了max_memory_restart同时规避 Node.js v12.x 在长时间运行后可能出现的EventEmitter内存泄漏。这个 cron 表达式在 Ubuntu 14.04 的crondaemonv3.0pl1上完全兼容是历经三年线上验证的“土法保鲜术”。

相关新闻