Phần 7 — Pipeline thực tế: Next.js + Docker + VPS deploy

Series GitHub Actions Toàn Tập — 8 phần:

1. Phần 1 — Tổng quan: CI/CD, GitHub Actions và các khái niệm cốt lõi

2. Phần 2 — Workflow YAML đầu tiên và Triggers nâng cao

3. Phần 3 — Secrets, Variables và Environment protection

4. Phần 4 — Matrix builds, Caching và Artifacts

5. Phần 5 — Self-hosted Runner: cài đặt, security, auto-scaling

6. Phần 6 — Reusable Workflows và Composite Actions

7. Phần 7 — Pipeline thực tế: Next.js + Docker + VPS deploy ← bạn đang đọc

8. Phần 8 — Best practices, Debug và OIDC hardening

Mở đầu

Đến phần thực hành. Ta dựng một pipeline đầy đủ cho Next.js app — gộp mọi kỹ thuật từ các phần trước: test trên GitHub-hosted, build Docker image với GHA cache cho Docker layer, push lên GitHub Container Registry (GHCR), rồi deploy lên VPS qua self-hosted runner trong cùng mạng nội bộ. Bonus: environment protection ép phải có approval trước khi deploy production.

1. Pipeline thực tế — Next.js + Docker + VPS

Ví dụ đầy đủ: build Next.js app, đóng thành Docker image, đẩy lên GitHub Container Registry (GHCR), rồi SSH vào VPS để deploy.

name: Deploy Next.js

on:
  push:
    branches: [main]

env:
  IMAGE: ghcr.io/${{ github.repository }}

jobs:
  test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: '20'
          cache: 'pnpm'
      - uses: pnpm/action-setup@v4
        with: { version: 9 }
      - run: pnpm install --frozen-lockfile
      - run: pnpm lint
      - run: pnpm test
      - run: pnpm build

  build-image:
    needs: test
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write
    steps:
      - uses: actions/checkout@v4
      - uses: docker/setup-buildx-action@v3
      - uses: docker/login-action@v3
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}
      - uses: docker/build-push-action@v6
        with:
          push: true
          tags: |
            ${{ env.IMAGE }}:${{ github.sha }}
            ${{ env.IMAGE }}:latest
          cache-from: type=gha
          cache-to: type=gha,mode=max

  deploy:
    needs: build-image
    runs-on: [self-hosted, production]
    environment: production
    steps:
      - name: Pull & restart container
        run: |
          docker pull ${{ env.IMAGE }}:${{ github.sha }}
          docker stop myapp || true
          docker rm myapp || true
          docker run -d --name myapp \
            --restart unless-stopped \
            -p 3000:3000 \
            --env-file /opt/myapp/.env \
            ${{ env.IMAGE }}:${{ github.sha }}

Phân tích kiến trúc:

1. Job test chạy trên runner GitHub-hosted (rẻ, sạch).

2. Job build-image cũng dùng GitHub-hosted — push image lên GHCR.

3. Job deploy chạy trên self-hosted runner đặt trong cùng mạng với VPS production. Tránh expose SSH key và dùng được private network.

4. environment: production ép phải có approval (configure ở repo settings).

5. cache-from/cache-to: type=gha dùng GitHub Actions cache cho Docker layer — giảm thời gian build từ 5 phút xuống 30 giây sau lần đầu.

Tóm tắt

Trong phần này bạn đã nắm:

• Pipeline 3 job: test (GitHub-hosted) → build-image (GitHub-hosted, push GHCR) → deploy (self-hosted, pull & restart container).

• GHA cache cho Docker layer: cache-from/cache-to: type=gha giảm thời gian build từ 5 phút xuống ~30s sau lần đầu.

• Self-hosted deploy job tránh expose SSH key, dùng được private network giữa runner và VPS.

• environment: production + setting Required reviewers = approval gate trước mỗi deploy production.

Trong Phần 8 (phần cuối series), ta tổng kết: best practices vận hành pipeline, kỹ thuật debug khi workflow lỗi, và OIDC hardening để bỏ long-lived cloud credentials khỏi pipeline.

Phần 8: Best practices, Debug và OIDC hardening →