Jenkins基础教程（30）备份Jenkins 数据：Jenkins备份大法：给你的代码“堡垒”上把安全锁-优快云博客

Jenkins的数据，就像你未提交的代码，丢一次就懂了什么叫绝望。

一、为什么你的Jenkins需要定期备份？

Jenkins作为持续集成/持续部署（CI/CD）的核心，承载着项目构建、测试、部署的关键任务。它的数据丢失意味着什么？不仅仅是重建的麻烦，更可能导致整个开发流程停滞。

Jenkins数据主要包括：

任务配置：所有Jenkins Job的配置信息，包括构建脚本、参数设置、触发条件等。
构建历史：每次构建的结果、日志、趋势分析数据。
用户数据：用户账户、权限设置、安全配置。
插件配置：各种插件的设置和数据。
系统设置：全局工具配置、系统参数等。

根据Jenkins官方文档，拥有良好的Jenkins控制器备份至关重要，备份主要用于：灾难恢复、恢复旧配置（意外配置变更可能很长时间不会被发现）、恢复损坏或意外删除的文件。

备份频率建议：

开发环境：每周一次完整备份
测试环境：每日一次增量备份，每周一次完整备份
生产环境：每日多次增量备份，每日一次完整备份

二、Jenkins数据存储结构探秘

要有效备份Jenkins，首先需要了解它的数据存储结构。所有Jenkins数据都存储在JENKINS_HOME目录中。

典型的JENKINS_HOME目录结构如下：

$JENKINS_HOME/
├── jobs/
│   ├── <job_name>/
│   │   ├── config.xml          # Job的配置文件
│   │   ├── builds/             # Job的构建历史
│   │   │   ├── <build_number>/
│   │   │   │   ├── build.xml   # 构建元数据
│   │   │   │   └── log         # 构建日志
│   │   └── workspace/          # 构建过程中使用的工作空间
│   └── ...
├── plugins/                    # 安装的插件
├── users/                      # 用户账户和配置
├── config.xml                  # Jenkins主配置文件
└── ...                         # 其他配置和文件

JENKINS_HOME的默认位置：

Linux：/var/lib/jenkins
Windows：C:\Program Files (x86)\Jenkins
macOS：/Users/Shared/Jenkins/Home

你可以通过Jenkins的"系统管理" → "系统信息"页面查看JENKINS_HOME的实际路径。

三、Jenkins备份的多种姿势

Jenkins备份有多种方法，从简单手动备份到全自动方案，适合不同规模和需求的团队。

1. 文件系统快照备份

适用场景：大型部署、有存储系统支持的环境

文件系统快照提供最大程度的备份一致性，也比实时备份运行得更快，减少了在不同时间点复制不同数据的可能性。

支持文件系统快照的技术包括：

Linux Logical Volume Manager (LVM)
Linux btrfs
Solaris ZFS（还支持增量备份）
FreeBSD ZFS
OpenZFS on Linux
许多云提供商

优势：几乎零性能影响，备份速度快，恢复简单
劣势：需要特定的存储系统支持

2. 使用ThinBackup插件备份

适用场景：大多数Jenkins环境，特别是中小型部署

在开源插件中，只有ThinBackup插件目前仍在维护。这是大多数Jenkins用户的首选备份方案。

安装和配置步骤：

登录Jenkins管理界面，点击"Manage Jenkins" → "Manage Plugins"
在"Available"标签页中搜索"ThinBackup"，选择并安装该插件
安装完成后，重启Jenkins
配置ThinBackup：

- 进入"Manage Jenkins" → "ThinBackup"
- 点击"Settings"进入配置页面
- 主要配置项：

- - Backup directory：备份存储路径（如/backups/jenkins）
  - Backup schedule：备份计划（cron表达式，如0 2 * * *表示每天凌晨2点运行）
  - Files excluded from backup：排除备份的文件/目录（Ant风格路径）
  - Backup build results：是否备份构建结果
  - Backup user content：是否备份用户内容
  - Backup additional files：是否备份额外文件

保存设置后，可以点击"Backup Now"立即执行备份，或等待定时任务自动执行

ThinBackup进阶配置示例：

Backup directory: /mnt/backups/jenkins
Backup schedule: 0 2 * * *
Files excluded from backup: **/workspace/**, **/builds/**/artifacts/**
Full backup schedule: 0 1 * * 0
Max number of backup sets: 10

3. 自定义Shell脚本备份

适用场景：需要高度定制备份策略的环境

对于需要精细控制备份过程的团队，编写Shell脚本是灵活且强大的选择。

以下是一个完整的Jenkins备份脚本示例：

#!/bin/bash

# Jenkins备份脚本
# 作者：你的名字
# 描述：用于备份Jenkins数据

# 配置变量
JENKINS_HOME="/var/lib/jenkins"
BACKUP_ROOT="/mnt/backups/jenkins"
DATE=$(date +%Y%m%d_%H%M%S)
BACKUP_DIR="$BACKUP_ROOT/backup_$DATE"
BACKUP_NAME="jenkins_backup_$DATE.tar.gz"

# 创建备份目录
mkdir -p "$BACKUP_DIR"

echo "开始备份Jenkins数据: $(date)"

# 停止Jenkins服务（确保数据一致性）
echo "停止Jenkins服务..."
sudo systemctl stop jenkins

# 备份JENKINS_HOME主要内容
echo "备份Jenkins数据..."
cp -r "$JENKINS_HOME/config.xml" "$BACKUP_DIR/"
cp -r "$JENKINS_HOME/jobs" "$BACKUP_DIR/"
cp -r "$JENKINS_HOME/users" "$BACKUP_DIR/"
cp -r "$JENKINS_HOME/plugins" "$BACKUP_DIR/"
cp -r "$JENKINS_HOME/secrets" "$BACKUP_DIR/"

# 特别注意：不备份master.key，但记录其位置
echo "重要：确保master.key已单独备份到安全位置！"

# 重新启动Jenkins服务
echo "启动Jenkins服务..."
sudo systemctl start jenkins

# 创建压缩备份包
echo "创建压缩备份包..."
tar -czf "$BACKUP_ROOT/$BACKUP_NAME" -C "$BACKUP_ROOT" "backup_$DATE"

# 删除临时文件
rm -rf "$BACKUP_DIR"

# 保留最近7天的备份，删除旧备份
find "$BACKUP_ROOT" -name "jenkins_backup_*.tar.gz" -mtime +7 -delete

echo "备份完成: $BACKUP_ROOT/$BACKUP_NAME"
echo "备份时间: $(date)"

设置脚本可执行权限并定期执行：

chmod +x /path/to/jenkins_backup.sh
# 每天凌晨2点执行备份
echo "0 2 * * * /path/to/jenkins_backup.sh" | crontab -

4. 使用jenkins-backup-restore-cli工具

适用场景：喜欢命令行工具且需要云存储集成的环境

这是一个专门的Jenkins备份恢复Python CLI工具，可以通过pip安装。

安装和使用：

# 安装工具
pip3 install jenkins-backup-restore-cli

# 备份到本地目录
jenkins-backup-restore-cli backup-local --backup-destination-path /mnt/backups backup

# 备份到S3
jenkins-backup-restore-cli backup-s3 --backup-bucket-name my-jenkins-backups backup

# 从本地恢复
jenkins-backup-restore-cli restore-local --restore-source-path /mnt/backups/jenkins_backup.tar.gz restore

# 从S3恢复
jenkins-backup-restore-cli restore-s3 --restore-bucket-name my-jenkins-backups --artifact-destination-path /tmp restore

四、备份时需要包含（和排除）的内容

合理的备份内容选择可以显著影响备份大小和恢复时间。

必须备份的内容：

$JENKINS_HOME/config.xml：Jenkins主配置文件
$JENKINS_HOME/jobs/：所有任务配置和构建历史
$JENKINS_HOME/users/：用户账户和偏好设置
$JENKINS_HOME/plugins/：插件配置和數據
$JENKINS_HOME/secrets/：密钥和加密数据（但排除master.key）

可以排除的内容（减少备份大小）：

$JENKINS_HOME/jobs/*/workspace/：工作空间文件（通常可以从SCM重新拉取）
$JENKINS_HOME/jobs/*/builds/*/artifacts/：构建产物（如果已存档到别处）
$JENKINS_HOME/cache/：缓存文件
$JENKINS_HOME/tools/：工具文件（通常可以重新下载）
$JENKINS_HOME/logs/：日志文件（除非需要审计）

特别重要的安全注意事项：

根据Jenkins官方文档，永远不要将控制器密钥包含在常规备份中！

控制器密钥用于加密secrets目录中保护凭据的数据。它存储在$JENKINS_HOME/secrets/hudson.util.Secret文件中，并使用master.key加密。如果需要从备份恢复系统，将需要此文件。而且，如果其他人访问了你的备份并拥有此密钥，他们将拥有对你所有信息的完全访问权限。

你应该像对待SSH私钥一样对待控制器密钥，永远不要将其包含在常规备份中。相反，应单独备份master.key文件，并将其存储在与其他备份分开的非常安全的位置。这是一个很少更改的非常小的文件。如果需要执行完整系统恢复，将需要恢复系统的其余部分，然后单独应用master.key文件的备份。

五、实战演练：完整的Jenkins备份与恢复示例

场景描述

假设我们有一个运行在CentOS服务器上的Jenkins实例，需要实施完整的备份和恢复策略。

环境信息：

Jenkins版本：2.346.3
操作系统：CentOS 7
JENKINS_HOME：/var/lib/jenkins
备份存储：/mnt/backups/jenkins

步骤1：初始备份设置

#!/bin/bash
# jenkins_full_backup.sh

# 配置变量
JENKINS_HOME="/var/lib/jenkins"
BACKUP_DIR="/mnt/backups/jenkins"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
BACKUP_NAME="jenkins_full_$TIMESTAMP"
BACKUP_PATH="$BACKUP_DIR/$BACKUP_NAME"

# 创建备份目录
mkdir -p "$BACKUP_PATH"

echo "$(date): 开始Jenkins完整备份"

# 停止Jenkins服务
echo "停止Jenkins服务..."
sudo systemctl stop jenkins

# 等待服务完全停止
sleep 30

# 备份关键数据（排除workspace和artifacts减少备份大小）
echo "备份Jenkins数据..."
cp "$JENKINS_HOME/config.xml" "$BACKUP_PATH/"
cp -r "$JENKINS_HOME/jobs" "$BACKUP_PATH/"
cp -r "$JENKINS_HOME/users" "$BACKUP_PATH/"
cp -r "$JENKINS_HOME/plugins" "$BACKUP_PATH/"
cp -r "$JENKINS_HOME/secrets" "$BACKUP_PATH/"

# 特别备份插件列表（便于恢复时验证）
cp "$JENKINS_HOME/plugins/*.jpi" "$BACKUP_PATH/plugins_list/"

# 创建安装插件列表
ls "$JENKINS_HOME/plugins/" | grep ".hpi" | sed 's/.hpi//g' > "$BACKUP_PATH/installed_plugins.list"

# 重新启动Jenkins服务
echo "启动Jenkins服务..."
sudo systemctl start jenkins

# 创建压缩备份包
echo "创建压缩备份包..."
tar -czf "$BACKUP_PATH.tar.gz" -C "$BACKUP_DIR" "$BACKUP_NAME"

# 清理临时文件
rm -rf "$BACKUP_PATH"

# 记录备份元数据
echo "备份完成: $BACKUP_PATH.tar.gz"
echo "备份大小: $(du -h "$BACKUP_PATH.tar.gz" | cut -f1)"
echo "备份内容:"
echo "- Jenkins配置"
echo "- 所有任务配置"
echo "- 用户数据"
echo "- 插件配置"
echo "- 安全数据"

# 保留策略：删除30天前的备份
find "$BACKUP_DIR" -name "jenkins_full_*.tar.gz" -mtime +30 -delete

echo "$(date): Jenkins备份完成"

步骤2：配置定期备份

# 添加cron任务，每天凌晨1点执行备份
sudo crontab -e
# 添加以下行：
0 1 * * * /opt/scripts/jenkins_full_backup.sh >> /var/log/jenkins_backup.log 2>&1

步骤3：恢复演练

当需要恢复Jenkins数据时（例如迁移到新服务器），以下是恢复步骤：

#!/bin/bash
# jenkins_restore.sh

# 配置变量
RESTORE_FILE="/mnt/backups/jenkins/jenkins_full_20231115_010000.tar.gz"
JENKINS_HOME="/var/lib/jenkins"
TEMP_RESTORE_DIR="/tmp/jenkins_restore"

echo "$(date): 开始恢复Jenkins数据"

# 验证备份文件
if [ ! -f "$RESTORE_FILE" ]; then
    echo "错误: 备份文件不存在: $RESTORE_FILE"
    exit 1
fi

# 停止Jenkins服务
echo "停止Jenkins服务..."
sudo systemctl stop jenkins

# 创建临时恢复目录
mkdir -p "$TEMP_RESTORE_DIR"

# 解压备份文件
echo "解压备份文件..."
tar -xzf "$RESTORE_FILE" -C "$TEMP_RESTORE_DIR"

# 备份当前数据（以防恢复失败需要回滚）
echo "备份当前数据..."
sudo cp -r "$JENKINS_HOME" "$JENKINS_HOME.backup.$(date +%Y%m%d_%H%M%S)"

# 清理当前Jenkins目录（保留权限）
echo "清理当前Jenkins目录..."
sudo find "$JENKINS_HOME" -maxdepth 1 -name "*" -type f -exec rm -f {} \;
sudo find "$JENKINS_HOME" -mindepth 1 -maxdepth 1 -type d ! -name "workspace" -exec rm -rf {} \;

# 恢复数据
echo "恢复数据..."
sudo cp "$TEMP_RESTORE_DIR"/*/config.xml "$JENKINS_HOME/"
sudo cp -r "$TEMP_RESTORE_DIR"/*/jobs "$JENKINS_HOME/"
sudo cp -r "$TEMP_RESTORE_DIR"/*/users "$JENKINS_HOME/"
sudo cp -r "$TEMP_RESTORE_DIR"/*/plugins "$JENKINS_HOME/"
sudo cp -r "$TEMP_RESTORE_DIR"/*/secrets "$JENKINS_HOME/"

# 设置正确的文件和目录权限
echo "设置权限..."
sudo chown -R jenkins:jenkins "$JENKINS_HOME"
sudo chmod 600 "$JENKINS_HOME/secrets/"*
sudo chmod 644 "$JENKINS_HOME/config.xml"
sudo chmod 755 "$JENKINS_HOME/jobs"

# 启动Jenkins服务
echo "启动Jenkins服务..."
sudo systemctl start jenkins

# 清理临时文件
rm -rf "$TEMP_RESTORE_DIR"

echo "$(date): Jenkins数据恢复完成"
echo "请访问Jenkins界面验证恢复结果"
echo "检查任务、用户和插件是否正常"

步骤4：恢复后验证

恢复完成后，需要进行全面验证：

检查Jenkins服务状态：

systemctl status jenkins

查看启动日志：

tail -f /var/log/jenkins/jenkins.log

Web界面验证：

- 登录Jenkins管理界面
- 检查所有任务是否恢复
- 验证构建历史是否完整
- 检查用户和权限设置
- 确认插件功能正常

执行测试构建：

- 选择一个简单任务执行构建
- 验证构建日志和结果

六、高级备份策略与最佳实践

1. 多级备份策略

完整备份：每周一次，包含所有必要数据
增量备份：每日一次，只备份变更的数据

#!/bin/bash
# jenkins_incremental_backup.sh

# 增量备份脚本
JENKINS_HOME="/var/lib/jenkins"
BACKUP_DIR="/mnt/backups/jenkins/incremental"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)

# 使用rsync进行增量备份
rsync -av --delete \
  --exclude='workspace/' \
  --exclude='builds/*/artifacts/' \
  --exclude='cache/' \
  --link-dest="../latest" \
  "$JENKINS_HOME/" \
  "$BACKUP_DIR/backup_$TIMESTAMP"

# 更新latest链接
rm -f "$BACKUP_DIR/latest"
ln -s "backup_$TIMESTAMP" "$BACKUP_DIR/latest"

2. 备份加密和安全管理

# 使用GPG加密备份文件
gpg --encrypt --recipient "backup-admin@company.com" \
  --output "$BACKUP_PATH.tar.gz.gpg" \
  "$BACKUP_PATH.tar.gz"

# 备份完成后删除未加密的原始文件
rm -f "$BACKUP_PATH.tar.gz"

3. 跨平台备份考虑

如果Jenkins部署在Docker中，备份策略需要调整：

# 备份Docker中的Jenkins
docker commit jenkins_container jenkins_backup
docker save -o /mnt/backups/jenkins/jenkins_container_$(date +%Y%m%d).tar jenkins_backup

# 同时备份数据卷
docker run --rm --volumes-from jenkins_container \
  -v /mnt/backups/jenkins:/backup \
  alpine tar -czf /backup/jenkins_home_$(date +%Y%m%d).tar.gz /var/jenkins_home

4. 备份监控和告警

# 备份成功/失败通知脚本
#!/bin/bash
# backup_notification.sh

BACKUP_SCRIPT="/opt/scripts/jenkins_full_backup.sh"
LOG_FILE="/var/log/jenkins_backup.log"

# 执行备份
$BACKUP_SCRIPT > $LOG_FILE 2>&1
EXIT_CODE=$?

if [ $EXIT_CODE -ne 0 ]; then
    # 备份失败，发送告警
    echo "Jenkins备份失败，退出代码: $EXIT_CODE" | \
    mail -s "Jenkins备份失败告警" admin@company.com
else
    # 备份成功，记录日志
    echo "$(date): 备份成功完成" >> /var/log/backup_audit.log
fi