IT资源栈写在前面
DevOps工作有一个特点:经常需要写各种配置文件和脚本,但每个项目的情况都不一样,完全从零写费时费力,套用模板又容易有遗漏。
YAML配置、Shell脚本、Dockerfile、监控告警规则……这些东西每次都要查文档,写完了还不确定有没有问题。Claude 4.6在这类”套路明确但细节繁琐”的任务上表现很好,能快速生成符合你实际情况的配置,同时帮你发现安全和性能隐患。
CI/CD流水线配置
GitHub Actions流水线
帮我为以下项目生成GitHub Actions CI/CD配置:
项目信息:
- 后端:Node.js + TypeScript,使用Jest做测试
- 前端:React + Vite,使用Playwright做E2E测试
- 部署目标:阿里云ECS(通过SSH部署)
- Docker Registry:阿里云ACR
需要的流水线:
CI(在任何分支的PR上触发):
1. 安装依赖(使用缓存)
2. TypeScript类型检查
3. ESLint代码检查
4. 运行Jest单元测试(生成覆盖率报告)
5. 构建检查(npm run build不报错)
CD(仅在main分支合并后触发):
1. 构建Docker镜像
2. 推送到ACR
3. SSH登录服务器,拉取新镜像,滚动更新
4. 健康检查(等待新容器健康后才算部署成功)
5. 失败时自动回滚到上一版本
安全要求:
- 不能在配置文件里明文写任何密钥
- ACR登录凭证、SSH密钥都通过GitHub Secrets管理
Claude会生成完整的.github/workflows/ci.yml和cd.yml,包含所有步骤、缓存策略、Secret引用和回滚逻辑。
GitLab CI流水线
帮我生成GitLab CI的流水线配置(.gitlab-ci.yml):
项目:Python FastAPI后端服务
阶段:
1. test:单元测试 + 集成测试(使用Docker服务运行PostgreSQL和Redis)
2. security:SAST扫描(使用GitLab内置模板)
3. build:构建Docker镜像,打标签(latest + commit SHA)
4. deploy-staging:自动部署到staging环境(develop分支)
5. deploy-production:手动触发部署到生产环境(main分支)
要求:
- 使用GitLab Container Registry存储Docker镜像
- staging和production使用不同的环境变量(通过GitLab CI/CD Variables管理)
- 部署任务只在特定分支执行
- 缓存pip依赖加速构建
Docker和容器化配置
生产级Dockerfile
帮我为以下应用写生产级Dockerfile:
应用:Node.js Express API服务
特殊要求:
- 多阶段构建(构建阶段、运行阶段分离,减小镜像体积)
- 不使用root用户运行应用
- 包含健康检查(/health接口)
- 处理进程信号(SIGTERM优雅关闭)
- 不包含.git目录、node_modules开发依赖等不必要文件
请同时给出:
1. Dockerfile
2. .dockerignore文件
3. 构建和运行命令
4. 一个常见的镜像体积优化问题(你看到的)
Docker Compose本地开发环境
帮我写一个完整的docker-compose.yml,用于本地开发:
服务:
- API后端(Node.js,本地代码挂载进去,支持热重载)
- PostgreSQL 15(数据持久化)
- Redis 7(数据持久化)
- Nginx(本地SSL反向代理,模拟生产环境)
- adminer(数据库管理界面)
要求:
- 所有服务使用同一个Docker network
- 数据库和Redis的数据用volume持久化
- 环境变量从.env文件读取
- 提供一个初始化数据库的SQL脚本(在PostgreSQL容器第一次启动时执行)
- 本地HTTPS需要自签名证书,顺便给我生成证书的命令
监控和告警配置
Prometheus + Grafana监控
帮我配置Prometheus监控以下服务,并提供Grafana Dashboard配置:
监控目标:
1. Node.js API服务(使用prom-client暴露metrics)
2. PostgreSQL数据库(使用postgres_exporter)
3. Redis(使用redis_exporter)
4. Nginx(使用nginx-prometheus-exporter)
需要监控的指标:
- API:请求量、错误率、响应时间P95/P99、内存使用
- 数据库:连接数、查询耗时、慢查询数量、表大小
- Redis:命中率、内存使用、连接数
- 服务器:CPU、内存、磁盘、网络
告警规则(Alertmanager):
- API错误率超过1%持续5分钟:发邮件
- 数据库连接数超过80%:发邮件
- 任何服务宕机:立即发邮件+钉钉
请给出完整的配置文件(prometheus.yml、alert_rules.yml、alertmanager.yml)
Node.js应用的metrics代码
帮我在Express应用里集成Prometheus metrics收集:
需要收集的指标:
1. HTTP请求数(按路径、方法、状态码分维度)
2. 请求响应时间(histogram,用于计算P95)
3. 数据库查询时间(按查询类型)
4. 业务指标(当前在线用户数、今日下单量)
要求:
- 使用prom-client
- /metrics接口只允许内部IP访问(不对外暴露)
- 不采集包含用户ID的路径(避免高基数)
- 提供一个middleware,自动为所有HTTP请求打metrics
给出完整的实现代码。
Shell脚本自动化
数据库备份脚本
帮我写一个PostgreSQL数据库备份Shell脚本:
要求:
- 每天凌晨2点自动执行(给出crontab配置)
- 备份文件压缩(gzip)
- 保留最近30天的备份,超过30天的自动删除
- 备份完成后上传到阿里云OSS(使用ossutil命令行工具)
- 成功/失败都发送钉钉通知(给出Webhook接口调用方式)
- 备份文件名包含时间戳:db_backup_2026-04-11_02-00-00.sql.gz
安全要求:
- 数据库密码不能明文写在脚本里,从环境变量读取
- 上传到OSS后本地临时文件要删除
请给出完整的脚本,以及如何测试脚本是否正常工作。
服务器初始化脚本
帮我写一个新Ubuntu 22.04服务器的初始化Shell脚本:
需要做的事:
1. 系统更新
2. 安装必要工具(curl、wget、git、vim、htop、unzip)
3. 安装Docker和Docker Compose
4. 配置防火墙(ufw):只开放22、80、443端口
5. 禁用密码登录,只允许SSH密钥
6. 创建一个非root的部署用户(deploy),加入docker组
7. 配置时区(Asia/Shanghai)
8. 配置swap(8GB)
9. 安装fail2ban防暴力破解
10. 配置日志轮转
脚本要求:
- 每步操作有日志输出
- 有错误检查(重要步骤失败时停止执行)
- 幂等性(重复运行不会出错)
- 脚本开头有使用说明
Nginx配置优化
帮我审查和优化这个Nginx配置:
[粘贴当前nginx.conf]
关注点:
1. 安全配置(缺少的安全header、SSL配置是否安全)
2. 性能配置(gzip压缩、缓存、keepalive)
3. 反向代理配置(upstream是否有健康检查、超时设置是否合理)
4. 日志格式(是否包含必要的信息用于排查问题)
请给出优化后的完整配置和每项修改的说明。
国内如何使用
DevOps任务适合在claude.ai网页版处理,把配置文件粘贴进去,描述需求,直接得到修改后的版本。
Claude Code(CLI工具)更适合持续的Infrastructure as Code工作:在项目里启动,可以直接读取现有配置文件,做系统性的审查和改进。
如果需要把Claude集成进运维工作流(比如自动分析日志并生成工单),可以通过API接入。国内开发者通过 Code80 接入,支持国内支付,换endpoint即可使用,与官方API完全兼容。详情:code.ai80.vip
常见问题
Q:Claude生成的Shell脚本可以直接在生产环境执行吗?
A:不建议直接在生产环境运行,特别是涉及删除文件、修改系统配置的脚本。建议在测试环境先验证,读懂每一行命令的作用,再在生产环境执行。删除类操作加--dry-run或者先用echo替代实际命令测试逻辑。
Q:Claude对国内云服务(阿里云OSS、ACR等)的了解准确吗?
A:基本准确,但阿里云产品更新较快,Claude可能不了解最新的CLI命令或API变化。涉及具体命令和参数时,建议去阿里云官方文档核实。
Q:生成的Dockerfile有安全问题吗?
A:Claude通常会注意基本的Dockerfile安全实践(非root用户、多阶段构建等),但具体的基础镜像安全漏洞需要用Trivy等工具扫描。生产镜像建议定期重新构建以获取最新的基础镜像安全更新。
Q:CI/CD配置里的Secret管理建议有什么注意事项?
A:Claude会在配置里引用Secret,但Secret的实际设置需要你在对应平台(GitHub Settings → Secrets、GitLab CI/CD Variables)里手动配置。不要把密钥写在代码仓库里,即使是私有仓库。
评论前必须登录!
立即登录 注册