奥利给！ 如果你正为项目的持续集成和交付苦恼， 或者想在自己的服务器上玩转自动化流水线，那么这篇文章就是为你准备的「小甜点」——从零开始手把手教你在 Debian 系统上装起 Jenkins，接着把它打造成一台可靠的 CI/CD 引擎。

一、 先热热身：准备工作别偷懒

在正式动手之前，先检查以下几点：

• 系统版本：建议使用 Debian 10或更高的稳定版。
• 网络通畅：apt update 能成功访问外网。
• 拥有 root 或 sudo 权限。
• 防火墙已放行 8080 端口。

顺便说一句，喝杯咖啡再继续吧——代码写得好，咖啡也要跟得上。

二、 Java 环境是根基：装 OpenJDK 11

佛系。 Jenkins 是基于 Java 的服务，缺少 JDK 那就像没有发动机的跑车，一切都是空谈。

# 更新系统
sudo apt update && sudo apt upgrade -y
# 安装 OpenJDK 11
sudo apt install -y openjdk-11-jdk
# 验证安装
java -version

如果看到类似 “openjdk version "11.0.xx"” 的输出， 恳请大家... 就说明已经稳稳当当地装好了。

三、 导入 Jenkins 官方 GPG Key & 添加 APT 源

为了保证软件包的完整性，需要先把官方的签名密钥拉下来然后再把仓库写进 /etc/apt/sources.list.d/jenkins.list。 闹乌龙。 下面这段命令在很多教程里都能看到——这里我们稍作改过让它更贴合新版 Debian 的平安策略。

# 下载并导入 Jenkins GPG key
wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | sudo gpg --dearmor -o /usr/share/keyrings/jenkins-keyring.gpg
# 添加 Jenkins Debian 仓库到源列表
echo "deb  https://pkg.jenkins.io/debian-stable binary/" | sudo tee /etc/apt/sources.list.d/jenkins.list
# 更新 APT 包列表以包含 Jenkins 仓库
sudo apt update

注意：apt-key 在较新 Debian 版本中已被弃用， 简直了。 上面的写法才是「官方推荐」的做法。

四、一键装上 Jenkins：简单又稳妥

# 安装 Jenkins
sudo apt install -y jenkins
# 设置 Jenkins 开机自启动
sudo systemctl enable jenkins
# 启动服务
sudo systemctl start jenkins
# 检查状态
sudo systemctl status jenkins

如果 Status: active 那就算是成功登场了。如果不跑， 那赶紧翻看日志：，太治愈了。

# 查看日志定位问题
sudo journalctl -u jenkins -f

五、首次访问：解锁初始密码并创建管理员账户

打开浏览器访问 ，页面会提示输入初始管理员密码：

# 查看初始管理员密码
sudo cat /var/lib/jenkins/secrets/initialAdminPassword

复制输出内容粘贴进去，然后按照向导完成插件推荐安装与管理员账号创建。这里有个小技巧——直接点「跳过插件安装」，后面我们会手动挑选必备插件，这样可以省掉一些冗余组件，要我说...。

常用插件清单

\

#	插件名称	作用说明
1	Pipelines	核心流水线支持，几乎所有 CI 都离不开它。
2	Git Plugin	从 Git 仓库拉代码，是最常用的源码管理插件。
3	Docker Pipeline	K8s/Docker 环境下构建镜像的神器。
4	Email Extension Plugin	构建完成后发送邮件通知，可自定义模板。
5	bouncycastle API Plugin	AES 加密，提升凭据平安性。
……还有很多， 根据项目需求自行挑选 …​​​​​​​​​​​​​​​​​​​​ ​​​​​​​​​​​​​​​​​​​​​​​

六、示例 Pipeline 脚本：从代码到上线全流程演绎 🎬

The following is a classic Declarative Pipeline that fits most Python 项目，也可以直接套用到 Node.js / Java 项目， 太顶了。 只要把对应的构建指令改掉即可。下面这段脚本已经在我们公司的生产环境里跑通三个月，没有出现致命错误——所以请放心使用！

pipeline {
    agent any          // 使用任何可用节点
    environment {
        // 示例环境变量， 可根据实际需求添加
        PYTHONUNBUFFERED = '1'
    }
    stages {
        stage {
            steps {
                git url: 'https://github.com/your-org/your-repo.git', branch: 'main'
            }
        }
        stage {
            steps {
                sh 'python -m pytest tests/'
            }
        }
        stage {
            steps {
                sh 'python setup.py sdist bdist_wheel'
                archiveArtifacts artifacts: 'dist/*.whl', fingerprint: true
            }
        }
        stage {
            steps {
                script {
                    dockerImage = docker.build
                }
            }
        }
        stage {
            when { branch 'main' }
            steps {
                // 假设有一个部署脚本 deploy.sh 已经写好
                sh './deploy.sh ${env.BUILD_NUMBER}'
            }
        }
    }
    post {
        always {
            mail to: '',
                 subject: "构建 #${env.BUILD_NUMBER} 完成",
                 body: "状态：${currentBuild.currentResult}"
        }
        failure {
            slackSend channel: '#ci-failures', message: "⚠️ Build ${env.BUILD_NUMBER} failed!"
        }
    }
}

如果你对 Groovy 不太熟悉，可以先把上面的脚本复制粘贴进 Jenkins 新建任务 → 流水线 → 脚本框里然后点「保存」+「马上构建」试试看。若出现错误， 只要打开控制台输出，一行行对照修正即可——别忘了查看“Stage”标签，它们会帮你定位到底是哪个环节卡住了。

七、 防火墙 & 网络平安 小贴士 🛡️

事实上... CICD 平台往往暴露在外网，平安不可忽视。下面给出 UFW 防火墙放行示例：

# 允许 Jenkins 默认端口 8080
sudo ufw allow 8080/tcp
# 检查规则是否生效
sudo ufw status verbose

If you use firewalld or iptables, just replace command accordingly.，不堪入目。

进一步硬化建议：

AWS/GCP 等云平台请绑定平安组， 仅允许公司内部 IP 访问； Nginx 或 Apache 做反向代理，并启用 HTTPS； LTS 版 Jenkins 每月检查更新，及时打补丁； MFA + LDAP 集成，提高登录平安性； SFTP 挂载工作区时把权限降到最小，只读或仅写入需要的目录。 \ \ \ \ \ \ \ \，给力。

\

八、监控 & 性能调优 —— 把玩具变成生产级别 🚀

The bare‑metal installation works fine for small teams, but once traffic climbs, you’ll feel pressure.

CPU & 内存Jenkins 默认占用约 256 MB RAM + 单核 CPU。若并发任务超过 5 条， 请考虑将 JVM 参数调高，比方说在 /etc/default/jenkins: J娱乐A_ARGS="-Xms512m -Xmx2048m"； 磁盘 I/O工作区和 Maven 本地仓库最好放在 SSD 上，否则依赖下载会慢成乌龟； 垃圾回收使用 G1 垃圾回收器 -XX:+UseG1GC 可显著降低 GC 暂停时间； 分布式施行通过添加 Slave 节点，让主节点只负责调度，提高整体吞吐量； 日志轮转默认日志文件会无限增长，在 /etc/logrotate.d/jenkins 加入轮转规则，以免磁盘被吃满，对吧，你看。。

---

温馨提醒： 务必定期备份 $JENKINS_HOME ，否则意外宕机可能导致配置丢失；，哈基米！

禁用不必要的匿名访问，将全局平安设置调至 “只允许登录用户”；

开启 CSRF 防护和 X‑Frame‑Options，以抵御跨站攻击；

KTV你。 如果团队规模扩大，可考虑迁移到 Kubernetes 中运行官方提供的 Helm Chart，这样弹性伸缩更自然。

©2026 技术分享社区 · 本文仅供学习交流，如有侵权请联系删除

--- END ---

---