Як правильно розгортатись при використанні перемикача розробки / виробництва Composer?

Композитор має можливість завантажувати кілька залежностей лише під час розробки, тому інструменти не будуть встановлені у виробництві (на реальному сервері). Це (теоретично) дуже зручно для сценаріїв, які мають сенс лише в розробці, як тести, підроблені дані-інструменти, налагоджувач тощо.

Шлях слід додати додатковий require-devблок із необхідними інструментами у розробці:

"require-dev": {
    "codeception/codeception": "1.6.0.3"
}

а потім (теоретично) завантажувати ці залежності через

composer install --dev

Проблема та питання:

Композитор змінив поведінку installі updateв 2013 році кардинально змінив , require-dev-залежності тепер встановлені за замовчуванням (!), Сміливо створюйте composer.json з require-devблоком і виконайте composer installвідтворення.

Оскільки найприйнятнішим способом розгортання є підштовхування композитора. замок (що містить поточну настройку композитора), а потім зробіть composer installна виробничому сервері, це також встановить розробку.

Який правильний спосіб розгорнути це без встановлення залежності -dev?

_{Примітка. Я намагаюся створити тут канонічне запитання для пояснення дивного розгортання композитора. Не соромтесь редагувати це питання.}

Чому?

ІМХО є вагомою причиною, чому композитор сьогодні використовуватиме --devпрапор за замовчуванням (при встановленні та оновленнях). Композитор здебільшого працює в сценарії, де така бажана поведінка:

Основний робочий процес композитора:

• Починається новий проект:, composer.phar install --devjson та файли блокування передаються в VCS.
• Інші розробники починають працювати над проектом: замовлення VCS та composer.phar install --dev.
• Розробник додає залежності:, composer.phar require <package>додайте, --devякщо ви хочете, щоб пакет був у require-devрозділі (і виконувати зобов'язання).
• Інші йдуть: (замовлення та) composer.phar install --dev.
• Розробник хоче новіші версії залежностей: composer.phar update --dev <package>(і виконувати).
• Інші йдуть: (замовлення та) composer.phar install --dev.
• Проект розгорнуто: composer.phar install --no-dev

Як бачимо, --devпрапор використовується (набагато) більше, ніж --no-devпрапор, особливо коли кількість розробників, що працюють над проектом, зростає.

Виробництво розгорнути

Який правильний спосіб розгорнути це без встановлення залежності "dev"?

Ну, composer.jsonі composer.lockфайл повинен бути призначений для VCS. Не опускайте, composer.lockоскільки вона містить важливу інформацію про версії пакету, які слід використовувати.

Виконуючи виробниче розгортання, ви можете передати --no-devпрапор композитору:

composer.phar install --no-dev

Цей composer.lockфайл може містити інформацію про пакети розробки. Це не має значення. --no-devПрапор буде переконатися , що ці DEV-пакети не встановлені.

Коли я кажу "виробниче розгортання", я маю на увазі розгортання, яке спрямоване на використання у виробництві. Я не сперечаюся, чи composer.phar installслід це робити на виробничому сервері чи на інсталювальному сервері, де речі можна переглянути. Це не є сферою цієї відповіді. Я просто вказую, як це зробити composer.phar installбез встановлення "dev" залежності.

Не по темі

--optimize-autoloaderПрапор може бути також бажаний на виробництві (він генерує клас-карту , яка прискорить самозарядну в додатку):

composer.phar install --no-dev --optimize-autoloader

Або коли виконано автоматичне розгортання:

composer.phar install --no-ansi --no-dev --no-interaction --no-plugins --no-progress --no-scripts --no-suggest --optimize-autoloader

Якщо кодова підтримує це, ви могли б поміняти --optimize-autoloaderна --classmap-authoritative. Більше інформації тут

Власне, я б дуже рекомендував ПРОТИ встановлювати залежності на виробничому сервері.

Моя рекомендація полягає в тому, щоб перевірити код на машині розгортання, встановити залежності за потребою (це включає НЕ встановлення залежностей від розробників, якщо код переходить у виробництво), а потім перемістити всі файли на цільову машину.

Чому?

• при спільному розміщенні хостингу ви не зможете потрапити до командного рядка
• навіть якщо ви це зробили, PHP може бути обмежений там з точки зору команд, пам'яті чи доступу до мережі
• Інструменти CLI сховища (Git, Svn), ймовірно, не будуть встановлені, що не вдасться, якщо ваш файл блокування зафіксував залежність від оформлення певної комісії замість завантаження цього комітету як ZIP (ви використовували --prefer-source або Composer немає іншого способу отримати цю версію)
• якщо ваша виробнича машина більше нагадує невеликий тестовий сервер (думаю, мікропримірник Amazon EC2), ймовірно, недостатньо пам'яті, встановленої для виконання composer install
• в той час як композитор намагається не порушувати речі, як ви ставитеся до закінчення частково зламаного веб-сайту про виробництво, оскільки деяка випадкова залежність не могла бути завантажена під час фази встановлення композиторів

Довга коротка історія: Використовуйте композитор у середовищі, яке ви можете контролювати. Ваша машина розробки справді відповідає тому, що у вас вже є всі речі, необхідні для роботи Composer.

Який правильний спосіб розгорнути це без встановлення залежності -dev?

Команда, яку потрібно використовувати, - це

composer install --no-dev

Це буде працювати в будь-якому середовищі, будь то сам виробничий сервер, або машина розгортання, або машина розробки, яка повинна зробити останню перевірку, щоб виявити, чи якась вимога розробника неправильно використовується для реального програмного забезпечення.

Команда не буде встановлювати або активно видаляти вимоги розробника, оголошені у файлі composer.lock.

Якщо ви не заперечуєте над розгортанням компонентів програмного забезпечення для розробки на виробничому сервері, запуск composer installбуде виконувати ту саму роботу, але просто збільшить кількість байтів, переміщених навколо, а також створить більшу декларацію автозавантажувача.

Тепер require-devувімкнено за замовчуванням, для локальної розробки ви можете обійтися composer installі composer updateбез цього --devваріанту.

Коли ви хочете розгорнути виробництво, вам потрібно буде переконатися, що в ньому composer.lockнемає пакетів, що надійшли require-dev.

Ви можете це зробити за допомогою

composer update --no-dev

Після локального тестування --no-devви зможете розгорнути все на виробництво та встановлення на основі composer.lock. Тут вам --no-devзнову потрібна опція, інакше композитор скаже «Файл блокування не містить інформації, необхідної для розробників» .

composer install --no-dev

Примітка. Будьте уважні до всього, що може потенційно ввести відмінності між розробником та виробництвом! Я, як правило, намагаюся уникати затребуваних розробників, коли це можливо, оскільки включення інструментів для розробників не є великими накладними витратами.

На виробничих серверах перейменувати vendorв vendor-<datetime>, і під час розгортання матиме два постачальник каталоги.

Файл cookie HTTP змушує мою систему обрати нового постачальника autoload.php, і після тестування я роблю повністю атомний / миттєвий перемикач між ними, щоб відключити старий реєстр постачальників для всіх майбутніх запитів, після чого я видаляю попередній dir через кілька днів.

Це дозволяє уникнути будь-яких проблем, спричинених кешами файлової системи, які я використовую в apache / php, а також дозволяє будь-якому активному коду PHP продовжувати використовувати попередній каталог постачальника.

Незважаючи на інші відповіді, що рекомендують проти цього, я особисто працюю composer installна сервері, оскільки це швидше, ніж rsync з моєї області постановки (VM на моєму ноутбуці).

Я використовую --no-dev --no-scripts --optimize-autoloader. Ви повинні прочитати документи для кожного, щоб перевірити, чи це підходить для вашого оточення.

Я думаю, що краще автоматизувати процес:

Додайте файл composer.lock у ваше сховище git, переконайтесь, що ви використовуєте composer.phar install --no-dev при випуску, але у вашій програмі dev ви можете без будь-яких проблем використовувати будь-яку команду composer, це не піде на виробництво, виробництво буде базувати свої залежності у файлі блокування.

На сервері ви перевіряєте цю конкретну версію або мітку та запускаєте всі тести перед тим, як замінити додаток, якщо тести проходять, ви продовжите розгортання.

Якщо тест залежатиме від залежностей розробників, оскільки композитор не має залежності від тестової області, не дуже елегантним рішенням можна буде запустити тест із залежностями розробника ( встановити composer.phar ), видалити бібліотеку постачальника, запустити composer.phar install - -но-дев Знову , це використовуватиме кешовані залежності, тим швидше. Але це хак, якщо ви знаєте поняття сфери застосування в інших інструментах побудови

Автоматизуйте це і забудьте про інше, ідіть випити пива :-)

PS .: Як і в коментарі @Sven нижче, непогана ідея не перевіряти файл composer.lock, оскільки це змусить установку композитора працювати як оновлення композитора.

Ви можете зробити цю автоматизацію за допомогою http://deployer.org/, це простий інструмент.