前言：

在云原生時代中，容器鏡像是一切應(yīng)用分發(fā)的基礎(chǔ)載體，除了dockerhub作為流行的鏡像倉庫外，各大公有云廠商也都提供了功能豐富鏡像倉庫服務(wù)，如ACR（Aliyun Container Registry）, GCR（Goolge Container Registry），構(gòu)建容器鏡像已是所有開發(fā)者必須掌握的基礎(chǔ)實(shí)踐能力。

無論開發(fā)者選擇在本地使用docker完成基本的鏡像構(gòu)建，還是使用CI/CD服務(wù)（如Jenkins），本質(zhì)上都是遵循“pull -> build -> push”的過程，完成鏡像的構(gòu)建、分發(fā)和同步等操作。

本文介紹了一種新的面向開發(fā)者的簡單鏡像構(gòu)建實(shí)踐，基于阿里云Serverless Kubernetes容器服務(wù)，可以自動化而且低成本的構(gòu)建容器鏡像，以便讓開發(fā)者了解如何使用Serverless運(yùn)行CI/CD和自動化任務(wù)。

why serverless kubernetes？

容器鏡像的構(gòu)建是需要計(jì)算資源的，開發(fā)者在本地使用docker pull/build/push時，其計(jì)算資源是本地開發(fā)機(jī)器，如果開發(fā)者在傳統(tǒng)kubernetes集群中部署Jenkins或Gitlab-runner服務(wù)，其計(jì)算資源也是需要持續(xù)運(yùn)行。但是，容器鏡像的構(gòu)建基本屬于高度動態(tài)的行為，往往是定時或者條件觸發(fā)引起的操作，所以為了動態(tài)的構(gòu)建操作而維護(hù)一個固定的計(jì)算資源池對成本是不利的。

Serverless Kubernetes不同與傳統(tǒng)基于節(jié)點(diǎn)的k8s集群，serverless集群中只有pod運(yùn)行時才會收費(fèi)，意味著只有在構(gòu)建鏡像時用戶才需要付費(fèi)，當(dāng)構(gòu)建結(jié)束時，也就停止計(jì)費(fèi)。所以在成本上與傳統(tǒng)k8s集群或ecs部署的方式相比顯著減少。

Kaniko

在Serverless Kubernetes集群中，pod沒有privileged權(quán)限，無法訪問主機(jī)上的docker daemon，也就無法使用docker in docker方案進(jìn)行鏡像的操作，那么如何在kubernetes集群中不依賴宿主機(jī)的Docker情況下構(gòu)建鏡像呢？顯然這是一個通用需求，社區(qū)也有了推薦的方案：kaniko。

kaniko的工作原理與docker build類似，但是不依賴docker daemon，在pod中完成Dockfile各層的解析和build，這使得pod不需要privileged權(quán)限也可以完成鏡像的pull/build/push。

實(shí)踐示例：定時同步容器鏡像

下面讓我們使用Serverless Kubernetes和Kaniko實(shí)現(xiàn)一個簡單的鏡像build實(shí)驗(yàn)：定時同步鏡像到國內(nèi)ACR。

步驟1: 創(chuàng)建Serverless Kubernetes集群

登陸容器服務(wù)控制臺, 5s即可完成Serverless集群創(chuàng)建。（如果是國外的源鏡像倉庫，可以選擇美西區(qū)域）

步驟2: 創(chuàng)建secret，配置ACR的用戶名密碼，用于推送鏡像到ACR

可登陸cloudshell操作如下命令。

#docker login registry.cn-hangzhou.aliyuncs.com ... #kubectl create secret generic regsecret --from-file=/root/.docker/config.json ...

步驟3: 創(chuàng)建定時任務(wù)CronJob

在控制臺選擇模版創(chuàng)建如下定時任務(wù)，每小時同步busybox鏡像到ACR。

apiVersion: v1 kind: ConfigMap metadata:name: dockerfile-cm data:Dockerfile: |FROM busybox:latest --- apiVersion: batch/v1beta1 kind: CronJob metadata:name: kaniko-builder spec:schedule: "*/60 * * * *"jobTemplate:spec:template:spec:containers:- name: builderimage: gcr.io/kaniko-project/executor:latestimagePullPolicy: Alwaysargs:- "--dockerfile=/configs/Dockerfile"- "--destination=registry.cn-hangzhou.aliyuncs.com/jovizhangwei/busybox:latest"volumeMounts:- name: dockerfilereadOnly: truemountPath: "/configs/"- name: secretsreadOnly: truemountPath: "/root/.docker/"volumes:- name: dockerfileconfigMap:name: dockerfile-cm- name: secretssecret:secretName: regsecretrestartPolicy: OnFailure

待job執(zhí)行后，可查看ACR鏡像倉庫，確認(rèn)鏡像已同步。

用戶可以按照需求定制此模版文件，比如修改需要同步的鏡像，添加build步驟等，也可以設(shè)置pod的資源限制（vcpu 0.25/0.5/1等)， 以最小的計(jì)算成本完成同步任務(wù)。

結(jié)束

通過上面的示例，我們看到基于Serverless Kubernetes的按需付費(fèi)特性，可以使用很低的成本運(yùn)行一些定時和CI/CD任務(wù)，而不用維護(hù)一個固定的計(jì)算資源池，其同樣適用于壓力測試、數(shù)據(jù)計(jì)算、工作流處理等其他場景。

Happy Hacking！

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的利用Serverless Kubernetes和Kaniko快速自动化构建容器镜像的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。