利用Serverless Kubernetes和Kaniko快速自动化构建容器镜像
前言:
在云原生時(shí)代中,容器鏡像是一切應(yīng)用分發(fā)的基礎(chǔ)載體,除了dockerhub作為流行的鏡像倉(cāng)庫(kù)外,各大公有云廠商也都提供了功能豐富鏡像倉(cāng)庫(kù)服務(wù),如ACR(Aliyun Container Registry), GCR(Goolge Container Registry),構(gòu)建容器鏡像已是所有開(kāi)發(fā)者必須掌握的基礎(chǔ)實(shí)踐能力。
無(wú)論開(kāi)發(fā)者選擇在本地使用docker完成基本的鏡像構(gòu)建,還是使用CI/CD服務(wù)(如Jenkins),本質(zhì)上都是遵循“pull -> build -> push”的過(guò)程,完成鏡像的構(gòu)建、分發(fā)和同步等操作。
本文介紹了一種新的面向開(kāi)發(fā)者的簡(jiǎn)單鏡像構(gòu)建實(shí)踐,基于阿里云Serverless Kubernetes容器服務(wù),可以自動(dòng)化而且低成本的構(gòu)建容器鏡像,以便讓開(kāi)發(fā)者了解如何使用Serverless運(yùn)行CI/CD和自動(dòng)化任務(wù)。
why serverless kubernetes?
容器鏡像的構(gòu)建是需要計(jì)算資源的,開(kāi)發(fā)者在本地使用docker pull/build/push時(shí),其計(jì)算資源是本地開(kāi)發(fā)機(jī)器,如果開(kāi)發(fā)者在傳統(tǒng)kubernetes集群中部署Jenkins或Gitlab-runner服務(wù),其計(jì)算資源也是需要持續(xù)運(yùn)行。但是,容器鏡像的構(gòu)建基本屬于高度動(dòng)態(tài)的行為,往往是定時(shí)或者條件觸發(fā)引起的操作,所以為了動(dòng)態(tài)的構(gòu)建操作而維護(hù)一個(gè)固定的計(jì)算資源池對(duì)成本是不利的。
Serverless Kubernetes不同與傳統(tǒng)基于節(jié)點(diǎn)的k8s集群,serverless集群中只有pod運(yùn)行時(shí)才會(huì)收費(fèi),意味著只有在構(gòu)建鏡像時(shí)用戶才需要付費(fèi),當(dāng)構(gòu)建結(jié)束時(shí),也就停止計(jì)費(fèi)。所以在成本上與傳統(tǒng)k8s集群或ecs部署的方式相比顯著減少。
Kaniko
在Serverless Kubernetes集群中,pod沒(méi)有privileged權(quán)限,無(wú)法訪問(wèn)主機(jī)上的docker daemon,也就無(wú)法使用docker in docker方案進(jìn)行鏡像的操作,那么如何在kubernetes集群中不依賴(lài)宿主機(jī)的Docker情況下構(gòu)建鏡像呢?顯然這是一個(gè)通用需求,社區(qū)也有了推薦的方案:kaniko。
kaniko的工作原理與docker build類(lèi)似,但是不依賴(lài)docker daemon,在pod中完成Dockfile各層的解析和build,這使得pod不需要privileged權(quán)限也可以完成鏡像的pull/build/push。
實(shí)踐示例:定時(shí)同步容器鏡像
下面讓我們使用Serverless Kubernetes和Kaniko實(shí)現(xiàn)一個(gè)簡(jiǎn)單的鏡像build實(shí)驗(yàn):定時(shí)同步鏡像到國(guó)內(nèi)ACR。
步驟1: 創(chuàng)建Serverless Kubernetes集群
登陸容器服務(wù)控制臺(tái), 5s即可完成Serverless集群創(chuàng)建。(如果是國(guó)外的源鏡像倉(cāng)庫(kù),可以選擇美西區(qū)域)
步驟2: 創(chuàng)建secret,配置ACR的用戶名密碼,用于推送鏡像到ACR
可登陸cloudshell操作如下命令。
#docker login registry.cn-hangzhou.aliyuncs.com ... #kubectl create secret generic regsecret --from-file=/root/.docker/config.json ...步驟3: 創(chuàng)建定時(shí)任務(wù)CronJob
在控制臺(tái)選擇模版創(chuàng)建如下定時(shí)任務(wù),每小時(shí)同步busybox鏡像到ACR。
apiVersion: v1 kind: ConfigMap metadata:name: dockerfile-cm data:Dockerfile: |FROM busybox:latest --- apiVersion: batch/v1beta1 kind: CronJob metadata:name: kaniko-builder spec:schedule: "*/60 * * * *"jobTemplate:spec:template:spec:containers:- name: builderimage: gcr.io/kaniko-project/executor:latestimagePullPolicy: Alwaysargs:- "--dockerfile=/configs/Dockerfile"- "--destination=registry.cn-hangzhou.aliyuncs.com/jovizhangwei/busybox:latest"volumeMounts:- name: dockerfilereadOnly: truemountPath: "/configs/"- name: secretsreadOnly: truemountPath: "/root/.docker/"volumes:- name: dockerfileconfigMap:name: dockerfile-cm- name: secretssecret:secretName: regsecretrestartPolicy: OnFailure待job執(zhí)行后,可查看ACR鏡像倉(cāng)庫(kù),確認(rèn)鏡像已同步。
用戶可以按照需求定制此模版文件,比如修改需要同步的鏡像,添加build步驟等,也可以設(shè)置pod的資源限制(vcpu 0.25/0.5/1等), 以最小的計(jì)算成本完成同步任務(wù)。
結(jié)束
通過(guò)上面的示例,我們看到基于Serverless Kubernetes的按需付費(fèi)特性,可以使用很低的成本運(yùn)行一些定時(shí)和CI/CD任務(wù),而不用維護(hù)一個(gè)固定的計(jì)算資源池,其同樣適用于壓力測(cè)試、數(shù)據(jù)計(jì)算、工作流處理等其他場(chǎng)景。
Happy Hacking!
原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容,未經(jīng)允許不得轉(zhuǎn)載。
總結(jié)
以上是生活随笔為你收集整理的利用Serverless Kubernetes和Kaniko快速自动化构建容器镜像的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Spring Cloud Alibaba
- 下一篇: 机器学习与数据科学决策树指南