Konteineru attēlu "gudrās" tīrīšanas problēma un tās risinājums werf

Rakstā ir apskatītas konteineru reģistros (Docker Registry un tā analogos) uzkrājušos attēlu tīrīšanas problēmas mūsdienu CI/CD konveijeru realitātē mākoņdatošanas lietojumprogrammām, kas tiek piegādātas Kubernetes. Tiek doti galvenie kritēriji attēlu atbilstībai un no tā izrietošajām grūtībām tīrīšanas automatizācijā, vietas taupīšanā un komandu vajadzību apmierināšanā. Visbeidzot, izmantojot konkrēta atvērtā koda projekta piemēru, mēs jums pastāstīsim, kā šīs grūtības var pārvarēt.

Ievads

Attēlu skaits konteineru reģistrā var strauji pieaugt, aizņemot vairāk vietas krātuvē un tādējādi ievērojami palielinot tā izmaksas. Lai kontrolētu, ierobežotu vai uzturētu pieņemamu reģistrā aizņemtās vietas pieaugumu, tiek pieņemts:

1. izmantot fiksētu skaitu tagu attēliem;
2. kaut kādā veidā notīriet attēlus.

Pirmais ierobežojums dažkārt ir pieņemams mazām komandām. Ja izstrādātājiem ir pietiekami daudz pastāvīgo atzīmju (latest, main, test, boris utt.), reģistrs nepalielināsies un ilgu laiku jums vispār nebūs jādomā par tā tīrīšanu. Galu galā visi neatbilstošie attēli tiek izdzēsti, un tīrīšanai vienkārši neatliek darba (visu dara parasts atkritumu savācējs).

Tomēr šī pieeja ievērojami ierobežo attīstību un reti ir piemērojama mūsdienu CI/CD projektiem. Neatņemama attīstības sastāvdaļa bija automatizācija, kas ļauj daudz ātrāk pārbaudīt, izvietot un piegādāt lietotājiem jaunas funkcionalitātes. Piemēram, visos mūsu projektos CI konveijers tiek automātiski izveidots ar katru apņemšanos. Tajā attēls tiek samontēts, testēts, izrullēts dažādās Kubernetes shēmās atkļūdošanai un atlikušajām pārbaudēm, un, ja viss ir kārtībā, izmaiņas nonāk līdz gala lietotājam. Un tā vairs nav raķešu zinātne, bet gan ikdiena daudziem – visticamāk, jums, jo lasāt šo rakstu.

Tā kā kļūdu labošana un jaunas funkcionalitātes izstrāde tiek veikta paralēli un izlaidumus var veikt vairākas reizes dienā, ir acīmredzams, ka izstrādes procesu pavada ievērojams skaits commit, kas nozīmē liels skaits attēlu reģistrā. Rezultātā rodas jautājums par efektīvas reģistra tīrīšanas organizēšanu, t.i. neatbilstošu attēlu noņemšana.

Bet kā vispār noteikt, vai attēls ir atbilstošs?

Attēla atbilstības kritēriji

Lielākajā daļā gadījumu galvenie kritēriji būs:

1. Pirmais (visredzamākais un kritiskākais no visiem) ir attēli, kas pašlaik izmanto Kubernetes. Šo attēlu noņemšana var radīt ievērojamas ražošanas dīkstāves izmaksas (piemēram, attēli var būt nepieciešami replikācijai) vai liegt komandai veikt atkļūdošanu jebkurā no cilpām. (Šī iemesla dēļ mēs pat izveidojām īpašu Prometheus eksportētāji, kas izseko šādu attēlu neesamību nevienā Kubernetes klasterī.)

2. Otrais (mazāk acīmredzams, bet arī ļoti svarīgs un atkal saistīts ar ekspluatāciju) - attēli, kas nepieciešama atcelšanai nopietnu problēmu atklāšanas gadījumā pašreizējā versijā. Piemēram, Helm gadījumā tie ir attēli, kas tiek izmantoti saglabātajās laidiena versijās. (Starp citu, Helmā pēc noklusējuma ierobežojums ir 256 pārskati, taču maz ticams, ka kādam patiešām būs jāsaglabā tāds liels skaits versiju?..) Galu galā mēs, jo īpaši, glabājam versijas, lai mēs tās varētu izmantot vēlāk, t.i. “atgriezieties” pie viņiem, ja nepieciešams.

3. Trešais — izstrādātāju vajadzībām: visi attēli, kas ir saistīti ar viņu pašreizējo darbu. Piemēram, ja mēs apsveram PR, tad ir jēga atstāt attēlu, kas atbilst pēdējai un, teiksim, iepriekšējai apņemšanai: tādā veidā izstrādātājs var ātri atgriezties pie jebkura uzdevuma un strādāt ar jaunākajām izmaiņām.

4. Ceturtkārt - attēli, kas atbilst mūsu lietojumprogrammas versijām, t.i. ir gala produkts: v1.0.0, 20.04.01/XNUMX/XNUMX, sierra utt.

NB: Šeit definētie kritēriji tika formulēti, pamatojoties uz pieredzi, sadarbojoties ar desmitiem izstrādes komandu no dažādiem uzņēmumiem. Taču, protams, atkarībā no specifikas izstrādes procesos un izmantotās infrastruktūras (piemēram, netiek izmantota Kubernetes), šie kritēriji var atšķirties.

Atbilstība un esošie risinājumi

Populārie pakalpojumi ar konteineru reģistriem, kā likums, piedāvā savas attēlu tīrīšanas politikas: tajās varat definēt nosacījumus, kādos atzīme tiek noņemta no reģistra. Tomēr šos nosacījumus ierobežo tādi parametri kā nosaukumi, izveides laiks un tagu skaits*.

* Atkarīgs no konkrēta konteinera reģistra ieviešanas. Mēs izskatījām šādu risinājumu iespējas: Azure CR, Docker Hub, ECR, GCR, GitHub Packages, GitLab Container Registry, Harbor Registry, JFrog Artifactory, Quay.io — no 2020. gada septembra.

Šis parametru kopums ir pilnīgi pietiekams, lai izpildītu ceturto kritēriju - tas ir, lai atlasītu versijām atbilstošus attēlus. Taču visiem pārējiem kritērijiem ir jāizvēlas kāds kompromisa risinājums (stingrāka vai, tieši otrādi, pielaidīgāka politika) – atkarībā no cerībām un finansiālajām iespējām.

Piemēram, trešo – ar izstrādātāju vajadzībām saistīto – kritēriju var atrisināt, organizējot procesus komandās: konkrētu attēlu nosaukšanu, īpašu atļauju sarakstu un iekšējo līgumu uzturēšanu. Bet galu galā tas joprojām ir jāautomatizē. Un, ja ar gatavu risinājumu iespējām nepietiek, ir jādara kaut kas no paša.

Situācija ar pirmajiem diviem kritērijiem ir līdzīga: tos nevar apmierināt, nesaņemot datus no ārējas sistēmas - tās, kurā tiek izvietotas lietojumprogrammas (mūsu gadījumā Kubernetes).

Darbplūsmas Git ilustrācija

Pieņemsim, ka programmā Git strādājat šādi:

Ikona ar galviņu diagrammā norāda konteinera attēlus, kas pašlaik ir izvietoti Kubernetes jebkuram lietotājam (galalietotājiem, testētājiem, vadītājiem utt.) vai kurus izstrādātāji izmanto atkļūdošanai un līdzīgiem mērķiem.

Kas notiek, ja tīrīšanas politikas ļauj tikai saglabāt attēlus (nevis dzēst) pēc dotajiem tagu nosaukumiem?

Acīmredzot šāds scenārijs nevienu neiepriecinās.

Kas mainīsies, ja politikas atļauj attēlus nedzēst? atbilstoši noteiktajam laika intervālam / pēdējo saistību skaitam?

Rezultāts ir kļuvis daudz labāks, taču joprojām ir tālu no ideāla. Galu galā mums joprojām ir izstrādātāji, kuriem ir nepieciešami attēli reģistrā (vai pat tie ir izvietoti K8s), lai atkļūdotu kļūdas...

Rezumējot pašreizējo tirgus situāciju: konteineru reģistros pieejamās funkcijas nepiedāvā pietiekamu elastību tīrīšanā, un galvenais iemesls tam ir nekādā veidā nevar sazināties ar ārpasauli. Izrādās, ka komandas, kurām nepieciešama šāda elastība, ir spiestas patstāvīgi ieviest attēlu dzēšanu “no ārpuses”, izmantojot Docker Registry API (vai atbilstošās ieviešanas vietējo API).

Tomēr mēs meklējām universālu risinājumu, kas automatizētu attēlu tīrīšanu dažādām komandām, izmantojot dažādus reģistrus...

Mūsu ceļš uz universālu attēla tīrīšanu

No kurienes rodas šī vajadzība? Fakts ir tāds, ka mēs neesam atsevišķa izstrādātāju grupa, bet komanda, kas apkalpo daudzus no tiem vienlaikus, palīdzot vispusīgi atrisināt CI/CD problēmas. Un galvenais tehniskais rīks tam ir atvērtā koda utilīta werf. Tā īpatnība ir tāda, ka tā neveic vienu funkciju, bet pavada nepārtrauktus piegādes procesus visos posmos: no montāžas līdz izvietošanai.

Attēlu publicēšana reģistrā* (tūlīt pēc to izveides) ir acīmredzama šādas utilīta funkcija. Un tā kā attēli tur tiek ievietoti uzglabāšanai, tad - ja jūsu krātuve nav neierobežota - jums ir jāatbild par to turpmāko tīrīšanu. Par to, kā mēs guvām panākumus šajā jomā, izpildot visus noteiktos kritērijus, tiks apspriests tālāk.

* Lai gan paši reģistri var atšķirties (Docker Registry, GitLab Container Registry, Harbor u.c.), to lietotāji saskaras ar tādām pašām problēmām. Universālais risinājums mūsu gadījumā nav atkarīgs no reģistra ieviešanas, jo darbojas ārpus pašiem reģistriem un piedāvā tādu pašu darbību visiem.

Lai gan mēs izmantojam werf kā piemēru, mēs ceram, ka izmantotās pieejas būs noderīgas citām komandām, kuras saskaras ar līdzīgām grūtībām.

Tāpēc mēs bijām aizņemti ārējs attēlu tīrīšanas mehānisma ieviešana - to iespēju vietā, kas jau ir iebūvētas konteineru reģistros. Pirmais solis bija izmantot Docker Registry API, lai izveidotu tādas pašas primitīvas politikas tagu skaitam un to izveides laikam (minēts iepriekš). Viņiem pievienots atļauju saraksts, pamatojoties uz attēliem, kas izmantoti izvietotajā infrastruktūrā, t.i. Kubernetes. Pēdējam pietika ar Kubernetes API izmantošanu, lai atkārtotu visus izvietotos resursus un iegūtu vērtību sarakstu. image.

Šis triviālais risinājums atrisināja viskritiskāko problēmu (kritērijs Nr. 1), taču bija tikai sākums mūsu ceļojumam uz tīrīšanas mehānisma uzlabošanu. Nākamais – un daudz interesantāks – solis bija lēmums saistīt publicētos attēlus ar Git vēsturi.

Atzīmēšanas shēmas

Sākumā mēs izvēlējāmies pieeju, kurā galīgajā attēlā ir jāsaglabā tīrīšanai nepieciešamā informācija, un procesu veidojām uz marķēšanas shēmām. Publicējot attēlu, lietotājs izvēlējās konkrētu marķēšanas opciju (git-branch, git-commit vai git-tag) un izmantoja atbilstošo vērtību. CI sistēmās šīs vērtības tika iestatītas automātiski, pamatojoties uz vides mainīgajiem. Patiesībā gala attēls bija saistīts ar konkrētu Git primitīvu, saglabājot tīrīšanai nepieciešamos datus etiķetēs.

Šīs pieejas rezultātā tika izveidots politiku kopums, kas ļāva Git izmantot kā vienīgo patiesības avotu:

• Dzēšot filiāli/tagu pakalpojumā Git, saistītie attēli reģistrā tika automātiski izdzēsti.
• Ar Git tagiem un saistībām saistīto attēlu skaitu var kontrolēt, izmantojot atlasītajā shēmā izmantoto tagu skaitu un laiku, kad tika izveidots saistītais apstiprinājums.

Kopumā izstrādātā ieviešana apmierināja mūsu vajadzības, taču drīz mūs sagaidīja jauns izaicinājums. Fakts ir tāds, ka, izmantojot marķēšanas shēmas, kuru pamatā ir Git primitīvi, mēs saskārāmies ar vairākiem trūkumiem. (Tā kā to apraksts ir ārpus šī raksta darbības jomas, ikviens var iepazīties ar detaļām šeit.) Tāpēc, nolēmuši pāriet uz efektīvāku tagu pievienošanas pieeju (satura iezīmēšanu), nācās pārskatīt attēla tīrīšanas ieviešanu.

Jauns algoritms

Kāpēc? Izmantojot uz saturu balstītu marķēšanu, katrs tags var apmierināt vairākas Git saistības. Tīrot attēlus, jūs vairs nevarat pieņemt tikai no apstiprināšanas, kurā jaunais tags tika pievienots reģistrā.

Jaunajam tīrīšanas algoritmam tika nolemts atteikties no marķēšanas shēmām un veidot metatēla process, katrā no kurām tiek glabāta virkne:

• commit, kurā tika veikta publikācija (nav nozīmes tam, vai attēls tika pievienots, mainīts vai palika nemainīgs konteinera reģistrā);
• un mūsu iekšējais identifikators, kas atbilst samontētajam attēlam.

Citiem vārdiem sakot, tas tika nodrošināts publicēto tagu saistīšana ar saistībām pakalpojumā Git.

Galīgā konfigurācija un vispārējais algoritms

Konfigurējot tīrīšanu, lietotājiem tagad ir piekļuve politikām, kas atlasa pašreizējos attēlus. Katra šāda politika ir definēta:

• daudzas atsauces, t.i. Git tagi vai Git atzari, kas tiek izmantoti skenēšanas laikā;
• un meklēto attēlu ierobežojums katrai atsaucei no kopas.

Lai ilustrētu, noklusējuma politikas konfigurācija sāka izskatīties šādi:

cleanup:
  keepPolicies:
  - references:
      tag: /.*/
      limit:
        last: 10
  - references:
      branch: /.*/
      limit:
        last: 10
        in: 168h
        operator: And
    imagesPerReference:
      last: 2
      in: 168h
      operator: And
  - references:  
      branch: /^(main|staging|production)$/
    imagesPerReference:
      last: 10

Šajā konfigurācijā ir iekļautas trīs politikas, kas atbilst šādiem noteikumiem:

1. Saglabājiet attēlu pēdējiem 10 Git tagiem (pēc taga izveides datuma).
2. Saglabājiet ne vairāk kā 2 attēlus, kas publicēti pagājušajā nedēļā, ne vairāk kā 10 pavedieniem ar aktivitātēm pēdējā nedēļā.
3. Saglabājiet 10 attēlus filiālēm main, staging и production.

Pēdējais algoritms sastāv no šādām darbībām:

• Notiek manifestu izgūšana no konteinera reģistra.
• Izņemot Kubernetes izmantotos attēlus, jo Mēs jau esam tos iepriekš atlasījuši, aptaujājot K8s API.
• Git vēstures skenēšana un attēlu izslēgšana, pamatojoties uz noteiktām politikām.
• Atlikušo attēlu noņemšana.

Atgriežoties pie ilustrācijas, ar werf notiek šādi:

Tomēr pat tad, ja neizmantojat werf, līdzīgu pieeju uzlabotai attēla tīrīšanai vienā vai otrā ieviešanā (atbilstoši vēlamajai attēla marķēšanas pieejai) var izmantot arī citām sistēmām/utilītiem. Lai to izdarītu, pietiek atcerēties radušās problēmas un savā kaudzē atrast tās iespējas, kas ļauj pēc iespējas raitāk integrēt to risinājumu. Mēs ceram, ka mūsu noietais ceļš palīdzēs jums paskatīties uz jūsu konkrēto gadījumu ar jaunām detaļām un pārdomām.

Secinājums

• Agrāk vai vēlāk lielākā daļa komandu saskaras ar reģistra pārpildes problēmu.
• Meklējot risinājumus, vispirms ir jānosaka attēla atbilstības kritēriji.
• Populāro konteineru reģistra pakalpojumu piedāvātie rīki ļauj organizēt ļoti vienkāršu tīrīšanu, neņemot vērā “ārpasauli”: Kubernetes izmantotos attēlus un komandas darbplūsmu īpatnības.
• Elastīgam un efektīvam algoritmam ir jābūt izpratnei par CI/CD procesiem un jādarbojas ne tikai ar Docker attēla datiem.

PS

Lasi arī mūsu emuārā:

• «Satura marķēšana werf savācējā: kāpēc un kā tā darbojas?";
• «Trīs veidu sapludināšana ar werf: izvietošana Kubernetes ar Helm “uz steroīdiem”";
• «Atbalsts monorepo un multirepo werf un kāds ar to saistīts Docker reģistrs";
• «werf 1.1 laidiens: būvētāja uzlabojumi šodien un nākotnes plāni'.

Avots: www.habr.com