רעקאַמאַנדיישאַנז פֿאַר פליסנדיק Buildah אין אַ קאַנטיינער

וואָס איז די שיינקייט פון דעקאָופּלינג דעם קאַנטיינער רונטימע אין באַזונדער מכשירים? אין באַזונדער, די מכשירים קענען אָנהייבן צו זיין קאַמביינד אַזוי אַז זיי באַשיצן יעדער אנדערער.

פילע מענטשן זענען געצויגן צו דער געדאַנק פון בויען קאַנטיינערז OCI בילדער ין Kubernetes אָדער ענלעך סיסטעם. זאל ס זאָגן מיר האָבן אַ סי / סי וואָס קעסיידער קאַלעקץ בילדער, דעמאָלט עפּעס ווי RedHat OpenShift/ Kubernetes וואָלט זיין גאַנץ נוציק אין טערמינען פון מאַסע באַלאַנסינג בעשאַס בויען. ביז לעצטנס, רובֿ מענטשן פשוט געגעבן קאַנטיינערז אַקסעס צו אַ דאָקקער כאָלעל און ערלויבט זיי צו לויפן די דאָקקער בויען באַפֿעל. עטלעכע יאר צוריק מיר געוויזןאַז דאָס איז זייער ינסאַקיער, אין פאַקט, עס איז אפילו ערגער ווי געבן פּאַסווערדז וואָרצל אָדער סודאָ.

דערפֿאַר פּרוּווט מען כּסדר אָנפֿירן Buildah אין אַ קאַנטיינער. בקיצור, מיר האבן באשאפן בייַשפּיל ווי, אין אונדזער מיינונג, איז בעסטער צו לויפן Buildah ין אַ קאַנטיינער, און אַרייַנגעשיקט די קאָראַספּאַנדינג בילדער אויף quay.io/buildah. לאמיר אנהייבען...

Customize

די בילדער זענען געבויט פֿון Dockerfiles, וואָס קענען זיין געפֿונען אין די Buildah ריפּאַזאַטאָרי אין דער טעקע buildahimage.
דאָ מיר וועלן באַטראַכטן סטאַביל ווערסיע פון ​​Dockerfile.

# stable/Dockerfile
#
# Build a Buildah container image from the latest
# stable version of Buildah on the Fedoras Updates System.
# https://bodhi.fedoraproject.org/updates/?search=buildah
# This image can be used to create a secured container
# that runs safely with privileges within the container.
#
FROM fedora:latest

# Don't include container-selinux and remove
# directories used by dnf that are just taking
# up space.
RUN yum -y install buildah fuse-overlayfs --exclude container-selinux; rm -rf /var/cache /var/log/dnf* /var/log/yum.*

# Adjust storage.conf to enable Fuse storage.
RUN sed -i -e 's|^#mount_program|mount_program|g' -e '/additionalimage.*/a "/var/lib/shared",' /etc/containers/storage.conf

אַנשטאָט OverlayFS, ימפּלאַמענאַד אויף דער באַלעבאָס לינוקס קערן מדרגה, מיר נוצן דעם פּראָגראַם אין דעם קאַנטיינער פוסע-אָווערליי, ווייַל דערווייַל OverlayFS קענען בלויז אָנקלאַפּן אויב איר געבן עס SYS_ADMIN פּערמישאַנז ניצן לינוקס קייפּאַבילאַטיז. און מיר ווילן צו לויפן אונדזער Buildah קאַנטיינערז אָן וואָרצל פּריווילאַדזשאַז. Fuse-overlay אַרבעט גאַנץ געשווינד און האט בעסער פאָרשטעלונג ווי די VFS סטאָרידזש שאָפער. ביטע טאָן אַז ווען איר לויפן אַ Buildah קאַנטיינער וואָס ניצט Fuse, איר מוזן צושטעלן די /dev/fuse מיטל.

podman run --device /dev/fuse quay.io/buildahctr ...
RUN mkdir -p /var/lib/shared/overlay-images /var/lib/shared/overlay-layers; touch /var/lib/shared/overlay-images/images.lock; touch /var/lib/shared/overlay-layers/layers.lock

ווייַטער מיר מאַכן אַ וועגווייַזער פֿאַר נאָך סטאָרידזש. קאַנטיינער / סטאָרידזש שטיצט דעם באַגריף פון קאַנעקטינג נאָך לייענען-בלויז בילד סטאָרז. פֿאַר בייַשפּיל, איר קענען קאַנפיגיער אַ אָוווערליי סטאָרידזש געגנט אויף איין מאַשין, און דעמאָלט נוצן NFS צו אָנקלאַפּן דעם סטאָרידזש אויף אן אנדער מאַשין און נוצן בילדער פֿון עס אָן דאַונלאָודינג דורך ציען. מיר דאַרפֿן דעם סטאָרידזש אין סדר צו קענען צו פאַרבינדן עטלעכע בילד סטאָרידזש פֿון דער באַלעבאָס ווי אַ באַנד און נוצן עס אין דעם קאַנטיינער.

# Set up environment variables to note that this is
# not starting with user namespace and default to
# isolate the filesystem with chroot.
ENV _BUILDAH_STARTED_IN_USERNS="" BUILDAH_ISOLATION=chroot

צום סוף, דורך ניצן די BUILDAH_ISOLATION סוויווע בייַטעוודיק, מיר זאָגן די Buildah קאַנטיינער צו לויפן מיט טשראָאָט אפגעזונדערטקייט דורך פעליקייַט. נאָך ינסאַליישאַן איז נישט פארלאנגט דאָ, ווייַל מיר זענען שוין ארבעטן אין אַ קאַנטיינער. כּדי Buildah צו שאַפֿן זיין אייגענע נאַמעספּייס אפגעשיידט קאַנטיינערז, די SYS_ADMIN פּריווילעגיע איז פארלאנגט, וואָס וואָלט דאַרפן רילאַקסינג די SELinux און SECCOMP כּללים פון דעם קאַנטיינער, וואָס איז פאַרקערט צו אונדזער ייבערהאַנט צו בויען פֿון אַ זיכער קאַנטיינער.

פליסנדיק Buildah אין אַ קאַנטיינער

די Buildah קאַנטיינער בילד דיאַגראַמע דיסקאַסט אויבן אַלאַוז איר צו פלעקסאַבאַל בייַטן די מעטהאָדס פון לאָנטשינג אַזאַ קאַנטיינערז.

גיכקייַט קעגן זיכערקייַט

קאָמפּיוטער זיכערהייט איז שטענדיק אַ קאָמפּראָמיס צווישן די גיכקייַט פון דעם פּראָצעס און ווי פיל שוץ איז אלנגעוויקלט אַרום אים. די דערקלערונג איז אויך אמת ווען אַסעמבאַלינג קאַנטיינערז, אַזוי אונטן מיר וועלן באַטראַכטן אָפּציעס פֿאַר אַזאַ אַ קאָמפּראָמיס.

די אויבן דיסקאַסט קאַנטיינער בילד וועט האַלטן זיין סטאָרידזש אין /var/lib/containers. דעריבער, מיר דאַרפֿן צו אָנקלאַפּן דעם אינהאַלט אין דעם טעקע, און ווי מיר טאָן דאָס וועט זייער ווירקן די גיכקייַט פון בויען קאַנטיינער בילדער.

זאל ס באַטראַכטן דרייַ אָפּציעס.

Option 1. אויב מאַקסימום זיכערהייט איז פארלאנגט, פֿאַר יעדער קאַנטיינער איר קענען מאַכן דיין אייגענע טעקע פֿאַר קאַנטיינערז / בילד און פאַרבינדן עס צו דעם קאַנטיינער דורך באַנד-בארג. און אויסערדעם, שטעלן די קאָנטעקסט וועגווייַזער אין דעם קאַנטיינער זיך, אין די / בויען טעקע:

# mkdir /var/lib/containers1
# podman run -v ./build:/build:z -v /var/lib/containers1:/var/lib/containers:Z quay.io/buildah/stable
buildah  -t image1 bud /build
# podman run -v /var/lib/containers1:/var/lib/containers:Z quay.io/buildah/stable buildah  push  image1 registry.company.com/myuser
# rm -rf /var/lib/containers1

זיכערהייַט. Buildah פליסנדיק אין אַזאַ אַ קאַנטיינער האט מאַקסימום זיכערהייט: עס איז נישט געגעבן קיין וואָרצל פּריווילאַדזשאַז ניצן קייפּאַבילאַטיז, און אַלע SECOMP און SELinux ריסטריקשאַנז אַפּלייז צו עס. 0:100000.

פאָרשטעלונג. אָבער די פאָרשטעלונג דאָ איז מינימאַל, ווייַל קיין בילדער פון קאַנטיינער רעגיסטריז זענען קאַפּיד צו דער באַלעבאָס יעדער מאָל, און קאַטשינג טוט נישט אַרבעטן. ווען קאַמפּליטינג זיין אַרבעט, די בילדאַה קאַנטיינער מוזן שיקן די בילד צו די רעגיסטרי און צעשטערן די אינהאַלט אויף דער באַלעבאָס. דער ווייַטער מאָל די קאַנטיינער בילד איז געבויט, עס וועט זיין דאַונלאָודיד פון די רעגיסטרי ווידער, ווייַל אין דער צייט עס וועט זיין גאָרנישט לינקס אויף דער באַלעבאָס.

Option 2. אויב איר דאַרפֿן דאָקקער-מדרגה פאָרשטעלונג, איר קענען אָנקלאַפּן די באַלעבאָס קאַנטיינער / סטאָרידזש גלייַך אין דעם קאַנטיינער.

# podman run -v ./build:/build:z -v /var/lib/containers:/var/lib/containers --security-opt label:disabled quay.io/buildah/stable buildah  -t image2 bud /build
# podman run -v /var/lib/containers:/var/lib/containers --security-opt label:disabled  quay.io/buildah/stable buildah push image2 registry.company.com/myuser

זיכערהייַט. דאָס איז דער קלענסטער זיכער וועג צו בויען קאַנטיינערז ווייַל עס אַלאַוז די קאַנטיינער צו מאָדיפיצירן די סטאָרידזש אויף דער באַלעבאָס און קען פּאַטענטשאַלי קאָרמען פּאָדמאַן אָדער CRI-O אַ בייזע בילד. אין אַדישאַן, איר וועט דאַרפֿן צו דיסייבאַל SELinux צעשיידונג אַזוי אַז פּראַסעסאַז אין די Buildah קאַנטיינער קענען ינטעראַקט מיט די סטאָרידזש אויף דער באַלעבאָס. באַמערקונג אַז די אָפּציע איז נאָך בעסער ווי אַ דאָקקער כאָלעל ווייַל דער קאַנטיינער איז פארשפארט דורך די רוען זיכערהייט פֿעיִקייטן און קענען נישט פשוט לויפן אַ קאַנטיינער אויף דער באַלעבאָס.

פאָרשטעלונג. דאָ עס איז מאַקסימום, זינט קאַטשינג איז גאָר געניצט. אויב פּאָדמאַן אָדער CRI-O האָבן שוין דאַונלאָודיד די פארלאנגט בילד צו דער באַלעבאָס, דער Buildah פּראָצעס אין דעם קאַנטיינער וועט נישט האָבן צו אָפּלאָדירן עס ווידער, און סאַבסאַקוואַנט בויען באזירט אויף דעם בילד וועט אויך קענען צו נעמען וואָס זיי דאַרפֿן פון די קאַש. .

Option 3. די עסאַנס פון דעם אופֿן איז צו פאַרבינדן עטלעכע בילדער אין איין פּרויעקט מיט אַ פּראָסט טעקע פֿאַר קאַנטיינער בילדער.

# mkdir /var/lib/project3
# podman run --security-opt label_level=s0:C100, C200 -v ./build:/build:z 
-v /var/lib/project3:/var/lib/containers:Z quay.io/buildah/stable buildah  -t image3 bud /build
# podman run --security-opt label_level=s0:C100, C200 
-v /var/lib/project3:/var/lib/containers quay.io/buildah/stable buildah push image3  registry.company.com/myuser

אין דעם בייַשפּיל, מיר טאָן ניט ויסמעקן די פּרויעקט טעקע (/var/lib/project3) צווישן ראַנז, אַזוי אַלע סאַבסאַקוואַנט בויען אין די פּרויעקט נוץ פון קאַטשינג.

זיכערהייַט. עפּעס אין צווישן אָפּציעס 1 און 2. אויף די איין האַנט, קאַנטיינערז טאָן ניט האָבן צוטריט צו אינהאַלט אויף דער באַלעבאָס און, אַקאָרדינגלי, קענען נישט צעטל עפּעס שלעכט אין די פּאָדמאַן / קרי-אָ בילד סטאָרידזש. אויף די אנדערע האַנט, ווי אַ טייל פון זייַן פּלאַן, אַ קאַנטיינער קענען אַרייַנמישנ זיך מיט די פֿאַרזאַמלונג פון אנדערע קאַנטיינערז.

פאָרשטעלונג. דאָ עס איז ערגער ווי ווען איר נוצן אַ שערד קאַש אויף דער באַלעבאָס מדרגה, ווייַל איר קענען נישט נוצן בילדער וואָס זענען שוין דאַונלאָודיד מיט Podman / CRI-O. אָבער, אַמאָל Buildah דאַונלאָודז די בילד, די בילד קענען זיין געוויינט אין קיין סאַבסאַקוואַנט בויען אין די פּרויעקט.

נאָך סטאָרידזש

У קאַנטיינערז / סטאָרידזש עס איז אַזאַ אַ קיל זאַך ווי נאָך סטאָרז (נאָך סטאָרז), דאַנק צו וואָס ווען קאַטער און בנין קאַנטיינערז, קאַנטיינער ענדזשאַנז קענען נוצן פונדרויסנדיק בילד סטאָרז אין לייענען-בלויז אָוווערליי מאָדע. יסענשאַלי, איר קענען לייגן איין אָדער מער לייענען-בלויז סטאָרידזש צו די storage.conf טעקע אַזוי אַז ווען איר אָנהייב דעם קאַנטיינער, דער קאַנטיינער מאָטאָר קוקט פֿאַר די געוואלט בילד אין זיי. דערצו, עס וועט אראפקאפיע די בילד פֿון די רעגיסטרי בלויז אויב עס קען נישט געפֿינען עס אין קיין פון די סטאָרידזש. דער קאַנטיינער מאָטאָר וועט נאָר קענען צו שרייַבן צו רייטאַבאַל סטאָרידזש ...

אויב איר מעגילע אַרויף און קוק אין די Dockerfile וואָס מיר נוצן צו בויען די בילד quay.io/buildah/stable, עס זענען שורות ווי דאָס:

# Adjust storage.conf to enable Fuse storage.
RUN sed -i -e 's|^#mount_program|mount_program|g' -e '/additionalimage.*/a "/var/lib/shared",' /etc/containers/storage.conf
RUN mkdir -p /var/lib/shared/overlay-images /var/lib/shared/overlay-layers; touch /var/lib/shared/overlay-images/images.lock; touch /var/lib/shared/overlay-layers/layers.lock

אין דער ערשטער שורה, מיר מאָדיפיצירן /etc/containers/storage.conf אין די קאַנטיינער בילד, און זאָגן די סטאָרידזש שאָפער צו נוצן "נאָך בילדסטאָרז" אין די /var/lib/shared folder. און אין דער ווייַטער שורה מיר מאַכן אַ שערד טעקע און לייגן אַ פּאָר פון שלאָס טעקעס אַזוי אַז עס איז קיין זידלען פון קאַנטיינערז / סטאָרידזש. יסענשאַלי, מיר זענען פשוט קריייטינג אַ ליידיק קאַנטיינער בילד קראָם.

אויב איר אָנקלאַפּן קאַנטיינערז / סטאָרידזש אין אַ מדרגה העכער ווי דעם טעקע, Buildah קענען נוצן די בילדער.

איצט לאָמיר צוריקקומען צו אָפּציע 2 דיסקאַסט אויבן, ווען די Buildah קאַנטיינער קענען לייענען און שרייַבן צו קאַנטיינערז / קראָם אויף די מחנות און, אַקאָרדינגלי, האט מאַקסימום פאָרשטעלונג רעכט צו קאַטשינג בילדער אויף די פּאָדמאַן / CRI-O מדרגה, אָבער גיט אַ מינימום פון זיכערהייט זינט עס קענען שרייַבן גלייַך צו סטאָרידזש. איצט לאָזן אונדז לייגן נאָך סטאָרידזש דאָ און באַקומען די בעסטער פון ביידע וועלטן.

# mkdir /var/lib/containers4
# podman run -v ./build:/build:z -v /var/lib/containers/storage:/var/lib/shared:ro -v  /var/lib/containers4:/var/lib/containers:Z  quay.io/buildah/stable 
 buildah  -t image4 bud /build
# podman run -v /var/lib/containers/storage:/var/lib/shared:ro  
-v >/var/lib/containers4:/var/lib/containers:Z quay.io/buildah/stable buildah push image4  registry.company.com/myuser
# rm -rf /var/lib/continers4

באַמערקונג אַז דער באַלעבאָס /var/lib/containers/storage איז מאָונטעד צו /var/lib/shared אין דעם קאַנטיינער אין לייענען-בלויז מאָדע. דעריבער, ארבעטן אין אַ קאַנטיינער, Buildah קענען נוצן קיין בילדער וואָס זענען פריער דאַונלאָודיד מיט Podman / CRI-O (העלא, גיכקייַט), אָבער קענען בלויז שרייַבן צו זיין אייגענע סטאָרידזש (העלא, זיכערהייט). אויך טאָן אַז דאָס איז דורכגעקאָכט אָן דיסייבאַלינג SELinux צעשיידונג פֿאַר דעם קאַנטיינער.

Important nuance

אין קיין צושטאנדן זאָל איר ויסמעקן קיין בילדער פון די אַנדערלייינג ריפּאַזאַטאָרי. אַנדערש, די Buildah קאַנטיינער קען קראַך.

און דאָס זענען נישט אַלע די אַדוואַנטידזשיז

די פּאַסאַבילאַטיז פון נאָך סטאָרידזש זענען נישט לימיטעד צו די אויבן סצענאַר. פֿאַר בייַשפּיל, איר קענען שטעלן אַלע קאַנטיינער בילדער אויף אַ שערד נעץ סטאָרידזש און געבן אַקסעס צו עס צו אַלע Buildah קאַנטיינערז. זאל ס זאָגן מיר האָבן הונדערטער פון בילדער וואָס אונדזער סי / סי סיסטעם קעסיידער ניצט צו בויען קאַנטיינער בילדער. מיר קאַנסאַנטרייט אַלע די בילדער אויף איין סטאָרידזש באַלעבאָס און דערנאָך, ניצן די בילכער נעץ סטאָרידזש מכשירים (NFS, Gluster, Ceph, ISCSI, S3 ...), מיר עפענען אַלגעמיין אַקסעס צו דעם סטאָרידזש צו אַלע Buildah אָדער Kubernetes נאָודז.

איצט עס איז גענוג צו אָנקלאַפּן דעם נעץ סטאָרידזש אין די Buildah קאַנטיינער אויף /var/lib/shared און דאָס איז עס - Buildah קאַנטיינערז האָבן ניט מער צו אָפּלאָדירן בילדער דורך ציען. אזוי, מיר וואַרפן די פאַר-באַפעלקערונג פאַסע און זענען גלייך גרייט צו ראָולד אויס די קאַנטיינערז.

און דאָך, דאָס קענען זיין געוויינט אין אַ לעבן Kubernetes סיסטעם אָדער קאַנטיינער ינפראַסטראַקטשער צו קאַטער און לויפן קאַנטיינערז ערגעץ אָן קיין דאַונלאָודינג פון בילדער. דערצו, די קאַנטיינער רעגיסטרי, באקומען אַ שטופּן בעטן צו צופֿעליקער אַ דערהייַנטיקט בילד צו עס, קענען אויטאָמאַטיש שיקן דעם בילד צו אַ שערד נעץ סטאָרידזש, ווו עס איז גלייך בנימצא צו אַלע נאָודז.

קאַנטיינער בילדער קענען מאל דערגרייכן פילע גיגאבייט אין גרייס. די פאַנגקשאַנאַליטי פון נאָך סטאָרידזש אַלאַוז איר צו ויסמיידן קלאָונינג אַזאַ בילדער אַריבער נאָודז און מאכט די קאַטער פון קאַנטיינערז כּמעט גלייך.

אין אַדישאַן, מיר זענען דערווייַל ארבעטן אויף אַ נייַע שטריך גערופן אָוווערליי באַנד מאַונץ, וואָס וועט מאַכן בנין קאַנטיינערז אפילו פאַסטער.

סאָף

לויפן Buildah אין אַ קאַנטיינער אין Kubernetes/CRI-O, Podman אָדער אפילו דאָקער איז פיזאַבאַל, פּשוט און פיל מער זיכער ווי ניצן docker.socket. מיר האָבן שטארק געוואקסן די בייגיקייט פון ארבעטן מיט בילדער, אַזוי איר קענען לויפן זיי אין אַ פאַרשיידנקייַט פון וועגן צו אַפּטאַמייז די וואָג צווישן זיכערהייט און פאָרשטעלונג.

די פאַנגקשאַנאַליטי פון נאָך סטאָרידזש אַלאַוז איר צו פאַרגיכערן אָדער אפילו גאָר עלימינירן די דאַונלאָודינג פון בילדער צו נאָודז.

מקור: www.habr.com