Hacker News

BuildKit: La Kaŝa Gemo de Docker Kiu Povas Konstrui Preskaŭ Ion

Komentoj

14 min read Via tuananh.net

Mewayz Team

Editorial Team

Hacker News

BuildKit: La Kaŝita Gemo de Docker Kiu Povas Konstrui Preskaŭ Ion ajn

Plej multaj programistoj konas Docker kiel la kontenera rultempo, kiu ŝanĝis kiel la programaro estas sendita. Multe malpli scias pri la motoro kviete zumanta sub la surfaco de ĉiu moderna Docker-konstruaĵo — BuildKit, la venontgeneracia konstrusistemo, kiu sendas kun Docker ekde versio 18.09 kaj fariĝis la defaŭlta backend en Docker 23.0. Dum inĝenieroj senfine kverelas pri Kubernetes-agordoj kaj mikroservaj ŝablonoj, BuildKit konstante evoluas al unu el la plej potencaj kaj flekseblaj konstrusistemoj en la DevOps-ekosistemo. Se vi traktis ĝin kiel pli rapidan docker-konstruaĵo, vi lasas grandegan kapablon sur la tablo. Firmaoj funkciigantaj altproduktajn CI/KD-duktojn reduktis konstrutempojn je 50–70% simple komprenante kion BuildKit efektive ofertas — kaj tio estas nur la komenco.

Kio igas BuildKit Esence Malsama de la Klasika Konstruilo

La originala konstrumotoro de Docker efektivigis instrukciojn de Dockerfile sinsekve, unu tavolon samtempe, sen konscio pri kia laboro povus sekure okazi paralele. BuildKit anstataŭigas tiun linearan ekzekutmodelon kun direktita acikla grafeo (DAG) — dependeca grafeo kiu komprenas kiuj konstrupaŝoj dependas unu de la alia kaj kiuj ne. Sendependaj stadioj efektiviĝas samtempe, neuzataj stadioj estas tute preterlasitaj, kaj la tuta konstruo fariĝas deklara priskribo de tio, kion vi volas prefere ol imperativa sinsekvo de paŝoj, kiujn vi devas deklami en la ĝusta ordo.

Ĉi tiu arkitektura ŝanĝo havas praktikajn sekvojn, kiuj iras preter rapideco. Kiam plurŝtupa Dockerfile kompilas Go-binaron en unu etapo, elŝutas Node.js dependecojn en alia, kaj kunvenas produktadbildon en tria, BuildKit povas ruli la unuajn du stadiojn samtempe. Konstruaĵo kiu antaŭe daŭris kvar minutojn sur potenca CI-kuristo nun finiĝas en malpli ol naŭdek sekundoj. Stripe, Shopify, kaj dudekopo de aliaj altskalaj inĝenieraj teamoj dokumentis similajn gajnojn en siaj internaj prilaboraj retrospektivoj. La DAG-modelo ankaŭ signifas, ke BuildKit povas generi tre precizajn konstruajn metadatumojn — fundamenton por funkcioj kiel atestoj de deveno kaj generacio de programaro de materialoj (SBOM), kiuj ege gravas por sekureco de provizoĉeno.

Ekzistas ankaŭ koncipa ŝanĝo en kiel funkcias kaŝmemormalvalidigo. La klasika konstruanto nuligis ĉiun tavolon sub iu ajn ŝanĝita instrukcio. BuildKit spuras enhavajn haŝojn ĉe ĉiu enigo, do ŝanĝi komenton en Dockerfile ne forblovas kaŝmemoron, kiu reprezentas tridek minutojn da kompilo. Kiam via konstrukaŝmemoro estas la diferenco inter kvin-minuta kaj kvardek-minuta sugesta buklo por via inĝenieristiko, ĉi tiu precizeco gravas multe pli ol ĝi komence ŝajnas.

Multplatformaj Konstruaĵoj: Unu Komando, Ĉiu Arkitekturo

La flago --platform de BuildKit kaj QEMU-integriĝo transformas tion, kio iam estis dolora plursistema kunordiga problemo en ununuran komandon. Ruli docker buildx build --platform linux/amd64,linux/arm64,linux/arm/v7 . produktas tri produktadpretajn bildojn paralele el ununura konstrua alvoko. Ĉi tiu kapablo fariĝis kritika dum la industrio moviĝas al ARM — AWS Graviton3-instancoj konstante liveras 40% pli bonan prez-efikecon sur laborŝarĝoj kiel retservado kaj datumtraktado, kaj Apple Silicon igis ARM la defaŭlta evolumaŝino por milionoj da inĝenieroj.

Antaŭ ol la plurplatforma subteno de BuildKit maturiĝis, konservi apartajn konstrufluojn por malsamaj arkitekturoj estis vera kostcentro. Teamoj aŭ konservis plurajn Dockerfiles, prizorgis apartajn CI-duktojn sur malsame arkitektaj kuristoj, aŭ simple sendis x86-bildojn ĉie kaj pagis la rendimentan punon pri ARM-infrastrukturo. Kun BuildKit, vi difinas vian konstruaĵon unufoje kaj lasas la sistemon pritrakti arkitekturspecifan kompilon travideble. Rust-projektoj kiuj postulas kruc-kompilon, Go-projektoj kun CGO-dependecoj, Python-pakaĵoj kun C-etendaĵoj — BuildKit pritraktas la emuladtavolon sen postuli, ke vi komprenu la detalojn de ĉiu cela platformo.

La praktika komerca valoro ĉi tie estas mezurebla. Teamo prizorganta 200 ujojn sur AWS Graviton-instancoj je $ 0.04 per vCPU-horo kontraŭ la ekvivalenta x86-okazaĵo je $ 0.056 per vCPU-horo ŝparas proksimume $ 11,520 ĉiujare per 100 vCPU-oj - nur de elektado de la ĝusta arkitekturo. Fari tiun elekton alirebla sen reinĝenierado estas ĝuste tia infrastruktura optimumigo, kiu tuj pagas sin.

Sekreta Administrado Sen Liko en Bildavolojn

Unu el la plej subtaksitaj funkcioj de BuildKit estas ĝia sekreta API. La klasika Docker-konstruanto havis neniun puran manieron pasigi akreditaĵojn en konstruaĵon sen tiuj akreditaĵoj eble finiĝantaj en bildtavolo. Programistoj prilaboris ĉi tion per plurŝtupaj konstruoj, instrukcioj ARG kaj zorgema mendado — sed la risko hazarde baki API-ŝlosilon aŭ privatan SSH-ŝlosilon en senditan bildon restis malkomforte alta. Sekurecaj skaniloj rutine trovas malmolajn koditajn akreditaĵojn en ujbildoj publikigitaj al publikaj registroj, kaj multaj el tiuj likoj rekte spuras al mallerta sekreta uzado dum konstruoj.

La flago --sekreta de BuildKit muntas sentemajn datumojn en la konstruan medion kiel provizoran dosiersistemon vojon kiu ekzistas nur dum la daŭro de la specifa RUN instrukcio kiu bezonas ĝin kaj neniam tuŝas ajnan bildtavolon. Dockerfile-instrukcio kiel RUN --mount=type=secret,id=npmrc cat /run/secrets/npmrc > ~/.npmrc && npm install donas al la konstruprocezo aliron al privataj npm-akreditaĵoj sen tiuj akreditaĵoj iam ajn aperantaj en la fina bildo aŭ iu ajn meza tavolo. La sama ŝablono funkcias por PyPI-akreditaĵoj, Maven-agordoj, SSH-ŝlosiloj por privataj Git-deponejoj, kaj ajna alia sentema materialo, kiun via konstruprocezo postulas.

Por teamoj konstruantaj softvaron, kiu tuŝas reguligitajn industriojn - sanplatformoj, fintech-produktoj, HR-programaro - la diferenco inter "akreditaĵoj povus esti en la bildo" kaj "akreditaĵoj pruveble ne povas esti en la bildo" estas la diferenco inter pasigi sekurecan revizion kaj pasigi tri semajnojn por solvi trovojn. Platformoj kiel Mewayz, kiuj funkciigas komercajn operaciojn por pli ol 138,000 uzantoj tra industrioj kiel salajro-etato, HR kaj fakturado, dependas de ĝuste ĉi tiu pruvebla sekureca sinteno en siaj konstruaj kaj disfaldaj duktoj por konservi la fidon de tiuj klientoj etendas al siaj sentemaj financaj kaj personaj datumoj.

Kaŝmemoreksportoj: Farante CI-duktojn Efektive Rapide

CI-duktoj estas kie konstruefikeco plej gravas kaj kie la defaŭlta Docker-konstrua sperto historie estis plej dolora. Freŝaj CI-kuristoj kutime komenciĝas per malplenaj kaŝmemoroj, tio signifas, ke ĉiu dukto-kuro rekompilas ĉion de nulo. Por Java servo kun centoj da Maven-dependecoj, Rust-projekto aŭ Python-aplikaĵo kun pezaj indiĝenaj etendaĵoj, tio signifas konstrutempojn mezuritaj en dekoj da minutoj prefere ol sekundoj. La komerca kosto de malrapida CI estas enorma — reduktita ofteco de deplojiĝo, pli longaj reagoj, kaj inĝenieroj sidas neaktive atendante ke duktoj finiĝos antaŭ ol ili povas kunfandiĝi kaj pluiri.

La kaŝeksporta funkcio de BuildKit solvas ĉi tion per eksporteblaj kaŝmemormanifestoj. Uzante --cache-to type=registry,ref=myregistry/myapp:cache kaj --cache-from type=registry,ref=myregistry/myapp:cache, BuildKit puŝas detalan kaŝmemorfoton al registro post ĉiu konstruo kaj tiras ĝin ĉe la komenco de la sekva. La kaŝmemoro estas enhav-adresita, do nur vere ŝanĝitaj tavoloj estas rekolektitaj. Teamoj uzantaj ĉi tiun ŝablonon en GitHub Actions, GitLab CI kaj CircleCI rutine tranĉas duktotempojn de dek kvin minutoj ĝis malpli ol tri dum postaj kuroj. La propra dokumentaro de GitHub pri progresintaj Docker-konstruaj laborfluoj forte rekomendas ĉi tiun ŝablonon ĝuste pro tio.

La plej rapida konstruo estas tiu, kiun vi neniam devas ruli denove. La tavoligita, enhav-adresita kaŝmemorsistemo de BuildKit ne nur akcelas konstruojn — ĝi igas la tutan koncepton de "konstruaĵo" pli inteligenta, igante ripetan kompilon en pliiga diferenco de ĝuste kio ŝanĝiĝis.

Kaŝeksportoj ankaŭ integriĝas pure kun branĉo-bazitaj evoluaj laborfluoj. Vi povas agordi vian CI-dukton por reveni de branĉo-specifa kaŝmemoro al la ĉefbranĉa kaŝmemoro kiam neniu branĉo kaŝmemoro ekzistas, tio signifas ke novaj branĉoj tuj profitas el la varma kaŝmemoro akumulita de via ĉefa evolulinio. Inĝenieroj ricevas rapidajn reagojn de sia unua engaĝiĝo pri nova branĉo prefere ol atendi punon de malvarma komenco.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

BuildKit Frontends: Konstruado Preter Dockerfiles

Eble la malplej konata kapablo de BuildKit estas, ke Dockerfiles estas nur unu ebla enigformato — ne la sola. BuildKit havas ŝtopeblan fasan arkitekturon kiu permesas tute laŭmendajn konstruajn difinlingvojn kaj formatojn. La fasado estas specifita per la direktivo # syntax= ĉe la supro de via konstrudosiero, kiu diras al BuildKit tiri apartan interfablan bildon kaj uzi ĝin por analizi kaj ekzekuti la reston de la dosiero.

Ĉi tiu arkitekturo ebligis plurajn konvinkajn projektojn. Buildpacks-integriĝo permesas al BuildKit konstrui ujajn bildojn el aplikaĵa fontkodo tute sen iu ajn Dockerfile - ĝi detektas la lingvon, elektas taŭgajn bazajn bildojn kaj aŭtomate arigas produktadpretan ujon. HPC kaj sciencaj komputikkomunumoj uzis specialadaptitajn fasadojn por priskribi konstruaĵojn en domajnaj specifaj lingvoj kiuj kompiliĝas malsupren al la interna LLB (Malaltnivela Konstruo) reprezentantaro de BuildKit. La sintakso docker/dockerfile:labs eksperimentas kun funkcioj kiel heredoc-subteno, --network kontrolo per instrukcio, kaj plibonigitaj kaŝmemoraj sugestoj antaŭ ol ili alteriĝas en stabila Dockerfile-sintakso.

La kapablo difini vian propran fasadon ankaŭ signifas, ke organizoj kun nekutimaj konstrupostuloj ne devas elekti inter "ŝuŝuo ĉion en Dockerfile-sintakso" kaj "tute forlasi ujojn." Teamkonstrua FPGA-firmvaro, enkonstruitaj sistembildoj, aŭ specialecaj ML-modelujoj povas priskribi sian konstruon en esprimoj kiuj havas sencon por sia domajno dum daŭre produktante normajn OCI-konformajn ujbildojn kiuj deplojiĝas ie ajn ujoj funkcias. Ĉi tiu etendebleco estas vera arkitektura avantaĝo super konstrusistemoj kiuj traktas sian enigformaton kiel fiksa.

Deveno kaj SBOM: Konstruaĵo por la Post-SolarWinds Mondo

Sekureco pri programara provizoĉeno moviĝis de teoria zorgo al estrarnivela prioritato post la rompo de SolarWinds en 2020 kaj la vundebleco de Log4Shell en 2021. La Plenuma Ordo 14028 de la usona registaro pri cibersekureco, eldonita en majo 2021, postulis programarfakturon por federaciaj kontraktistoj. La atestoj de deveno kaj SBOM-generaciaj funkcioj de BuildKit estas rekta respondo al ĉi tiu reguliga kaj sekureca pejzaĝo.

Kun flagoj --provenance=true kaj --sbom=true, BuildKit generas kriptografie subskribitajn atestojn, kiuj priskribas ĝuste kio eniris ujo-bildon — kiuj bazbildoj estis uzitaj, kiuj Dockerfile-instrukcioj efektivigis, kiuj fontdosieroj ĉeestis, kaj kiaj eksteraj dependencajoj estis prenitaj. Ĉi tiuj atestoj sekvas la kadron SLSA (Provizoĉenaj Niveloj por Programaraj Artefaktoj) kaj la entute atestformaton, igante ilin maŝinkontroleblaj per politikaj motoroj kiel Cosign de Sigstore kaj OPA (Malferma Politika Agento).

La praktika laborfluo, kiun ĉi tio ebligas, aspektas jene:

  1. Programisto puŝas kodon; CI-dukto ekigas BuildKit-konstruaĵon kun deveno ebligita.
  2. BuildKit generas subskribitan SBOM listiganta ĉiujn komponantojn kaj iliajn versiojn.
  3. La SBOM estas publikigita al la kontenera registro kune kun la bildmanifesto.
  4. Regiloj de akcepto en la Kubernetes-areto kontrolas devenon antaŭ ol permesi disfaldon.
  5. Vulnerecskaniloj pridemandas la SBOM por identigi tuŝitajn bildojn kiam novaj CVE-oj estas malkaŝitaj.

Teamoj kiuj efektivigas ĉi tiun plenan dukton povas respondi al vundeblecoj en horoj prefere ol tagoj, ĉar ili havas precizan, maŝinlegeblan mapon de ĉiu komponento en ĉiu funkcianta ujo. Por entreprenoj kiel Mewayz, kiuj integriĝas profunde en funkciajn laborfluojn de klientoj - prizorgado de etato, administrado de flotaj datumoj, prilaborado de fakturoj - la kapablo pruvi rigoran, revizieblan provizoĉenon estas ĉiam pli antaŭkondiĉo por entreprenaj vendaj konversacioj, ne nur agrabla havi.

Komenco: De Defaŭltaj Konstruaĵoj ĝis Altnivelaj Duktoj

BuildKit jam funkcias en via Docker-medio se vi uzas lastatempan version — Docker 23.0 kaj poste ebligu ĝin defaŭlte. La unua praktika paŝo por plej multaj teamoj estas ebligi la kromprogramon Docker Buildx, kiu elmontras la plenan funkcion de BuildKit per la subkomando docker buildx. Ruli docker buildx create --use starigas BuildKit-konstruaĵan petskribon kun pli da kapablo ol la defaŭlta pelilo. De tie, pliiga adopto de altnivelaj funkcioj havas sencon prefere ol provi adopti ĉion samtempe.

Racia adopta vojo por teamo nuntempe faranta bazajn docker-konstruadon alvokojn ŝajnas unue aldoni kaŝmemoreksportojn al CI — tio liveras tujajn, mezureblajn rapidecplibonigojn kun minimuma agorda ŝanĝo. Plurplatformaj konstruoj fariĝas valoraj kiam la teamo komencas celi ARM-infrastrukturon. Sekreta muntado valoras adopti kiam ajn privataj pakaj registroj aŭ SSH-ŝlosiloj aperas en konstrua kunteksto. Devenaj atestadoj havas sencon por ebligi kiam konformaj postuloj aŭ entreprenaj klientpostuloj faras necesan dokumentaron pri provizoĉeno.

La pli profunda leciono de BuildKit temas pri konstrui intence. Ĉu vi sendas ujon por mikroservo, maŝinlerndan inferpunkton, aŭ kompleksan platformon kiel la aro de 207 komercaj moduloj de Mewayz, la konstruprocezo ne estas formalaĵo, kiun vi rapidas tra la vojo al deplojo - ĝi estas inĝenieristiko, kiu reflektas la kvaliton, sekurecan pozicion kaj operacian maturecon de ĉio, kio el ĝi sendas. BuildKit donas al vi la ilojn por fari tiun artefakton bonega. La demando estas simple ĉu vi prenas la tempon por uzi ilin.

Oftaj Demandoj

Kio estas BuildKit kaj kiel ĝi diferencas de la klasika konstrusistemo Docker?

BuildKit estas la venontgeneracia konstrumotoro de Docker, enkondukita en Docker 18.09 kaj defaŭlta en Docker 23.0. Male al la klasika konstruanto, BuildKit subtenas paralelan tavolekzekuton, altnivelajn kaŝmemorstrategiojn, sekretmuntadon kaj transplatformajn konstruojn. Ĝi traktas la konstruprocezon kiel direktitan aciklan grafeon (DAG), ebligante pli inteligentan dependecan rezolucion kaj draste pli rapidajn konstrutempojn por kompleksaj, plurfazaj Dockerfiles.

Ĉu mi bezonas instali ion kroman por komenci uzi BuildKit kun Docker?

Ne necesas aldona instalado se vi rulas Docker 23.0 aŭ poste — BuildKit estas ebligita defaŭlte. Ĉe pli malnovaj versioj, vi povas aktivigi ĝin agordante la mediovariablon DOCKER_BUILDKIT=1 antaŭ ol ruli viajn konstrukomandojn. Por altnivelaj uzkazoj kiel foraj konstrukaŝmemoroj aŭ plurplatformaj konstruoj, vi eble volas agordi dediĉitan Buildx-konstruaĵan ekzemplon uzante docker buildx create.

Ĉu BuildKit povas esti uzata por konstrui artefaktojn preter normaj ujbildoj?

Jes, kaj ĉi tiu estas unu el la plej subtaksitaj kapabloj de BuildKit. Uzante kutimajn fasadojn kaj la flagon --output, BuildKit povas produkti krudajn binarojn, tarballs, senmovajn retejojn kaj aliajn arbitrajn dosierojn - ne nur OCI-bildojn. Ĉi tio igas ĝin ĝeneraluzebla konstrumotoro, kiu konvenas nature al poliglotaj monorepos kaj kompleksaj CI-duktoj kie malsamaj teamoj bezonas malsamajn eligformatojn de unuigita ilĉeno.

Kiel BuildKit taŭgas en pli larĝa DevOps-platformo kune kun iloj kiel Mewayz?

BuildKit pritraktas la malaltnivelan konstrutavolon, sed modernaj evoluigaj teamoj ankaŭ bezonas administri komercajn laborfluojn, klientliveron kaj funkciajn procezojn. Platformoj kiel Mewayz — 207-modula komerca OS komencanta je $ 19/mo — kompletigas infrastrukturajn ilojn kovrante la operacian flankon de programaraj entreprenoj. Kunigo de efikaj konstruduktoj funkciigitaj de BuildKit kun tute-en-unu platformo kiel Mewayz donas al teamoj kompletan stakon de koda artefakto ĝis klienta livero.