コンテナイメージをDockerfileを使わずにビルドする Cloud Native Buildpacks と kpack の紹介。
Confidential │ ©2021 VMware, Inc.脱 Dockerfile!Cloud Native Buildpacksとkpackを使った簡単で安全なイメージビルドYuichi ItoSr Platform Architect / Modern Application Platform BUFeb 2021
View Slide
Confidential │ ©2021 VMware, Inc. 2l Dockerfileのおさらいと問題点l Cloud Native Buildpackl 概要l デモl ビルドの流れと内部の仕組みl 導入方法l kpackl 概要l デモl ビルドの流れと内部の仕組みl 導入方法l CIパイプラインの構築例l 製品版である VMware Tanzu Build Service の紹介目次
Confidential │ ©2021 VMware, Inc. 3コンテナイメージをビルドするための定義ファイルInfrastracture as a Code によくあるYAMLなどの「構成定義ファイル」というよりも、ビルドするための手順書(コマンドを羅列したBashスクリプト)に近い分かりやすく、導入が簡単DockerfileのおさらいDockerfile1. ベースイメージ2. OSパッケージインストール3. ソースコード取り込み4. ライブラリインストール5. コードのビルド6. 実行コードの定義Docker 基盤1. ベースイメージ2. OSパッケージインストール3.ソースコード取り込み4.ライブラリインストール5.コードのビルド6.実行コードの定義ビルド定義差分の積み重ねでビルドコンテナイメージ成果物
Confidential │ ©2021 VMware, Inc. 4よくあるDockerfileの使われかた• ググって見つけたDockerfileをベースに修正• アプリを載せて動くことは確認できた• 微調整しながら本番用イメージ構築用に近づける「動く」 ≠ 「プロダクションレディ」Javaアプリで挙げられるDockerfileの問題例• ビルド作業のガバナンスがない(危険なビルドを実施可能)• ベースイメージ: LinuxやJava的な脆弱性はないか• JVMパラメーター: Javaの設定(ヒープなど)は問題ないか• ライブラリ: 問題の報告されているライブラリを使っていないか• 数十、数百ある Dockerfile をメンテナンスし続けられるかその手順で作成したイメージは「ただ動くだけ」ではないか?Dockerfileの問題点Dockerfile1. ベースイメージ2. OSパッケージインストール3. ソースコード取り込み4. ライブラリインストール5. コードのビルド6. 実行コードの定義50人で500Dockerfileの管理。大丈夫?
Confidential │ ©2021 VMware, Inc. 5Dockerfileの中身がプロダクションレディではない-> Dockerfileのように自分たちで細かなステップごとのビルド定義をしない-> ソースコードに応じたベストプラクティスに沿った自動ビルドを実施大量にあるDockerfileが陳腐化(古く)する-> 共通したビルド定義のみ更新すれば、全イメージを新定義でビルドしなおせる人に頼らないベストプラクティスを採用した自動ビルドの採用Dockerfileの問題の解決方法
6Confidential │ ©2021 VMware, Inc.Cloud Native Buildpacks (CNB)
Confidential │ ©2021 VMware, Inc. 7Dockerfileで実現していたビルド手順の定義を自動で作成/ビルドDockerfileにない強み• 細かなビルド手順を書く必要がなくなる• ベストプラクティスに沿ったビルドが実施される• ビルドキャッシュ(前回のビルドから変更がない箇所の再利用)が優秀ソースコードを書くだけでコンテナイメージのビルドができる概要Cloud Native BuildpacksBuildpacks• ソースコード判定• ビルド手法の定義ソースコード記述 コンテナイメージの完成Dockerfile相当を自動生成する仕組み$ pack build sample-appビルドコマンド発行Buildpacksを使ってイメージをビルドビルド用イメージのPullイメージレジストリ
Confidential │ ©2021 VMware, Inc. 8内容• 解説しながらCNBでJavaアプリのイメージビルド、及び実行• .Netアプリののビルドと実行(早送り)• Pythonアプリののビルドと実行(早送り)• Node.jsアプリののビルドと実行(早送り)• Rubyアプリののビルドと実行(早送り)• PHPアプリののビルドと実行(早送り)Demo
Confidential │ ©2021 VMware, Inc. 9Demo [email protected]:~/Cloud-Native-Buildpacks/gcr.io-buildpacks-builder/java# pack build java-app --builder gcr.io/buildpacks/builder:v1v1: Pulling from buildpacks/builderDigest: sha256:bc3918285977bcb8ba7ef0a187497d0d8f84a10bc32f7ae85adaffe3fb206ce9Status: Image is up to date for gcr.io/buildpacks/builder:v1v1: Pulling from buildpacks/gcp/runDigest: sha256:7a00ffa71a5ac563346cf3f7d2bb5430d1518f4ff65662233fac48bec65dc813Status: Image is up to date for gcr.io/buildpacks/gcp/run:v1===> DETECTING4 of 5 buildpacks participatinggoogle.java.runtime 0.9.1google.java.maven 0.9.0google.java.entrypoint 0.9.0google.utils.label 0.0.1===> ANALYZINGRestoring metadata for "google.java.runtime:java" from app imageRestoring metadata for "google.java.maven:m2" from cache===> RESTORINGRestoring data for "google.java.runtime:java" from cacheRestoring data for "google.java.maven:m2" from cache===> BUILDING=== Java - Runtime ([email protected]) ===Using latest Java 11 runtime version....*** Images (3320cf9e22a7):java-appReusing cache layer 'google.java.runtime:java'Reusing cache layer 'google.java.maven:m2'Successfully built image java-app
Confidential │ ©2021 VMware, Inc. 10Buildpack: コードをビルドするためのスクリプトのまとまりStack: ビルドしたコードを動かすベースイメージ(OS)CNBによるビルド作業Buildpack[email protected]:~# pack builder suggestSuggested builders:Google: gcr.io/buildpacks/builder:v1 Ubuntu 18 base image with buildpacks for .NET, Go, Java, Node.js, and PythonHeroku: heroku/buildpacks:18 heroku-18 base image with buildpacks for Ruby, Java, Node.js, Python, Golang, & PHPHeroku: heroku/buildpacks:20 heroku-20 base image with buildpacks for Ruby, Java, Node.js, Python, Golang, & PHPPaketo Buildpacks: paketobuildpacks/builder:base Ubuntu bionic base image with buildpacks for Java, .NET Core, NodeJS, Go, Ruby, NGINX and ProcfilePaketo Buildpacks: paketobuildpacks/builder:full Ubuntu bionic base image with buildpacks for Java, .NET Core, NodeJS, Go, PHP, Ruby, Apache HTTPD, NGINX and ProcfilePaketo Buildpacks: paketobuildpacks/builder:tiny Tiny base image (bionic build image, distroless-like run image) with buildpacks for Java Native Image and Goビルドパックを選択Stack(ベースOS)ビルド成果物(アプリ)[email protected]:~# pack stack suggestStacks maintained by the community:Stack ID: heroku-18Description: The official Heroku stack based on Ubuntu 18.04Maintainer: HerokuBuild Image: heroku/pack:18-buildRun Image: heroku/pack:18Stack ID: io.buildpacks.stacks.bionicDescription: A minimal Paketo stack based on Ubuntu 18.04Maintainer: Paketo ProjectBuild Image: paketobuildpacks/build:base-cnbRun Image: paketobuildpacks/run:base-cnb...ビルドパックの定義でどのスタックを使うか指定(ユーザーは気にしないでOK)
Confidential │ ©2021 VMware, Inc. 11詳細はBuildpackの開発者向けドキュメントにある(利用者は内部を気にしないでOK)• Buildpack Author’s Guide: https://buildpacks.io/docs/buildpack-author-guide/• Buildpack Interface Specification: https://github.com/buildpacks/spec/blob/main/buildpack.mdおおまかな処理の流れCNB内部のビルドの流れDetection Analysis Build ExportBuildpack内の定義 Buildpack内の定義最適なビルドパックの選択(言語の判定)ビルドするレイヤーの判定(キャッシュが効くか判定)必要なレイヤーのビルド(更新のみビルド)レイヤーを束ねてイメージ化(リモートレイヤーの置き換え)
Confidential │ ©2021 VMware, Inc. 12ソースコードをビルドパックのサポート言語の判定定義に従って順にチェック判定にヒットした言語として後工程でビルドをする(判定にヒットするようにプログラムを書く必要がある)ソースコードの種類(言語)の判定Step1. Detection
Confidential │ ©2021 VMware, Inc. 13Buildを効率化するための前処理Step2. Analysis前回のビルド結果(メタ情報)を参照レイヤーごとに新規ビルド/再利用の判定
Confidential │ ©2021 VMware, Inc. 14Analysisの結果とソースコードを見比べて必要な箇所のみビルドStep3. BuildDockerfileの積み上げ式ビルドとは異なるビルドパックを使って機能ごとにビルド
Confidential │ ©2021 VMware, Inc. 15コンテナイメージの作成Step4. Export新規ビルド/既存のレイヤーよりイメージ作成次回ビルドのためのレイヤーとメタ情報登録
Confidential │ ©2021 VMware, Inc. 161. Dockerのインストール2. packコマンド(バイナリ)のインストール• Windows• MacOSX• Linux以上!!パッケージソフトやバイナリによるpackコマンドのインストールCNBの導入手順https://buildpacks.io/docs/tools/pack/
17Confidential │ ©2021 VMware, Inc.kpack
Confidential │ ©2021 VMware, Inc. 18CNBをKubernetes上で自動で動かす仕組み1. イメージリソースの作成/更新 (ビルド作業のKick)2. 自動: GitリポジトリからのコードのPull3. 自動: CNBによるビルド4. 自動: イメージリポジトリへのイメージのPushCNBにない強み• ビルド設定の作成/更新をYAMLで実現(ガバナンス)• ベースOSを変更しやすくアプリ層の再ビルドも不要• CIを自動化させやすいKubernetesを使ってCNBによるビルドをさらに自動化概要Kubernetes Clusterkpack• Builder: Image Repository• Source: Git Repository• Dest: Image RepositoryコードのPullイメージのビルド成果物イメージのPushビルド用イメージ(CNB)のPullイメージレジストリイメージレジストリGit
Confidential │ ©2021 VMware, Inc. 19内容• 解説しながらkpackでGoアプリのイメージビルド、及び実行Demo
Confidential │ ©2021 VMware, Inc. 20Demo [email protected]:~# kubectl apply -f image-go.yamlimage.kpack.io/go-image created[email protected]:~# logs -image go-image===> PREPAREBuild reason(s): CONFIGCONFIG:resources: {}- source: {}+ source:+ git:+ revision: 17cf01b61f9c055b7ac22142fa458f1edfe2a4e9+ url: https://github.com/yuichi110/kpack-demo-goLoading secret for "https://index.docker.io/v1/" from secret "tutorial-registry-credentials" at location "/var/build-secrets/tutorial-registry-credentials"Cloning "https://github.com/yuichi110/kpack-demo-go" @ "17cf01b61f9c055b7ac22142fa458f1edfe2a4e9"...Successfully cloned "https://github.com/yuichi110/kpack-demo-go" @ "17cf01b61f9c055b7ac22142fa458f1edfe2a4e9" in path "/workspace"===> DETECT3 of 4 buildpacks participatingpaketo-buildpacks/go-dist 0.2.8.....Adding label 'io.buildpacks.project.metadata'Setting default process type 'web'*** Images (sha256:275881669bbb1559d0bac30cad2ef0ef3b5d20b6d4f994dfb2e929089d6545e7):iyuichivm/kpack-go-appindex.docker.io/iyuichivm/kpack-go-app:b1.20210218.021245Adding cache layer 'paketo-buildpacks/go-dist:go'Adding cache layer 'paketo-buildpacks/go-mod-vendor:mod-cache'Adding cache layer 'paketo-buildpacks/go-build:gocache'===> COMPLETIONBuild successful[email protected]:~# cat image-go.yamlapiVersion: kpack.io/v1alpha1kind: Imagemetadata:name: go-imagenamespace: defaultspec:tag: iyuichivm/kpack-go-appserviceAccount: tutorial-service-accountbuilder:name: my-builderkind: Buildersource:git:url: https://github.com/yuichi110/kpack-demo-gorevision: 17cf01b61f9c055b7ac22142fa458f1edfe2a4e9
Confidential │ ©2021 VMware, Inc. 211. kpackを動かす管理系ワークロードをYAMLで展開2. リソース定義に従い上記ワークロードが必要時にビルド用Podを勝手に作成して作業を実施コード取得 -> CNBによるビルド -> イメージの登録kpackがビルドを実施する流れKubernetes Clusterkpack 管理系ビルド用の一時的なPodGitPullCNBBuildImagePushkpackImage Resource(アプリのビルド定義)リソース監視Imageリソース作成時/更新時に定義されたビルドタスクを実施
Confidential │ ©2021 VMware, Inc. 221. kpackを動かす管理系ワークロードをYAMLで展開2. リソース定義に従い上記ワークロードが必要時にビルド用Podを勝手に作成して作業を実施CNBやリポジトリを使うためのリソース定義。及びビルド作業の定義kpackのK8sリソースKubernetes Clusterkpack 管理系Secret定義Service-Account定義Stack定義Store定義Builder定義(CNB)Image定義(アプリ)1. Imageのリソースを作成する2. 自動: kpackがGitからコードを取得3. 自動: kpackがCNB PodでBuild4. 自動: kpackがイメージをPushビルドの流れK8sリソースYAMLで展開ビルドパックのリポジトリ指定 スタックのリポジトリ指定StoreとStackからBuilderを定義 ビルドの詳細実行に必要な情報や権限
Confidential │ ©2021 VMware, Inc. 231. プライベートレジストリの構築(Push/Pull速度的におすすめ。DockerHubなどでもOK)2. Kubernetesクラスタの作成3. kpack管理系のデプロイのためのYAML(Downloadする)を適用4. リソースSecret作成5. リソースStackとStoreを作成6. リソースBuilderの作成インストール用YAMLの実施とビルドに必要なK8sリソースの定義kpackの導入手順ビルドの詳細を指定するイメージリソースと異なり使いまわしが可能https://github.com/pivotal/kpack/blob/master/docs/install.md
24Confidential │ ©2021 VMware, Inc.自動ビルドのCI構築例
Confidential │ ©2021 VMware, Inc. 25CIパイプラインでのスクリプト作業が多い。パイプラインの更新がスクリプトの調整(手間)CNBを使う例Git ブランチContinuous IntegrationアプリケーションソースコードLinuxホスト コンテナレジストリCNBGit PullBuildDocker Pushshell shell shellkick
Confidential │ ©2021 VMware, Inc. 26CIパイプラインが単純。パイプラインの更新はkpackへのYAMLの適用kpackを使う例Git ブランチContinuous IntegrationアプリケーションソースコードKubernetes コンテナレジストリkpackBuildImageのYAMLを更新して適用kick
Confidential │ ©2021 VMware, Inc. 27サポート付きで「kpack + α」を実現したい場合に導入をご検討ください宣伝: VMware Tanzu Build ServiceTanzu Build Service が新たなコミットを検知kpack初回のコンテナビルドと同じステップを経て、新たなコンテナイメージを自動で作成Git Pushがトリガー(kpackのようにYAML更新不要)
Confidential │ ©2021 VMware, Inc.Thank YouPlease email any questions to [email protected]
yuichi110
punchdrunker
little_rubyist
koic
m_seki
akitotsukahara
shoheihosaka
dunglas
shioyama
kokuyouwind
ksudate
ymotongpoo
syumai
marcduiker
lynnandtonic
wjessup
chrislema
soudai
62gerente
kastner
jcasabona
bkeepers
eileencodes
aki_iinuma
tmm1