前言：

在云原生時代中，容器鏡像是一切應用分發的基礎載體，除了dockerhub作為流行的鏡像倉庫外，各大公有云廠商也都提供了功能豐富鏡像倉庫服務，如ACR（Aliyun Container Registry）, GCR（Goolge Container Registry），構建容器鏡像已是所有開發者必須掌握的基礎實踐能力。

無論開發者選擇在本地使用docker完成基本的鏡像構建，還是使用CI/CD服務（如Jenkins），本質上都是遵循“pull -> build -> push”的過程，完成鏡像的構建、分發和同步等操作。

本文介紹了一種新的面向開發者的簡單鏡像構建實踐，基于阿里云Serverless Kubernetes容器服務，可以自動化而且低成本的構建容器鏡像，以便讓開發者了解如何使用Serverless運行CI/CD和自動化任務。

why serverless kubernetes？

容器鏡像的構建是需要計算資源的，開發者在本地使用docker pull/build/push時，其計算資源是本地開發機器，如果開發者在傳統kubernetes集群中部署Jenkins或Gitlab-runner服務，其計算資源也是需要持續運行。但是，容器鏡像的構建基本屬于高度動態的行為，往往是定時或者條件觸發引起的操作，所以為了動態的構建操作而維護一個固定的計算資源池對成本是不利的。

Serverless Kubernetes不同與傳統基于節點的k8s集群，serverless集群中只有pod運行時才會收費，意味著只有在構建鏡像時用戶才需要付費，當構建結束時，也就停止計費。所以在成本上與傳統k8s集群或ecs部署的方式相比顯著減少。

Kaniko

在Serverless Kubernetes集群中，pod沒有privileged權限，無法訪問主機上的docker daemon，也就無法使用docker in docker方案進行鏡像的操作，那么如何在kubernetes集群中不依賴宿主機的Docker情況下構建鏡像呢？顯然這是一個通用需求，社區也有了推薦的方案：kaniko。

kaniko的工作原理與docker build類似，但是不依賴docker daemon，在pod中完成Dockfile各層的解析和build，這使得pod不需要privileged權限也可以完成鏡像的pull/build/push。

實踐示例：定時同步容器鏡像

下面讓我們使用Serverless Kubernetes和Kaniko實現一個簡單的鏡像build實驗：定時同步鏡像到國內ACR。

步驟1: 創建Serverless Kubernetes集群

登陸容器服務控制臺, 5s即可完成Serverless集群創建。（如果是國外的源鏡像倉庫，可以選擇美西區域）

步驟2: 創建secret，配置ACR的用戶名密碼，用于推送鏡像到ACR

可登陸cloudshell操作如下命令。

#docker login registry.cn-hangzhou.aliyuncs.com ... #kubectl create secret generic regsecret --from-file=/root/.docker/config.json ...

步驟3: 創建定時任務CronJob

在控制臺選擇模版創建如下定時任務，每小時同步busybox鏡像到ACR。

apiVersion: v1 kind: ConfigMap metadata:name: dockerfile-cm data:Dockerfile: |FROM busybox:latest --- apiVersion: batch/v1beta1 kind: CronJob metadata:name: kaniko-builder spec:schedule: "*/60 * * * *"jobTemplate:spec:template:spec:containers:- name: builderimage: gcr.io/kaniko-project/executor:latestimagePullPolicy: Alwaysargs:- "--dockerfile=/configs/Dockerfile"- "--destination=registry.cn-hangzhou.aliyuncs.com/jovizhangwei/busybox:latest"volumeMounts:- name: dockerfilereadOnly: truemountPath: "/configs/"- name: secretsreadOnly: truemountPath: "/root/.docker/"volumes:- name: dockerfileconfigMap:name: dockerfile-cm- name: secretssecret:secretName: regsecretrestartPolicy: OnFailure

待job執行后，可查看ACR鏡像倉庫，確認鏡像已同步。

用戶可以按照需求定制此模版文件，比如修改需要同步的鏡像，添加build步驟等，也可以設置pod的資源限制（vcpu 0.25/0.5/1等)， 以最小的計算成本完成同步任務。

結束

通過上面的示例，我們看到基于Serverless Kubernetes的按需付費特性，可以使用很低的成本運行一些定時和CI/CD任務，而不用維護一個固定的計算資源池，其同樣適用于壓力測試、數據計算、工作流處理等其他場景。

Happy Hacking！

原文鏈接
本文為云棲社區原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的利用Serverless Kubernetes和Kaniko快速自动化构建容器镜像的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。