姓名学中萍字无根怎么解释_无根Buildah的工作原理：在非特权环境中构建容器

姓名学中萍字无根怎么解释

在以前的文章中，包括无根Podman如何工作？，我谈到了Podman ，该工具使用户可以管理Pod，容器和容器图像。

Buildah是用于构建与Podman互补的Open Container Initiative（ OCI ）容器映像的工具和库。（这两个项目都是由我所属的容器组织维护的。）在本文中，我将讨论无根Buildah，包括它与Podman之间的区别。

Buildah的目标是构建一个低级工具，可以直接使用它，也可以将其提供给其他工具来构建容器映像。

为什么选择Buildah？

这是我描述容器映像的方式：基本上是一个rootfs目录，其中包含运行容器所需的代码。该目录称为rootfs，因为在Linux机器上它通常看起来像/（root） ，这意味着您很可能在rootfs中找到目录，例如/ etc ， / usr ， / bin等。

OCI图像格式规范。

然后将rootfs和JSON文件压缩在一起，以创建存储在容器注册表中的映像包。要创建分层图像，请在rootfs中安装更多软件，然后修改JSON文件。然后，将新的和旧的rootfs的差异打包，并将其存储在另一个映像tarball中。第二个JSON文件通过校验和引用回第一个JSON文件。

许多年前，Docker引入了Dockerfile，这是一种用于构建容器映像的简化脚本语言。 Dockerfile很棒，而且确实起飞了，但是它有许多用户抱怨的缺点。例如：

Dockerfile鼓励在容器映像中包含用于构建容器的工具。容器映像不需要包含yum / dnf / apt，但是大多数包含其中之一及其所有依赖项。
每行导致创建一个图层。因此，机密可能会错误地添加到容器映像中。如果您在Dockerfile的一行中创建一个密钥，然后在下一行将其删除，则该密钥仍在映像中。

我对“容器革命”的最大抱怨之一是，自它诞生以来已有六年，构建容器映像的唯一方法仍然是使用Dockerfiles。除了Buildah之外，还出现了除docker build之外的许多工具，但大多数工具仍仅处理Dockerfile。因此，用户继续绕过Dockerfile的问题。

需要注意的是umoci是码头工人建立一个替代方案，可以让你建集装箱图像，无需Dockerfile。

Buildah的目标是构建一个简单的工具，该工具可以在磁盘上创建rootfs目录，并允许其他工具填充该目录，然后创建JSON文件。最后，Buildah将创建OCI映像并将其推送到容器注册表，该容器注册表可被任何容器引擎（例如Docker ，Podman， CRI-O或其他Buildah）使用。

Buildah还支持Dockerfile，因为我们知道构建容器的大多数人都创建了Dockerfile。

直接使用Buildah

许多人直接使用Buildah。 Buildah的一个很酷的功能是您可以直接在Bash中编写容器构建脚本。

下面的示例创建一个bash脚本叫myapp.sh，它使用Buildah拉下Fedora的图像，然后使用DNF， 使一台机器上的软件安装到容器图像根文件系统，$ MNT。 然后，它使用buildah config将一些字段添加到JSON文件，并将容器提交到容器映像myapp 。最后，它将容器映像推送到容器注册表quay.io。 （它可以将其推送到任何容器注册表。）现在，任何容器引擎或Kubernetes都可以使用此OCI映像。

cat myapp.sh

        #!/bin/sh

        ctr=$(buildah from fedora)

        mnt=($buildah mount $ctr)

        dnf -y install --installroot $mnt httpd

        make install DESTDIR=$mnt myapp

        rm -rf $mnt/var/cache $mnt/var/log/*

        buildah config --command /usr/bin/myapp -env foo=bar --working-dir=/root $ctr

        buildah commit $ctr myapp

        buildah push myapp http://quay.io/username/myapp

要创建非常小的图像，您可以在上面的脚本中用草稿替换fedora ，并且Buildah将构建一个容器图像，该图像仅对容器图像中的httpd包具有要求。无需Python或DNF。

`Podman与Buildah的关系`

使用Buildah，我们有一个用于构建容器映像的低级工具。 Buildah还为其他工具提供了一个用于构建容器映像的库。 Podman旨在取代Docker命令行界面（CLI）。 Docker CLI之一是docker build 。我们需要构建podman以支持使用Dockerfiles构建容器映像。 Podman在Buildah库中提供，以允许它执行podman构建。每当执行podman构建时，您都在执行Buildah代码来构建容器映像。如果仅打算使用Dockerfiles来构建容器映像，我们建议您仅使用Podman。根本不需要Buildah。

`使用Buildah库的其他工具`

Podman不是利用Buildah库的唯一工具。 OpenShift 4 Source-to-Image （S2I）也将使用Buildah构建容器图像。 OpenShift S2I允许使用OpenShift的开发人员使用Git命令修改源代码；当他们将对源代码的更改推送到Git存储库时，OpenShift会启动一项工作，以编译源更改并创建容器映像。它还在幕后使用Buildah构建该映像。

Ansible-Bender是一个通过Ansible剧本构建容器图像的新项目。对于熟悉Ansible的人来说，Ansible-Bender可以轻松描述容器映像的内容，然后使用Buildah打包容器映像并将其发送到容器注册表。

我们希望看到其他用于描述和构建容器映像的工具和语言，并欢迎其他人使用Buildah进行转换。

`无根问题`

Buildah在无根模式下可以正常工作。它使用用户命名空间的方式与Podman相同。如果执行

$ buildah bud --tag myapp -f Dockerfile .

        $ buildah push myapp http://quay.io/username/myapp

在您的主目录中，一切正常。

但是，如果执行上述脚本，它将失败！

问题在于，当在无根模式下运行buildah mount命令时， buildah命令必须将其自身放入用户名称空间中并创建新的安装名称空间。如果非root用户不在用户名称空间中运行，则不允许其挂载文件系统。

当Buildah可执行文件退出时，用户名称空间和安装名称空间消失，因此安装点不再存在。这意味着在buildah挂载后尝试写入$ mnt的命令将失败，因为不再挂载$ mnt 。

我们如何使脚本在无根模式下工作？

`Buildah取消分享`

Buildah有一个特殊的命令buildah unshare ，它允许您输入用户名称空间。如果不执行任何命令，它将在用户名称空间中启动一个外壳程序，您的外壳程序似乎以root身份运行，而主目录的所有内容似乎都由root拥有。如果查看/ usr中的所有者或文件，它将列出它们为nfsnobody （或没人）拥有。这是因为您的用户ID（UID）现在位于用户名称空间内部，而真实根（UID = 0）并未映射到用户名称空间。内核将未映射到用户名称空间的UID拥有的所有文件表示为NFSNOBODY用户。退出外壳程序时，将退出用户名称空间，回到正常的UID，主目录将再次归您的UID所有。

如果要执行上面定义的myapp.sh命令，可以执行buildah unshare myapp.sh ，脚本现在将正确运行。

`结论`

现在可以在非特权环境中构建和运行容器，并且非常有用。开发人员没有理由将容器开发为根。

如果您想使用传统的容器引擎，并使用Dockerfile进行构建，那么您可能应该只使用Podman。但是，如果您想尝试以新方式构建容器映像而不使用Dockerfile，那么您应该真正了解Buildah。

翻译自: https://opensource.com/article/19/3/tips-tricks-rootless-buildah

姓名学中萍字无根怎么解释