• 要求
• 使用 kaniko 构建 Docker 镜像
  • 在代理后面使用 kaniko 构建镜像
• 构建多架构镜像
• 使用带有自定义证书的镜像库
• 故障排查
  • 403 error: “error checking push permissions”
  • Error: kaniko should only be run inside of a container

使用 kaniko 构建 Docker 镜像

kaniko 是一种在容器或 Kubernetes 集群内从 Dockerfile 构建容器镜像的工具。

kaniko 使用 Docker-in-Docker 构建方法解决了两个问题：

• Docker-in-Docker 需要特权模式才能运行，这是一个重要的安全问题。
• Docker-in-Docker 通常会导致性能下降，而且速度可能非常慢。

要求

要将 kaniko 与极狐GitLab 一起使用，需要 runner 和以下 runner 之一：

• Kubernetes
• Docker
• Docker Machine

使用 kaniko 构建 Docker 镜像

使用 kaniko 和 GitLab CI/CD 构建镜像时，您应该注意一些重要的细节：

• 推荐使用 kaniko debug 镜像 (gcr.io/kaniko-project/executor:debug)，因为它有一个 shell，并且一个镜像需要一个 shell 才能与 GitLab CI/CD 一起使用。
• Entrypoint 需要被覆盖，否则构建脚本不会运行。

在以下示例中，kaniko 用于：

1. 构建 Docker 镜像。
2. 然后推送到 GitLab Container Registry。

作业仅在推送标签时运行。在 /kaniko/.docker 下创建了一个 config.json 文件，其所需的 GitLab Container Registry 凭据取自 GitLab CI/CD 提供的预定义的 CI/CD 变量。

在最后一步中，kaniko 使用项目根目录下的 Dockerfile，构建 Docker 镜像并将其推送到项目的 Container Registry，同时使用 Git 标签对其进行标记：

build:
  stage: build
  image:
    name: gcr.io/kaniko-project/executor:v1.9.0-debug
    entrypoint: [""]
  script:
    - /kaniko/executor
      --context "${CI_PROJECT_DIR}"
      --dockerfile "${CI_PROJECT_DIR}/Dockerfile"
      --destination "${CI_REGISTRY_IMAGE}:${CI_COMMIT_TAG}"
  rules:
    - if: $CI_COMMIT_TAG

如果您针对 Dependency Proxy 进行身份验证，则必须将用于身份验证的相应 CI/CD 变量添加到 config.json 文件：

- echo "{\"auths\":{\"${CI_REGISTRY}\":{\"auth\":\"$(printf "%s:%s" "${CI_REGISTRY_USER}" "${CI_REGISTRY_PASSWORD}" | base64 | tr -d '\n')\"},\"$CI_DEPENDENCY_PROXY_SERVER\":{\"auth\":\"$(printf "%s:%s" ${CI_DEPENDENCY_PROXY_USER} "${CI_DEPENDENCY_PROXY_PASSWORD}" | base64 | tr -d '\n')\"}}}" > /kaniko/.docker/config.json

在代理后面使用 kaniko 构建镜像

如果您在 http(s) 代理后面使用自定义 GitLab Runner，则需要相应地设置 kaniko。这意味着：

• 将 http_proxy 环境变量作为构建参数传递，以便 Dockerfile 指令可以在构建镜像时使用代理。

前面的例子可以扩展如下：

build:
  stage: build
  variables:
    http_proxy: <your-proxy>
    https_proxy: <your-proxy>
    no_proxy: <your-no-proxy>
  image:
    name: gcr.io/kaniko-project/executor:v1.9.0-debug
    entrypoint: [""]
  script:
    - /kaniko/executor
      --context "${CI_PROJECT_DIR}"
      --build-arg http_proxy=$http_proxy
      --build-arg https_proxy=$https_proxy
      --build-arg no_proxy=$no_proxy
      --dockerfile "${CI_PROJECT_DIR}/Dockerfile"
      --destination "${CI_REGISTRY_IMAGE}:${CI_COMMIT_TAG}"
  rules:
    - if: $CI_COMMIT_TAG

构建多架构镜像

您可以使用 manifest-tool，在容器内构建多架构镜像。

有关如何构建多架构镜像的详细指南，请阅读在非特权容器中构建多架构容器镜像。

使用带有自定义证书的镜像库

尝试推送到使用由自定义 CA 签名的证书的 Docker registry 时，您可能会收到以下错误：

$ /kaniko/executor --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/Dockerfile --no-push
INFO[0000] Downloading base image registry.gitlab.example.com/group/docker-image
error building image: getting stage builder for stage 0: Get https://registry.gitlab.example.com/v2/: x509: certificate signed by unknown authority

这可以通过将您的 CA 证书添加到 kaniko 证书存储来解决：

before_script:
  - |
    echo "-----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----" >> /kaniko/ssl/certs/additional-ca-cert-bundle.crt

故障排查

403 error: “error checking push permissions”

如果您收到此错误，则可能是由于外部代理。设置 http_proxy 和 https_proxy 环境变量可以解决问题。

Error: kaniko should only be run inside of a container

这是由 Docker Engine 20.10 引入的已知不兼容性问题。

当宿主机使用 20.10 及以后的 Docker Engine 时，则 v1.9.0 之前的 gcr.io/kaniko-project/executor:debug 镜像无法正常工作。

当你尝试构建镜像时，Kaniko 会失败，而且报错：

kaniko should only be run inside of a container, run with the --force flag if you are sure you want to continue

要解决此问题，将 gcr.io/kaniko-project/executor:debug 容器更新到至少 v1.9.0 的版本，例如 gcr.io/kaniko-project/executor:v1.23.2-debug。

相反的配置（gcr.io/kaniko-project/executor:v1.23.2-debug 配置和宿主机上 19.06.x 或更早版本的 Docker Engine）可以正常工作。对于最佳策略，您应该经常测试和更新作业环境版本到最新版本。这带来了新的功能，提高了安全性，对于这个特定的情况，使底层 Docker Engine 在 runner 主机上的升级对作业透明。