41371 2021-11-17 17:00:15 +0300 Сборка docker (или OCI) образов 2021-11-29 00:20:06 +0300 1 1 2 Infrastructure Infrastructure girar unspecified all Linux NEW P5 enhancement --- 1 shaba placeholder aen glebfm ldv rider cas oldest_to_newest 204993 0 shaba 2021-11-17 17:00:15 +0300 Было бы здорово организовать сборку docker образов. - все необходимое для сборки размещать в git.altlinux.org/people/$USER/containers/foo - собирать образ на основе Dockerfile. Хотя бы для архитектур x86_64 и aarch64. существующие утилиты для сборки образов: - BuildKit https://github.com/moby/buildkit - buildah https://github.com/containers/buildah - Docker - Выгружать полученный образ на какой-либо реестр образов(hub.docker.com, quay.io). Предлагаю организовать свой сервер реестра образов. 205215 1 ldv 2021-11-23 15:20:57 +0300 Для того, чтобы сборочница могла собирать docker-образы на основе Dockerfile, необходимо, чтобы используемый для сборки инструмент мог работать внутри hasher'а и, как следствие, быть непривилегированным и не требовать unprivileged userns. Поскольку ни один из существующих инструментов не обладает таким свойством, придётся либо разработать такой инструмент, либо разработать другую сборочницу, которая не будет основана на безопасной воспроизводимой сборке с помощью hasher. 205216 2 rider 2021-11-23 15:22:24 +0300 Или, как вариант, можно использовать vm-run, если научиться забирать из него результаты сборки. 205218 3 ldv 2021-11-23 15:28:53 +0300 (In reply to Anton Farygin from comment #2) > Или, как вариант, можно использовать vm-run, если научиться забирать из него > результаты сборки. И заранее ограничить множество поддерживаемых архитектур теми, где работает vm-run. 205219 4 rider 2021-11-23 15:35:55 +0300 да, конечно. Но это, возможно, будет проще чем переписывать hasher или инструменты сборки образов. А можно каким-то образом репозиторий с пакетами сделать доступным внутри hasher ? 205221 5 ldv 2021-11-23 15:50:48 +0300 (In reply to Anton Farygin from comment #4) > А можно каким-то образом репозиторий с пакетами сделать доступным внутри > hasher ? Во время обычной сборки пакетов вряд ли, а вообще да, поскольку hasher поддерживает монтирование. 205231 6 rider 2021-11-23 17:35:52 +0300 если во время сборки docker образов получится смонтировать внутрь hasher используемый репозиторий, то задача выглядит решаемой через vm-run. Понятно, что количество платформ будет ограничено наличием /dev/kvm, но я подозреваю что те платформы, на которых /dev/kvm нету, не очень нужно поддерживать в docker образах. 205282 7 aen 2021-11-25 09:28:16 +0300 (Ответ для Dmitry V. Levin на комментарий #3) > (In reply to Anton Farygin from comment #2) > > Или, как вариант, можно использовать vm-run, если научиться забирать из него > > результаты сборки. > > И заранее ограничить множество поддерживаемых архитектур теми, где работает > vm-run. Что мы теряем? e2k до выхода e2kv6 riscv64 пока, хотя движение есть mipsel мертв Что ещё? 205283 8 rider 2021-11-25 09:32:48 +0300 Эти "теряемые" архитектуры отстутствуют на сборочнице, поэтому мы их не теряем до тех пор, пока они не будут интегрированы в основной girar. 205301 9 ldv 2021-11-25 13:44:28 +0300 (In reply to AEN from comment #7) > (Ответ для Dmitry V. Levin на комментарий #3) > > (In reply to Anton Farygin from comment #2) > > > Или, как вариант, можно использовать vm-run, если научиться забирать из него > > > результаты сборки. > > > > И заранее ограничить множество поддерживаемых архитектур теми, где работает > > vm-run. > > Что мы теряем? > e2k до выхода e2kv6 > riscv64 пока, хотя движение есть > mipsel мертв > > Что ещё? armv7, но, видимо, 32-битные архитектуры не интересны. 205302 10 aen 2021-11-25 13:47:35 +0300 (Ответ для Dmitry V. Levin на комментарий #9) > (In reply to AEN from comment #7) > > (Ответ для Dmitry V. Levin на комментарий #3) > > > (In reply to Anton Farygin from comment #2) > > > > Или, как вариант, можно использовать vm-run, если научиться забирать из него > > > > результаты сборки. > > > > > > И заранее ограничить множество поддерживаемых архитектур теми, где работает > > > vm-run. > > > > Что мы теряем? > > e2k до выхода e2kv6 > > riscv64 пока, хотя движение есть > > mipsel мертв > > > > Что ещё? > > armv7, но, видимо, 32-битные архитектуры не интересны. Насколько я понимаю, зависит от железки. То есть решается вне общей процедуры. 205398 11 aen 2021-11-29 00:20:06 +0300 Дима, Глеб, делаем? Ключевой элемент плана 2022.