远程驱动程序
Buildx 远程驱动允许更复杂的自定义构建工作负载,使您能够连接到外部管理的 BuildKit 实例。这对于需要手动管理 BuildKit 守护进程或从其他源暴露 BuildKit 守护进程的场景非常有用。
概要
$ docker buildx create \
--name remote \
--driver remote \
tcp://:1234
下表描述了可以传递给 --driver-opt 的可用驱动程序特定选项
| 参数 | 类型 | 默认值 | 描述 |
|---|---|---|---|
密钥 | 字符串 | 设置 TLS 客户端密钥。 | |
证书 | 字符串 | 要提供给 buildkitd 的 TLS 客户端证书的绝对路径。 | |
CA 证书 | 字符串 | 用于验证的 TLS 证书颁发机构的绝对路径。 | |
服务器名称 | 字符串 | 端点主机名。 | 请求中使用的 TLS 服务器名称。 |
默认加载 | 布尔值 | false | 自动将镜像加载到 Docker Engine 镜像存储。 |
示例:通过 Unix 套接字远程 BuildKit
本指南将向您展示如何设置一个 BuildKit 守护进程,使其侦听 Unix 套接字,并通过它连接 Buildx。
确保已安装 BuildKit。
例如,您可以使用以下命令启动一个 buildkitd 实例
$ sudo ./buildkitd --group $(id -gn) --addr unix://$HOME/buildkitd.sock检查您是否有一个可以连接的 Unix 套接字。
$ ls -lh /home/user/buildkitd.sock srw-rw---- 1 root user 0 May 5 11:04 /home/user/buildkitd.sock使用远程驱动连接 Buildx
$ docker buildx create \ --name remote-unix \ --driver remote \ unix://$HOME/buildkitd.sock使用
docker buildx ls列出可用的构建器。您应该在其中看到remote-unix$ docker buildx ls NAME/NODE DRIVER/ENDPOINT STATUS PLATFORMS remote-unix remote remote-unix0 unix:///home/.../buildkitd.sock running linux/amd64, linux/amd64/v2, linux/amd64/v3, linux/386 default * docker default default running linux/amd64, linux/386
您可以使用 docker buildx use remote-unix 将此新构建器切换为默认构建器,或使用 --builder 为每个构建指定它
$ docker buildx build --builder=remote-unix -t test --load .
请记住,如果您想将构建结果加载到 Docker 守护进程中,则需要使用 --load 标志。
示例:在 Docker 容器中远程 BuildKit
本指南将向您展示如何创建一个类似于 docker-container 驱动的设置,通过手动启动 BuildKit Docker 容器并使用 Buildx 远程驱动连接到它。此过程将手动创建一个容器并通过其暴露的端口访问它。(您最好直接使用通过 Docker 守护进程连接到 BuildKit 的 docker-container 驱动,但这仅用于说明目的。)
为 BuildKit 生成证书。
您可以使用此烘焙定义作为起点
SAN="localhost 127.0.0.1" docker buildx bake "https://github.com/moby/buildkit.git#master:examples/create-certs"请注意,虽然可以通过 TCP 暴露 BuildKit 而不使用 TLS,但不建议这样做。这样做允许在没有凭据的情况下任意访问 BuildKit。
在
.certs/中生成证书后,启动容器$ docker run -d --rm \ --name=remote-buildkitd \ --privileged \ -p 1234:1234 \ -v $PWD/.certs:/etc/buildkit/certs \ moby/buildkit:latest \ --addr tcp://0.0.0.0:1234 \ --tlscacert /etc/buildkit/certs/daemon/ca.pem \ --tlscert /etc/buildkit/certs/daemon/cert.pem \ --tlskey /etc/buildkit/certs/daemon/key.pem此命令启动一个 BuildKit 容器,并将守护进程的端口 1234 暴露给本地主机。
使用 Buildx 连接到此正在运行的容器
$ docker buildx create \ --name remote-container \ --driver remote \ --driver-opt cacert=${PWD}/.certs/client/ca.pem,cert=${PWD}/.certs/client/cert.pem,key=${PWD}/.certs/client/key.pem,servername=<TLS_SERVER_NAME> \ tcp://:1234或者,使用
docker-container://URL 方案连接到 BuildKit 容器,而无需指定端口$ docker buildx create \ --name remote-container \ --driver remote \ docker-container://remote-container
示例:在 Kubernetes 中远程 BuildKit
本指南将向您展示如何通过手动创建 BuildKit Deployment 来创建一个类似于 kubernetes 驱动的设置。虽然 kubernetes 驱动将在底层完成此操作,但有时可能希望手动扩展 BuildKit。此外,当从 Kubernetes pod 内部执行构建时,Buildx 构建器将需要从每个 pod 内部重新创建或在它们之间复制。
按照此处的说明,创建
buildkitd的 Kubernetes 部署。按照指南,使用 create-certs.sh 为 BuildKit 守护进程和客户端创建证书,并创建 BuildKit pod 的部署以及连接到它们的 Service。
假设 Service 名为
buildkitd,在 Buildx 中创建一个远程构建器,确保列出的证书文件存在$ docker buildx create \ --name remote-kubernetes \ --driver remote \ --driver-opt cacert=${PWD}/.certs/client/ca.pem,cert=${PWD}/.certs/client/cert.pem,key=${PWD}/.certs/client/key.pem \ tcp://buildkitd.default.svc:1234
请注意,这仅在集群内部有效,因为 BuildKit 设置指南只创建了一个 ClusterIP 服务。要远程访问构建器,您可以设置并使用入口,这超出了本指南的范围。
调试 Kubernetes 中的远程构建器
如果您在访问部署在 Kubernetes 中的远程构建器时遇到问题,您可以使用 kube-pod:// URL 方案通过 Kubernetes API 直接连接到 BuildKit pod。请注意,此方法仅连接到部署中的单个 pod。
$ kubectl get pods --selector=app=buildkitd -o json | jq -r '.items[].metadata.name'
buildkitd-XXXXXXXXXX-xxxxx
$ docker buildx create \
--name remote-container \
--driver remote \
kube-pod://buildkitd-XXXXXXXXXX-xxxxx
或者,使用 kubectl 的端口转发机制
$ kubectl port-forward svc/buildkitd 1234:1234
然后您可以将远程驱动指向 tcp://:1234。