问题描述
我们有一个面向原型的开发环境,正在其中开发许多小型服务并将其部署到我们的内部部署硬件中。我们正在使用GitLab来管理我们的代码,并使用GitLab CI / CD进行持续集成。下一步,我们还希望自动化部署过程。不幸的是,我们找到的所有文档都使用云服务或kubernetes集群作为目标环境。但是,我们希望以一种在本地部署Docker容器的方式配置GitLab运行程序。同时,我们希望避免为跑步者使用特权用户(因为到目前为止,我们的服务器是通过Ansible /如Portainer之类的服务完全维护的。)
通常,我们的.gitlab-ci.yml
看起来像这样:
stages:
- build
- test
- deploy
dockerimage:
stage: build
# builds a docker image from the Dockerfile in the repository,and pushes it to an image registry
sometest:
stage: test
# uses the docker image from build stage to test the service
production:
stage: deploy
# should create a container from the above image on system of runner without privileged user
TL; DR 我们如何配置我们的本地Gitlab Runner,以在不使用特权的情况下从Gitlab CI / CD中定义的映像本地部署docker容器?
解决方法
Build 阶段通常是人们在 Docker 中使用 Docker 的阶段(find)。为了不必使用特权用户,您可以使用 Gitlab 中的 kaniko executor 图像。
具体来说,您可以像这样使用 kaniko debug 图像:
dockerimage:
stage: build
image:
name: gcr.io/kaniko-project/executor:debug
entrypoint: [""]
script:
- mkdir -p /kaniko/.docker
- echo "{\"auths\":{\"$CI_REGISTRY\":{\"username\":\"$CI_REGISTRY_USER\",\"password\":\"$CI_REGISTRY_PASSWORD\"}}}" > /kaniko/.docker/config.json
- /kaniko/executor --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/Dockerfile --destination $CI_REGISTRY_IMAGE:$CI_COMMIT_TAG
rules:
- if: $CI_COMMIT_TAG
您可以在 Gilab 的 documentation 中找到如何使用它的示例。
如果您想在部署阶段使用该镜像,您只需引用创建的镜像即可。
你可以这样做:
production:
stage: deploy
image: $CI_REGISTRY_IMAGE:$CI_COMMIT_TAG
使用此方法,您不需要特权用户。但我认为这不是您在部署阶段要做的事情。通常,您只需使用您在容器注册表中创建的映像在本地部署容器。解释的最后一种方法只会在 GitLab 运行器中部署映像。