通过 kubernetes/skaffold 将私有 npm 存储库拉到 docker 容器

【问题标题】:Pulling private npm repository to docker container through kubernetes/skaffold通过 kubernetes/skaffold 将私有 npm 存储库拉到 docker 容器
【发布时间】:2021-06-02 06:18:12
【问题描述】:

我是 skaffold、k8s、docker set 的新手,我在本地集群上构建应用程序时遇到了麻烦。

我有一个代码库试图拉取私有 NPM 包,但在构建它时会丢失 .npmrc 文件或 npm 机密。

npm ERR! code E404
npm ERR! 404 Not Found - GET https://registry.npmjs.org/@sh1ba%2fcommon - Not found
npm ERR! 404 
npm ERR! 404  '@sh1ba/common@^1.0.3' is not in the npm registry.
npm ERR! 404 You should bug the author to publish it (or use the name yourself!)
npm ERR! 404 
npm ERR! 404 Note that you can also install from a
npm ERR! 404 tarball, folder, http url, or git url.

npm ERR! A complete log of this run can be found in:
npm ERR!     /root/.npm/_logs/2021-06-02T06_08_57_246Z-debug.log
unable to stream build output: The command '/bin/sh -c npm install' returned a non-zero code: 1. Please fix the Dockerfile and try again..

理想情况下,我想避免将秘密硬编码到文件中,并使用 k8s 环境变量将密钥作为秘密传递给 docker。我可以(有点)使用 docker build 命令来做到这一点:

  • 带有“--build-args”和 npm 秘密(不安全的方式)
  • 带有“--secret”和 npm secret(更好的方法)
  • 直接复制 .npmrc 文件,npm installing 后立即删除

当我尝试使用 kubernetes/skaffold 构建它时,就会出现问题。运行后,似乎没有找到任何 args、env 变量,甚至 .npmrc 文件。在检查 dockerfile 以获取线索时,我能够确定没有任何内容从清单(定义的参数、.npmrc 文件等)传递到 dockerfile。

以下是应用程序的清单:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: auth-depl
spec:
  replicas: 1
  selector: 
    matchLabels:
      app: auth
  template:
    metadata:
      labels:
        app: auth
    spec:
      containers:
        - name: auth
          image: auth
          env:
            - name: NPM_SECRET
              valueFrom:
                secretKeyRef:
                  name: npm-secret
                  key: NPM_SECRET
          args: ["--no-cache", "--progress=plain", "--secret", "id=npmrc,src=.npmrc"]

这是 dockerfile 中的代码:

# syntax=docker/dockerfile:1.2
# --------------> The build image
FROM node:alpine AS build
WORKDIR /app
COPY package*.json .
RUN --mount=type=secret,mode=0644,id=npmrc,target=/app/.npmrc \
  npm install

# --------------> The production image
FROM node:alpine

WORKDIR /app
COPY package.json .
COPY tsconfig.json .
COPY src .
COPY prisma .

COPY --chown=node:node --from=build /app/node_modules /app/node_modules
COPY --chown=node:node . /app
s
RUN npm run build

CMD ["npm", "start"]

还有 skaffold 文件:

apiVersion: skaffold/v2alpha3
kind: Config
deploy:
  kubectl:
    manifests:
      - ./infra/k8s/*
      - ./infra/k8s-dev/*
build:
  local:
    push: false
  artifacts:
    - image: auth
      context: auth
      docker:
        dockerfile: Dockerfile
      sync:
        manual:
          - src: 'src/**/*.ts'
            dest: .

几点说明:

  • 无论我复制和粘贴到何处(在 auth、清单、skaffold 和 ~/ 目录中),我都找不到 .npmrc 文件
  • 我也想在生产中使其半可用(相当可重复使用),这样如果可能的话我不需要进行彻底的大修(但如果这是不好的做法,我想听听更多关于它的信息)
  • 我已经能够使其与 skaffold.yaml 文件中的 buildArgs 一起工作,但我不确定这将如何转化为生产环境,因为我无法将构建 args 从 kubernetes 传递到 docker(我阅读了它不安全,应该使用秘密)
  • 清单中的 args 也抛出此错误(如果 args 被注释掉,服务器运行):
 - deployment/auth-depl: container auth terminated with exit code 9
    - pod/auth-depl-85fb8975d8-4rh9r: container auth terminated with exit code 9
      > [auth-depl-85fb8975d8-4rh9r auth] node: bad option: --progress=plain
      > [auth-depl-85fb8975d8-4rh9r auth] node: bad option: --secret
 - deployment/auth-depl failed. Error: container auth terminated with exit code 9.

任何见解都会令人惊叹,我已经摆弄这个太久了。

谢谢!

【问题讨论】:

  • 你好@GerrySaporito,欢迎来到 StackOverflow!看起来您将错误的 URL 放入私有 NPM 包。尝试在浏览器中输入此地址。您还将获得 404 答案 - 未找到。你必须有你的 NPM 包的正确地址。另请参阅here。这是类似的问题。

标签: docker npm kubernetes skaffold .npmrc


【解决方案1】:

构建和部署镜像到 Kubernetes 分为三个层次:

  1. 您启动映像构建的本地系统
  2. 填充映像然后将该映像存储在某处的 Docker 构建
  3. 加载并开始运行该映像的 Kubernetes 集群

Docker 不参与#3。 (这只是部分正确,因为一些集群也使用 Docker 来运行容器,但这是一个隐藏的细节,并且也在发生变化。)

您可以在两个地方传达秘密:

  • 在映像构建时(步骤 #1 到 #2):您可以使用 Docker --build-args 或使用 --secret 安装机密(都需要 Buildkit)
  • 在部署时(第 3 步):您使用 Kubernetes 机密或配置映射,它们与映像构建分开配置

Skaffold 支持使用 Docker 的 --build-args--secret 标志传递构建时机密,例如您的 npm 密码,尽管它们略有重命名。

buildArgs 支持 Go 风格的模板,因此您可以将 MYSECRET 等环境变量引用为 {{.MYSECRET}}

build:
  local:
    useBuildkit: true
  artifacts:
    - image: auth
      context: auth
      docker:
        buildArgs:
          MYSECRET: "{{.MYSECRET}}"

然后您可以在您的Dockerfile 中引用MYSECRET

ARG MYSECRET
RUN echo MYSECRET=${MYSECRET}

请注意,除非您通过 ENV MYSECRET=${MYSECRET} 明确分配,否则 build-args 不会传播到您的容器中。

如果密钥在本地文件中,您可以使用skaffold.yaml 中的secret 字段:

build:
  local:
    useBuildkit: true
  artifacts:
    - image: auth
      context: auth
      docker:
        secret:
          id:   npmrc
          src: /path/to/.npmrc

然后您会像在 Dockerfile 中一样引用该秘密:

RUN --mount=type=secret,mode=0644,id=npmrc,target=/app/.npmrc \
  npm install

现在在您的Deployment 中,您正尝试为您的容器设置args

          args: ["--no-cache", "--progress=plain", "--secret", "id=npmrc,src=.npmrc"]

args 字段会覆盖图像中设置的CMD 指令。此字段用于提供提供给图像入口点的命令行参数,该入口点可能是node。如果您想在集群上正在运行的容器中引用机密,您可以使用 SecretConfigMap

【讨论】:

  • 我不会撒谎,我没想到我会做得这么好。这是一个完美的答案,因为它也通过详尽的解释涵盖了我需要的所有内容。非常感谢,2.5 天后,感谢您,我终于让它工作了!
猜你喜欢
  • 2017-12-23
  • 2018-12-13
  • 1970-01-01
  • 1970-01-01
  • 2017-11-26
  • 2015-11-03
  • 1970-01-01
  • 1970-01-01
  • 2017-04-17
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode