Gitlab CI 在 Kubernetes 中的 Docker 缓存

前面我们有文章介绍过如何在 Kubernetes 集群中使用 GitLab CI 来实现 CI/CD，在构建镜像的环节我们基本上都是使用的 Docker On Docker 的模式，这是因为 Kubernetes 集群使用的是 Docker 这种容器运行时，所以我们可以将宿主机的 docker.sock 文件挂载到容器中构建镜像，而最近我们在使用 Kubernetes 1.22.X 版本后将容器运行时更改为了 Containerd，这样节点上没有可用的 Docker 服务了，这个时候就需要更改构建镜像的模式了，当然要实现构建镜像的方式有很多，我们这里还是选择使用 Docker 来构建我们的 Docker 镜像，也就是使用 Docker IN Docker 的模式。

在每次构建镜像的时候，GitLab Runner 都会启动一个包含3个容器的 Pod，其中一个就是运行 Docker 守护进程的 Docker DIND 容器，构建的容器会去连接到运行在同一个 Pod 上的 Docker 守护进程，由于 Pod 中的所有容器共享同一个 network namespace，构建镜像的 Docker CLI 能够通过 localhost 直接连接到 Docker 守护进程进行构建。但是这种方式最大的一个问题是每次构建都是启动一个全新的 Docker 守护进程，造成没有缓存 Docker layer 层，这会显著增加我们的构建时间。

这个问题的解决方法非常简单，与其为每个 Pod 运行一个 Docker DIND 服务的 sidecar 容器，不如让我们运行一个独立的 Docker DIND 容器，构建容器的所有 Docker CLI 都连接到这个一个 Docker 守护进程上，这个时候我们将 Docker layer 层进行持久化，也就起到了缓存的作用了。

首先创建一个 PVC 来存储 Docker 的持久化数据，为了性能考虑，这里我们使用的是一个 Local PV：

1. apiVersion: storage.k8s.io/v1
2. kind: StorageClass
3. metadata:
4. name: local-volume
5. provisioner: kubernetes.io/no-provisioner
6. reclaimPolicy: Delete
7. volumeBindingMode: WaitForFirstConsumer
9. ---
10. apiVersion: v1
11. kind: PersistentVolume
12. metadata:
13. name: docker-pv
14. spec:
15. capacity:
16. storage: 5Gi
17. accessModes:
18. - ReadWriteOnce
19. persistentVolumeReclaimPolicy: Retain
20. storageClassName: local-volume
21. local:
22. path: /mnt/k8s/docker # 数据存储的目录
23. nodeAffinity:
24. required:
25. nodeSelectorTerms:
26. - matchExpressions:
27. - key: kubernetes.io/hostname
28. operator: In
29. values:
30. - node1 # 运行在node1节点
31. ---
32. apiVersion: v1
33. kind: PersistentVolumeClaim
34. metadata:
35. labels:
36. app: docker-dind
37. name: docker-dind-data
38. namespace: kube-ops
39. spec:
40. accessModes:
41. - ReadWriteOnce
42. storageClassName: local-volume
43. resources:
44. requests:
45. storage: 5Gi

然后使用 Deployment 部署一个 Docker DIND 服务：

1. apiVersion: apps/v1
2. kind: Deployment
3. metadata:
4. name: docker-dind
5. namespace: kube-ops
6. labels:
7. app: docker-dind
8. spec:
9. selector:
10. matchLabels:
11. app: docker-dind
12. template:
13. metadata:
14. labels:
15. app: docker-dind
16. spec:
17. containers:
18. - image: docker:dind
19. name: docker-dind
20. args:
21. - --registry-mirror=https://ot2k4d59.mirror.aliyuncs.com/ # 指定一个镜像加速器地址
22. env:
23. - name: DOCKER_DRIVER
24. value: overlay2
25. - name: DOCKER_HOST
26. value: tcp://0.0.0.0:2375
27. - name: DOCKER_TLS_CERTDIR # 禁用 TLS
28. value: ""
29. volumeMounts:
30. - name: docker-dind-data-vol # 持久化docker根目录
31. mountPath: /var/lib/docker/
32. ports:
33. - name: daemon-port
34. containerPort: 2375
35. securityContext:
36. privileged: true # 需要设置成特权模式
37. volumes:
38. - name: docker-dind-data-vol
39. persistentVolumeClaim:
40. claimName: docker-dind-data

然后创建一个 Service 以方便构建的 Docker CLI 与其连接：

1. apiVersion: v1
2. kind: Service
3. metadata:
4. name: docker-dind
5. namespace: kube-ops
6. labels:
7. app: docker-dind
8. spec:
9. ports:
10. - port: 2375
11. targetPort: 2375
12. selector:
13. app: docker-dind

将 Docker DIND 服务部署完成后，我们就可以在 Gitlab CI 中使用这个守护程序来构建镜像了，如下所示：

1. tages:
2. - image
4. build_image:
5. stage: image
6. image: docker:latest
7. variables:
8. DOCKER_HOST: tcp://docker-dind:2375 # 通过 service dns 形式连接 docker dind 服务
9. script:
10. - docker info
11. - docker build -t xxxx .
12. - docker push xxxx
13. only:
14. - tags

由于我们缓存了 Docker layer 层，这个时候构建的速度会明显提升。最后随着镜像的大量构建会产生很多镜像数据，我们可以写一个 Cronjob 用来定时清除缓存：

1. apiVersion: batch/v1
2. kind: CronJob
3. metadata:
4. name: docker-dind-clear-cache
5. namespace: kube-ops
6. spec:
7. schedule: 0 0 * * 0 # 每周清理一次
8. jobTemplate:
9. metadata:
10. labels:
11. app: docker-dind
12. name: docker-dind-clear-cache
13. spec:
14. template:
15. spec:
16. restartPolicy: OnFailure
17. containers:
18. - name: clear-cache
19. image: docker:latest
20. command:
21. - docker
22. - system
23. - prune
24. - -af
25. env:
26. - name: DOCKER_HOST
27. value: tcp://docker-dind:2375

原文链接：https://mp.weixin.qq.com/s/rn2xm8YMCW_6JoPljyto9g