Как создать исполняемый файл из docker образа?
10.03.2024
Сегодня я прочитал на Hacker News о новом проекте dockerc, который позволяет сконвертировать docker image в исполняемый файл, который не требует наличия докера на компьютере. Мне стало интересно, как оно работает внутри, и я попытался разобраться с этим.
На самом деле, это далеко не первая попытка упаковать приложение (или докер образ) в исполняемый файл. Наверное, самый громкий похожий проект — это AppImage. Там ребята решают похожую проблему, но не для докер образов, а в целом для приложений. Они говорят — у нас есть много Linux дистрибутивов, и разработчикам софта сложно выпускать приожение под каждый пакетный менеджер (snap, deb, etc.). Поэтому, давайте позволим упоковывать приложение в универсальный «контейнер» (не путать с докер контейнером), который сможет запускаться на почти любом линуксе без каких либо дополнительных настроек. Все это реализуется путем упаковки приложения в ISO образ, и добавлением дополнительного запускатора (AppRun) в бинарный файл. Когда пользователь запускает бинарный файл, запускатор монтирует ISO образ с приложением, и запускает его.
Dockerc работает похожим образом. Он построен на основе нескольких опенсорс продуктов, которые помогают решить задачу:
- crun — runtime, который позволяет запускать OCI-совместимые контейнеры. Аналог runc.
- fuse-overlayfs; докер образ — это, по сути, набор неизменяемых слоев. Обычно эти слои представлены с помощью OverlayFS файловой системы. fuse-overlayfs — это FUSE имплементация для OverlayFS, которая позволяет монтировать файловую систему из User Space.
- mksquashfs — инструмент для добавления файлов к SquashFS — неизменяемой, сжатой файловой системе.
- squashfuse — реализация SquashFS в FUSE.
- umoci — инструмент для извлечения config.json и rootfs для OCI bundle из существующего docker image.
Принципиальная схема работы dockerc — Часть 1 — Создание исполняемого файла
Я могу упустить какие-то детали, потому что dockerc написан на Zig языке программирования, который я не знаю хорошо, но я думаю, что примерно понимаю общую картину.
Я вижу следующие шаги, как мы конвертируем докер образ в исполняемый файл на Linux:
- skopeo copy … — мы конвертируем докер образ в OCI Bundle.
- umoci unpack —image — мы берем OCI Bundle, и извлекаем из него rootfs и config.json (OCI bundle конфиг)
- mksquashfs … — мы упоковываем rootfs и config.json в SquashFS. По сути, мы взяли докер образ, и сделали из него OCI-совместимый образ, упакованный в SquashFS.
- Создание бинарника. Мы соединяем Райнтайм (наш код, аналог AppRun из AppImage) и SquashFS, который содержит в себе OCI bundle нашего образа.
- Устанавливаем 755 права на бинарный файл. То есть, теперь разрешено просто выполнять данный файл. Когда пользователь запустит данный файл, начнет выполняться наш рантайм, но в этот же бинарный файл встроен наш докер образ, и мы можем прочитать его по нужному оффсету.
Часть 2 — Запуск бинарного файла
Когда пользователь запускает созданный ранее бинарный файл, нужно выполнить несколько шагов:
- Мы знаем оффсет, начиная с которого лежит наш OCI bundle в SquashFS формате. Поэтому мы можем прочитать бандл из нашего бинарника. Далее, мы можем примонтировать его, используя squashfuse.
- Мы создаем OverlayFS файловую систему, используя fuse-overlayfs. Она состоит из двух частей — lowerdir (нижняя часть), и upperdir (верхняя часть). Нижняя часть — это неизменяемые данные. В нашем случае мы используем SquashFS из первого шага, как lowerdir в OverlayFS.
- crun run —bundle … — мы запускаем наш докер образ (преобразованный в OCI bundle), используя в качестве бандла OverlayFS.
- Когда программа закончила работать, мы отмантируемые бандл, чтобы подчистить за собой.
Не сказать, чтобы тут бы какой-то Rocket science, но я без анализа исходного кода с ходу не придумал, как я бы реализовал подобную программу. Вроде бы я слышал про каждый из инструментов, но про использование вместе — не догадался.
Категории: Программирование