Хранилища артефактов

Владимир Портнов — DevOps engineer

Что такое хранилище артефактов

Артефакт — конечный продукт разработки кода.

Artifact registry, или Artifact repository, или хранилище артефактов — это система централизованного хранения и версионирования артефактов.

Конечным результатом любой разработки всегда является некий артефакт, либо множество артефактов. Артефакты могут принимать абсолютно любые формы, будь то исполняемый файл приложения, HTML-страница, картинка, отчёт об исследовании или что-либо другое.

Как правило, в IT наибольший интерес представляют те артефакты, которые можно каким-либо образом исполнять — собственно исполняемые файлы, файлы библиотек, Docker-образа. В ML часто встречаются бинарные файлы обученных моделей.

Разумеется, артефакт можно просто передать на руки заказчику, и на этом считать разработку завершённой. Но как разработчикам, так и пользователям часто хочется иметь возможность откатиться на предыдущую версию приложения, либо сравнить разные версии на предмет их функциональности или наличия уязвимостей.

Следовательно, все когда-либо появившиеся артефакты нужно хранить, а также отслеживать их версии. Для этого были созданы специальные хранилища — registry, или repository.

Устройство

Архитектура типичного хранилища артефактов:

В основе любого хранилища артефактов лежит обычное дисковое хранилище. В простых случаях, например в несложном хранилище пакетов Python, это может быть обычная директория некоторой ФС, в которой просто лежат файлы пакетов. Вторым ключевым компонентом является веб-сервер, который может отдавать пользователю запрошенные файлы. В тривиальном случае этих двух компонент достаточно, и действительно, многие репозитории лет 20 назад представляли собой не более чем ftpd или Apache, которые отдавали и принимали файлы по обычным FTP или HTTP запросам.

Но, как упоминалось ранее, необходимо не только хранить, но и версионировать артефакты. Конечно, можно отслеживать версии по именам файлов, но это не слишком удобно. Поэтому появляется следующий компонент — хранилище метаданных. Хранилище метаданных содержит в себе информацию о самих артефактах, об их версиях, датах создания/обновления и любую другую, которая может быть необходима. Иногда метаданные могут аналогично храниться в обычных файлах, и ряд менеджеров пакетов, например, apt, рассчитаны на то что метаданные всегда доступны в определённом файле внутри репозитория, но, как правило, гораздо более удобно хранить метаданные в базе данных, и отдавать эти данные по соответствующему запросу к веб-серверу.

Также зачастую хранилище артефактов имеет встроенные интеграции с различными внешними сервисами. Это может быть сервер авторизации, средство аудита, автоматически сообщающее о наличии известных уязвимостей, SMTP-сервер, сообщающий заинтересованным об обновлениях через email, и что угодно другое.

архитектура Artifactory

Какие бывают

Публичные
- DockerHub
- PyPi
- Maven Central
- npm registry
- RHEL/deb.debian
- Microsoft Store
- etc…
Приватные
- Artifactory
- Nexus
- Github
- GitLab

Наиболее широко известными являются публичные репозитории, содержимое которых доступно всем желающим: DockerHub как основной репозиторий Docker-образов, PyPi — основной репозиторий Python-пакетов и т.д. Они свободно доступны не только для получения артефактов, но также и для публикации. Кроме них, существуют публичные репозитории, управляемые небольшим кругом мейнтейнеров, наиболее ярким примером являются репозитории пакетов различных дистрибутивов Linux; и публичные репозитории, управляемые конкретными компаниями и существующие для распространения их продуктов.

Приватные репозитории доступны лишь небольшому количеству людей, и существуют для хранения и распространения их разработок только в кругах самих разработчиков и их заказчиков. Для их создания часто используются возможности интегрированных решений для хранения и распространения кода, таких как Github и GitLab, которые имеют встроенные репозитории артефактов; а также специализированные приложения для хранения артефактов, например Nexus и Artifactory. Любые решения для создания приватных репозиториев могут быть использованы и для публичных репозиториев — достаточно сделать их свободно доступными через интернет.

GitLab Registry

Наиболее общедоступными примерами репозиториев артефактов являются решения, интегрированные с популярными системами хранения исходного кода: GitHub Packages и GitLab Registry. Главным их преимуществом являются тесная интеграция с другими компонентами системам хранения: можно очень легко видеть связи между артефактами и версиями исходного кода, можно связывать конкретные артефакты с релизами с их системах отслеживания задач и, разумеется, можно очень легко и удобно использовать эти хранилища артефактов в связке с встроенными решениями CI/CD как для собственно создания и сохранения артефактов, так и для их получения и исполнения на серверах. К сожалению, они обладают меньшим функционалом, нежели отдельные узкоспециализированные хранилища артефактов.

В качестве иллюстрации приведён репозиторий GitLab на самом GitLab.

GitLab Registry: работа с сырым файлом

stages:
  - build
  - deploy

image: alpine
before_script:
  - apk add --update curl

build:
  stage: build
  script:
    - tar -cvf output.tar .
    - >-
      curl
      --header "JOB-TOKEN: $CI_JOB_TOKEN"
      --upload-file output.tar
      "$CI_API_V4_URL/projects/$CI_PROJECT_ID/packages/generic/tararchive/0.0.0/archive.tar"

deploy:
  stage: deploy
  script:
    - >-
      curl
      --header "JOB-TOKEN: $CI_JOB_TOKEN"
      -o input.tar
      "$CI_API_V4_URL/projects/$CI_PROJECT_ID/packages/generic/tararchive/0.0.0/archive.tar"
    - tar -xvf input.tar

GitLab Registry: работа с Python-пакетом

stages:
  - build
  - deploy

image: python:3.11

build:
  stage: build
  cache:
    paths:
      - .pip/
  variables:
    PIP_CACHE_DIR: "$CI_PROJECT_DIR/.pip"
    TWINE_USERNAME: "gitlab-ci-token"
    TWINE_PASSWORD: "$CI_JOB_TOKEN"
  script:
    - pip install build twine
    - python -m build
    - python -m twine upload --repository-url $CI_API_V4_URL/projects/$CI_PROJECT_ID/packages/pypi dist/*


deploy:
  stage: deploy
  cache:
    paths:
      - .pip/
  variables:
    PIP_CACHE_DIR: "$CI_PROJECT_DIR/.pip"
    PIP_EXTRA_INDEX_URL: "https://gitlab-ci-token:$CI_JOB_TOKEN@$CI_API_V4_URL/projects/$CI_PROJECT_ID/packages/pypi/simple"
  script:
    - pip install -U yourmodule
    - python -m yourmodule

GitLab Registry: работа с Docker-образом

stages:
  - build
  - deploy

build:
  stage: build
  image: docker
  services:
    - docker:dind
  script:
    - echo $CI_JOB_TOKEN | docker login $CI_REGISTRY -u $CI_REGISTRY_USER --password-stdin
    - docker build -t "$CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG" .
    - docker push "$CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG"

deploy:
  stage: deploy
  rules:
    - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH
  when: manual
  tags:
    - prod
  script:
    - echo $CI_JOB_TOKEN | docker login $CI_REGISTRY -u $CI_REGISTRY_USER --password-stdin
    - docker pull "$CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG"
    - docker stop prod
    - docker rm prod
    - docker run -p 80:80 --name prod "$CI_REGISTRY_IMAGE:$CI_COMMIT_REF_SLUG"

Nexus/Artifactory

Узкоспециализированные решения по хранению артефактов имеют широкий дополнительный функционал, кроме собственно хранения артефактов:

Зеркала репозиториев — локальный кэш и доступ к репозиториям из закрытых сред
Виртуальные репозитории — группировка существующих репозиториев
Тонкая настройка доступов
Аудит безопасности
…