告别Daemon负担：以Buildah为例探索轻量、安全的容器镜像构建新范式

容器技术已经成为现代应用程序部署的核心，而构建容器镜像的工具种类繁多。你是否正在寻找一个更灵活、高效且能精确控制的工具？今天我们要深入探讨的 Buildah，或许就是那个值得你关注的答案。

Buildah 是一个专注于简化开放容器倡议（OCI）镜像构建的开源工具。它特别适合那些希望打破传统容器构建框架限制的开发者，并且对主流 Linux 系统有着广泛的支持。

为什么选择 Buildah？

在回答这个问题之前，我们不妨先思考一下：为什么需要 Buildah，而不是沿用传统的 docker build 方法？

• 轻量级构建：与传统容器工具最大的不同在于，Buildah 不依赖守护进程（daemon）。这意味着你无需运行一个专门的服务来支撑构建任务，架构更加简洁。
• 高灵活性：它提供了一种类似于外壳脚本的操作方式，允许你对构建流程进行细粒度控制，非常适合大规模自动化任务的定制。
• OCI 标准认证：支持创建完全符合行业标准的 OCI 和 Docker 格式镜像，确保了镜像的通用性和可移植性。
• 用户权限构建：允许非 root 用户运行镜像构建任务，这为 DevOps 流程和 CI/CD 环境提供了更高的安全性。

例如，你可以通过编写简单的脚本来定制镜像的构建流程，无论是从零开始打包，还是基于现有镜像解构后再生成新镜像，都变得非常直观。

Buildah 的核心功能

1. 独立完成容器构建

与其他依赖守护进程的工具不同，Buildah 可以在构建过程中独立运行，而无需启动一个完整的容器运行时。这种工作模式非常契合 DevOps 环境中对高频、快速构建的需求。

其典型的构建步骤如下：

1. 创建一个容器工作环境（working container）。
2. 向这个环境中添加或修改内容（如文件、依赖）。
3. 根据最终需求，将其提交（commit）为一个标准的镜像。

整个流程可以通过几个简单的命令实现：

buildah from scratch
buildah add my-container my-app /
buildah commit my-container my-image:latest

2. 基于“无状态”方式优化性能

得益于其轻量级和无守护进程的设计，你可以轻松地将 Buildah 集成到 CI/CD 流水线中，显著提升构建效率。它还支持增量更新镜像，能够有效节约构建时间和存储空间。

3. 先进的 CLI 支持和脚本化

你甚至不需要编写 Dockerfile，就能通过直接脚本化的命令来精确控制构建的每一步。这种灵活性为复杂的构建逻辑提供了可能。例如，以下脚本演示了如何基于一个基础镜像构建应用：

# 基于 Fedora 构建测试镜像，并附加本地文件
buildah from --name my-container fedora:36
buildah copy my-container ./my-app/ /usr/local/bin/
buildah run my-container chmod +x /usr/local/bin/my-app
buildah commit my-container my-app:1.0

4. 便捷的镜像推送和拉取

Buildah 内置了 buildah push 和 buildah pull 命令，可以轻松地与公共或私有的镜像仓库进行交互，简化了镜像的分发流程：

buildah push my-app:1.0 docker://registry.example.com/my-repo

常见场景及使用方法

场景 1：CI/CD 管道集成

在 CI 环境中，由于去除了守护进程的限制，Buildah 在构建速度和用户权限管理方面能带来巨大优势。例如，在 GitHub Actions 或 GitLab CI 的配置中，你可以直接调用它来完成容器化任务，让流水线更加高效和安全。

run: |
  buildah from python:3.11
  buildah copy my-container ./requirements.txt /app/
  buildah run my-container pip install -r /app/requirements.txt
  buildah commit my-container python-app:v2

场景 2：节约系统资源

对于大规模部署或资源受限的场景，Buildah 的无状态运行模式能够显著降低服务器的资源占用，非常适合对有限的计算资源进行高效分配。

安装步骤

Buildah 兼容多种主流 Linux 发行版。以 Fedora 为例，安装命令非常简单：

sudo dnf -y install buildah

如需在其他系统上安装，可以参考其官方安装文档。

与其他同类工具比较

在容器镜像构建领域，Docker 无疑是大家最熟悉的工具。但如果将 Buildah 与 Docker 进行比较，我们可以发现一些有趣的差异：

• Docker 提供了一个“全家桶”式的完整生态，但对于追求极致构建效率或特定安全策略的场景，它可能不是最灵活的选择。
• Buildah 相比于同样优秀的 Podman，其优势在于更加专注于镜像的灵活构建本身，而非容器的运行管理。

因此，如果你的团队追求的是快速、可编程化且安全性更高的容器镜像生成方式，Buildah 无疑是一个极具竞争力的选择。

总结

Buildah 通过其独特的设计理念，为我们提供了一个更安全、高效且灵活的镜像构建工具。它尤其适合集成到自动化的 云原生 开发和部署流程中。如果你正在考虑优化现有的镜像构建方法，不妨亲自动手尝试一下 Buildah，探索它在你的技术栈中能释放出的潜力。

希望这篇关于 Buildah 的探讨能对你有所帮助。如果你想了解更多类似的工具对比或 容器技术 实践，可以到 云栈社区 与更多开发者交流心得。

参考地址：

• https://github.com/containers/buildah