WORKSPACE ルールでの非密閉動作の検出

問題を報告 ソースを表示

以下の説明において、ホストマシンは Bazel が実行されるマシンです。

リモート実行を使用する場合、実際のビルドやテストのステップはホストマシン上で行われるのではなく、リモート実行システムに送信されます。ただし、ワークスペース ルールの解決手順はホストマシンで行われます。ワークスペース ルールが、実行中に使用するホストマシンの情報にアクセスする場合、環境間の非互換性により、ビルドが中断する可能性があります。

リモート実行のための Bazel ルールの適応の一環として、そのようなワークスペース ルールを見つけて修正する必要があります。このページでは、ワークスペース ログを使用して、問題がある可能性のあるワークスペース ルールを見つける方法について説明します。

非密閉ルールの検索

ワークスペース ルールを使用すると、デベロッパーは外部ワークスペースに依存関係を追加できますが、プロセス内で任意の処理を行えるほど豊富なルールがあります。関連するコマンドはすべてローカルで実行されており、非密閉性の原因となる可能性があります。通常、非密閉動作は、ホストマシンとの通信を可能にする repository_ctx を介して導入されます。

Bazel 0.18 以降では、Bazel コマンドにフラグ --experimental_workspace_rules_log_file=[PATH] を追加すると、密閉ではない可能性のあるアクションのログを取得できます。ここで、[PATH] はログが作成されるファイル名です。

注意事項:

  • 実行中のイベントがログにキャプチャされます。一部のステップがキャッシュに保存されると、ログに表示されないため、完全な結果を取得するために必ず bazel clean --expunge を事前に実行してください。

  • 関数が再実行されることがあります。その場合、関連するイベントがログに複数回表示されます。

  • 現在、Workspace のルールでは Starlark のイベントのみがログに記録されます。

ワークスペースの初期化中に実行された内容を確認するには:

  1. bazel clean --expunge を実行します。このコマンドは、ローカル キャッシュとキャッシュに保存されたリポジトリを消去し、すべての初期化が再実行されるようにします。

  2. --experimental_workspace_rules_log_file=/tmp/workspacelog を Bazel コマンドに追加して、ビルドを実行します。

    これにより、WorkspaceEvent タイプのメッセージを一覧表示するバイナリ proto ファイルが生成されます。

  3. 次のコマンドを使用して Bazel ソースコードをダウンロードし、Bazel フォルダに移動します。workspacelog パーサーを使用してワークスペース ログを解析できるようにするには、ソースコードが必要です。

    git clone https://github.com/bazelbuild/bazel.git
cd bazel

  4. Bazel ソースコード リポジトリで、ワークスペース ログ全体をテキストに変換します。

    bazel build src/tools/workspacelog:parser
bazel-bin/src/tools/workspacelog/parser --log_path=/tmp/workspacelog > /tmp/workspacelog.txt

  5. 出力はかなり詳細になり、組み込みの Bazel ルールからの出力が含まれる場合があります。

    特定のルールを出力から除外するには、--exclude_rule オプションを使用します。次に例を示します。

    bazel build src/tools/workspacelog:parser
bazel-bin/src/tools/workspacelog/parser --log_path=/tmp/workspacelog \
    --exclude_rule "//external:local_config_cc" \
    --exclude_rule "//external:dep" > /tmp/workspacelog.txt

  6. /tmp/workspacelog.txt を開き、安全でないオペレーションがないか確認します。

ログは、repository_ctx に対して実行された密閉されていない可能性のある特定のアクションの概要を示す WorkspaceEvent メッセージで構成されます。

非密封の可能性としてハイライト表示されているアクションは次のとおりです。

  • execute: ホスト環境で任意のコマンドを実行します。これらによってホスト環境への依存関係が生じる可能性があるかどうかを確認します。

  • downloaddownload_and_extract: 密閉型のビルドを行うには、SHA256 が指定されていることを確認してください。

  • filetemplate: これはそれ自体が非密閉ではありませんが、ホスト環境への依存関係をリポジトリに導入するためのメカニズムである可能性があります。入力の取得元を理解し、ホスト環境に依存しないことを確認します。

  • os: これはそれ自体が非密閉型ではありませんが、ホスト環境への依存関係を取得する簡単な方法です。密閉型のビルドでは、通常、この呼び出しは呼び出されません。 使用が密閉型かどうかを評価する場合は、ワーカーではなくホスト上で実行されていることに注意してください。リモートビルドでは、ホストから環境の詳細を取得することはおすすめしません。

  • symlink: 通常、これは安全ですが、レッドフラグを探してください。リポジトリ外または絶対パスへのシンボリック リンクは、リモート ワーカーで問題が発生します。シンボリック リンクがホストマシンのプロパティに基づいて作成されている場合も、問題が発生する可能性があります。

  • which: ワーカーの構成が異なる可能性があるため、通常はホストにインストールされているプログラムの確認に問題があります。