밀폐

문제 신고open_in_new 소스 보기open_in_new Nightly · 8.0 7.4 . 7.3 · 7.2 · 7.1 · 7.0 · 6.5

이 페이지에서는 격리, 격리 빌드 사용의 이점, 빌드에서 비밀 유지가 적용되지 않는 동작을 식별하기 위한 전략을 설명합니다.

개요

동일한 입력 소스 코드와 제품 구성이 제공되면 봉인된 빌드 시스템은 호스트 시스템의 변경사항으로부터 빌드를 격리하여 항상 동일한 출력을 반환합니다.

빌드를 격리하기 위해 격리된 빌드는 로컬 또는 원격 호스트 머신에 설치된 라이브러리 및 기타 소프트웨어에 민감하지 않습니다. 컴파일러와 같은 특정 버전의 빌드 도구와 라이브러리와 같은 종속 항목에 종속됩니다. 따라서 빌드 프로세스는 빌드 환경 외부의 서비스를 사용하지 않으므로 자체적으로 완결됩니다.

밀폐성의 두 가지 중요한 측면은 다음과 같습니다.

• 격리: 격리된 빌드 시스템은 도구를 소스 코드로 취급합니다. 도구 사본을 다운로드하고 관리형 파일 트리 내에서 저장용량을 관리하고 사용합니다. 이렇게 하면 설치된 언어 버전을 비롯하여 호스트 머신과 로컬 사용자 간에 격리가 이루어집니다.
• 소스 ID: 기본 제공 빌드 시스템은 입력의 동일성을 보장하려고 합니다. Git과 같은 코드 저장소는 고유한 해시 코드로 코드 변형 집합을 식별합니다. 격리된 빌드 시스템은 이 해시를 사용하여 빌드의 입력 변경사항을 식별합니다.

이점

격리된 빌드의 주요 이점은 다음과 같습니다.

• 속도: 작업의 출력을 캐시할 수 있으며 입력이 변경되지 않는 한 작업을 다시 실행할 필요가 없습니다.
• 병렬 실행: 빌드 시스템은 주어진 입력과 출력에 대해 모든 작업의 그래프를 생성하여 효율적인 병렬 실행을 계산할 수 있습니다. 빌드 시스템은 규칙을 로드하고 작업 그래프와 해시 입력을 계산하여 캐시에서 조회합니다.
• 여러 빌드: 동일한 머신에서 여러 개의 격리된 빌드를 빌드할 수 있으며, 각 빌드는 서로 다른 도구와 버전을 사용합니다.
• 재현 가능성: 기본 제공 빌드는 빌드를 생성한 정확한 조건을 알 수 있으므로 문제 해결에 적합합니다.

비밀 유지 불가 식별

Bazel로 전환하려는 경우 기존 빌드의 격리성을 미리 개선하면 이전이 더 쉬워집니다. 빌드에서 비밀 유지가 불충분한 몇 가지 일반적인 원인은 다음과 같습니다.

• .mk 파일의 임의 처리
• 비결정적으로 파일을 만드는 작업 또는 도구로, 일반적으로 빌드 ID 또는 타임스탬프가 포함됩니다.
• 호스트마다 다른 시스템 바이너리 (예: /usr/bin 바이너리, 절대 경로, 네이티브 C++ 규칙 자동 구성을 위한 시스템 C++ 컴파일러)
• 빌드 중에 소스 트리에 쓰기 이렇게 하면 동일한 소스 트리가 다른 타겟에 사용되지 않습니다. 첫 번째 빌드는 소스 트리에 써서 타겟 A의 소스 트리를 수정합니다. 그러면 타겟 B를 빌드하려고 하면 실패할 수 있습니다.

비밀 유지 빌드 문제 해결

로컬 실행부터 로컬 캐시 히트에 영향을 미치는 문제는 비밀 유지가 불가능한 작업을 드러냅니다.

• null 순차 빌드 확인: make를 실행하고 빌드가 성공하면 빌드를 다시 실행해도 대상이 다시 빌드되지 않아야 합니다. 각 빌드 단계를 두 번 실행하거나 다른 시스템에서 실행하면 파일 콘텐츠의 해시를 비교하여 다른 결과를 얻게 되며, 이 경우 빌드를 재현할 수 없습니다.
• 다양한 잠재적 클라이언트 머신에서 로컬 캐시 히트를 디버그하는 단계를 실행하여 클라이언트 환경이 작업으로 유출되는 사례를 포착합니다.
• 체크아웃된 소스 트리와 호스트 도구의 명시적 목록만 포함된 Docker 컨테이너 내에서 빌드를 실행합니다. 빌드 중단 및 오류 메시지는 암시적 시스템 종속 항목을 포착합니다.
• 원격 실행 규칙을 사용하여 기밀 유지 문제를 발견하고 해결합니다.
• 빌드의 작업이 상태가 있고 빌드 또는 출력에 영향을 줄 수 있으므로 작업별 수준에서 엄격한 샌드박스를 사용 설정합니다.
• 작업공간 규칙을 사용하면 개발자가 외부 작업공간에 종속 항목을 추가할 수 있지만 프로세스에서 임의의 처리가 이루어질 수 있을 만큼 풍부합니다. Bazel 명령어에 --experimental_workspace_rules_log_file=PATH 플래그를 추가하여 Bazel 워크스페이스 규칙에서 잠재적으로 비밀 유지가 불가능한 작업의 로그를 가져올 수 있습니다.

Bazel을 통한 격리

다른 프로젝트에서 Bazel과 함께 격리된 빌드를 사용하여 성공을 거둔 방법에 관한 자세한 내용은 다음 BazelCon 강연을 참고하세요.

• Bazel을 사용하여 실시간 시스템 빌드 (SpaceX)
• Bazel 원격 실행 및 원격 캐싱 (Uber 및 TwoSigma)
• 원격 실행 및 캐싱을 통한 더 빠른 빌드
• Bazel 융합: 더 빠른 증분 빌드
• 원격 실행과 로컬 실행 비교
• 원격 캐싱의 사용성 개선 (IBM)
• Bazel을 사용하여 자율주행 자동차 빌드 (BMW)
• Bazel을 사용한 자율주행 자동차 빌드 + Q&A (GM Cruise)