自定义作业使用的容器

你可以自定义自托管运行器如何为作业调用容器。

本文内容

注意:此功能目前处于测试阶段,可能会发生更改。

关于容器自定义

GitHub Actions 允许您在容器中运行作业,方法是在工作流文件中使用 container: 语句。有关更多信息,请参阅“在容器中运行作业”。要处理基于容器的作业,自托管运行程序会为每个作业创建一个容器。

GitHub Actions 支持允许您自定义自托管运行程序创建容器的方式的命令。例如,您可以使用这些命令通过 Kubernetes 或 Podman 管理容器,还可以自定义用于调用容器的 docker rundocker create 命令。自定义命令由脚本运行,当在运行程序上设置特定环境变量时,该脚本会自动触发。有关更多信息,请参阅下面的“触发自定义脚本”。

此自定义仅适用于基于 Linux 的自托管运行程序,并且不需要 root 用户访问权限。

容器自定义命令

GitHub Actions 包含以下用于容器自定义的命令

这些自定义命令中的每一个都必须在其自己的 JSON 文件中定义。文件名必须与命令名称匹配,扩展名为 .json。例如,prepare_job 命令在 prepare_job.json 中定义。然后,这些 JSON 文件将作为主 index.js 脚本的一部分在自托管运行程序上一起运行。此过程在“生成自定义脚本”中进行了更详细的描述。

这些命令还包括配置参数,将在下面更详细地解释。

prepare_job

prepare_job 命令在作业启动时调用。GitHub Actions 传入作业拥有的任何作业或服务容器。如果你在作业中拥有任何服务或作业容器,则将调用此命令。

GitHub Actions 假设你将在 prepare_job 命令中执行以下任务

  • 根据需要清除前一个作业中的任何内容。
  • 根据需要创建网络。
  • 拉取作业和服务容器。
  • 启动作业容器。
  • 启动服务容器。
  • 将 GitHub Actions 所需的任何信息写入响应文件
    • 必需:说明容器是否是 alpine linux 容器(使用 isAlpine 布尔值)。
    • 可选:你希望在作业上下文中设置的任何上下文字段,否则用户将无法使用它们。有关更多信息,请参阅“上下文”。
  • 在运行状况检查成功且作业/服务容器启动时返回 0

prepare_job 的参数

  • jobContainer可选。包含有关指定作业容器的信息的对象。
    • image必需。包含 Docker 镜像的字符串。
    • workingDirectory必需。包含工作目录的绝对路径的字符串。
    • createOptions可选。YAML 中指定的可选创建选项。有关更多信息,请参阅“在容器中运行作业”。
    • environmentVariables可选。设置键环境变量的映射。
    • userMountVolumes可选。YAML 中设置的用户挂载卷的数组。有关更多信息,请参阅“在容器中运行作业”。
      • sourceVolumePath必需。将挂载到 Docker 容器中的卷的源路径。
      • targetVolumePath必需。将挂载到 Docker 容器中的卷的目标路径。
      • readOnly必需。确定挂载是否应为只读。
    • systemMountVolumes必需。一个挂载到容器中的挂载数组,与上述字段相同。
      • sourceVolumePath必需。将挂载到 Docker 容器中的卷的源路径。
      • targetVolumePath必需。将挂载到 Docker 容器中的卷的目标路径。
      • readOnly必需。确定挂载是否应为只读。
    • registry 可选。用于私有容器注册表的 Docker 注册表凭据。
      • username可选。注册表帐户的用户名。
      • password可选。注册表帐户的密码。
      • serverUrl可选。注册表 URL。
    • portMappings可选。要映射到容器中的源:目标端口的键值哈希。
  • services可选。要启动的服务容器数组。
    • contextName必需。作业上下文中服务的名称。
    • image必需。包含 Docker 镜像的字符串。
    • createOptions可选。YAML 中指定的可选创建选项。有关更多信息,请参阅“在容器中运行作业”。
    • environmentVariables可选。设置键环境变量的映射。
    • userMountVolumes可选。一个挂载到容器中的挂载数组,与上述字段相同。
      • sourceVolumePath必需。将挂载到 Docker 容器中的卷的源路径。
      • targetVolumePath必需。将挂载到 Docker 容器中的卷的目标路径。
      • readOnly必需。确定挂载是否应为只读。
    • registry 可选。用于私有容器注册表的 Docker 注册表凭据。
      • username可选。注册表帐户的用户名。
      • password可选。注册表帐户的密码。
      • serverUrl可选。注册表 URL。
    • portMappings可选。要映射到容器中的源:目标端口的键值哈希。

prepare_job 的示例输入

JSON
{
  "command": "prepare_job",
  "responseFile": "/users/octocat/runner/_work/{guid}.json",
  "state": {},
  "args": {
    "jobContainer": {
      "image": "node:18"
      "workingDirectory": "/__w/octocat-test2/octocat-test2",
      "createOptions": "--cpus 1",
      "environmentVariables": {
        "NODE_ENV": "development"
      },
      "userMountVolumes": [
        {
          "sourceVolumePath": "my_docker_volume",
          "targetVolumePath": "/volume_mount",
          "readOnly": false
        }
      ],
      "systemMountVolumes": [
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work",
          "targetVolumePath": "/__w",
          "readOnly": false
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/externals",
          "targetVolumePath": "/__e",
          "readOnly": true
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp",
          "targetVolumePath": "/__w/_temp",
          "readOnly": false
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_actions",
          "targetVolumePath": "/__w/_actions",
          "readOnly": false
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_tool",
          "targetVolumePath": "/__w/_tool",
          "readOnly": false
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_home",
          "targetVolumePath": "/github/home",
          "readOnly": false
        },
        {
          "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_workflow",
          "targetVolumePath": "/github/workflow",
          "readOnly": false
        }
      ],
      "registry": {
        "username": "octocat",
        "password": "examplePassword",
        "serverUrl": "https://index.docker.io/v1"
      },
      "portMappings": { "80": "801" }
    },
    "services": [
      {
        "contextName": "redis",
        "image": "redis",
        "createOptions": "--cpus 1",
        "environmentVariables": {},
        "userMountVolumes": [],
        "portMappings": { "80": "801" },
        "registry": {
          "username": "octocat",
          "password": "examplePassword",
          "serverUrl": "https://index.docker.io/v1"
        }
      }
    ]
  }
}

prepare_job 的示例输出

此示例输出是上面输入中定义的 responseFile 的内容。

JSON
{
  "state": {
    "network": "example_network_53269bd575972817b43f7733536b200c",
    "jobContainer": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
    "serviceContainers": {
      "redis": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105"
    }
  },
  "context": {
    "container": {
      "id": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
      "network": "example_network_53269bd575972817b43f7733536b200c"
    },
    "services": {
      "redis": {
        "id": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105",
        "ports": {
          "8080": "8080"
        },
        "network": "example_network_53269bd575972817b43f7733536b200c"
      }
    },
    "isAlpine": true
  }
}

cleanup_job

cleanup_job 命令在作业结束时调用。GitHub Actions 假设您将在 cleanup_job 命令中执行以下任务

  • 停止任何正在运行的服务或作业容器(或等效的 pod)。
  • 停止网络(如果存在)。
  • 删除任何作业或服务容器(或等效的 pod)。
  • 删除网络(如果存在)。
  • 清理为该作业创建的任何其他内容。

cleanup_job 的参数

未为 cleanup_job 提供任何参数。

cleanup_job 的示例输入

JSON
{
  "command": "cleanup_job",
  "responseFile": null,
  "state": {
    "network": "example_network_53269bd575972817b43f7733536b200c",
    "jobContainer": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
    "serviceContainers": {
      "redis": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105"
    }
  },
  "args": {}
}

cleanup_job 的示例输出

cleanup_job 没有预期的输出。

run_container_step

run_container_step 命令在作业中的每个容器操作中调用一次。GitHub Actions 假设您将在 run_container_step 命令中执行以下任务

  • 拉取或构建所需的容器(如果无法拉取或构建,则失败)。
  • 运行容器操作并返回容器的退出代码。
  • 将任何步骤日志输出流式传输到 stdout 和 stderr。
  • 在容器执行后清理容器。

run_container_step 的参数

  • image可选。包含 docker 镜像的字符串。否则必须提供 dockerfile。
  • dockerfile可选。包含 dockerfile 路径的字符串,否则必须提供镜像。
  • entryPointArgs可选。包含入口点参数的列表。
  • entryPoint可选。如果应覆盖默认镜像入口点,则使用容器入口点。
  • workingDirectory必需。包含工作目录的绝对路径的字符串。
  • createOptions可选。YAML 中指定的可选创建选项。有关更多信息,请参阅“在容器中运行作业”。
  • environmentVariables可选。设置键环境变量的映射。
  • prependPath可选。要预置到 $PATH 变量的附加路径数组。
  • userMountVolumes可选。YAML 中设置的用户挂载卷数组。有关更多信息,请参阅“在容器中运行作业”。
    • sourceVolumePath必需。将挂载到 Docker 容器中的卷的源路径。
    • targetVolumePath必需。将挂载到 Docker 容器中的卷的目标路径。
    • readOnly必需。确定挂载是否应为只读。
  • systemMountVolumes必需。使用与上述相同的字段,将挂载项挂载到容器中的数组。
    • sourceVolumePath必需。将挂载到 Docker 容器中的卷的源路径。
    • targetVolumePath必需。将挂载到 Docker 容器中的卷的目标路径。
    • readOnly必需。确定挂载是否应为只读。
  • registry 可选。用于私有容器注册表的 Docker 注册表凭据。
    • username可选。注册表帐户的用户名。
    • password可选。注册表帐户的密码。
    • serverUrl可选。注册表 URL。
  • portMappings可选。要映射到容器中的源:目标端口的键值哈希。

镜像的示例输入

如果你正在使用 Docker 镜像,则可以在 "image": 参数中指定镜像名称。

JSON
{
  "command": "run_container_step",
  "responseFile": null,
  "state": {
    "network": "example_network_53269bd575972817b43f7733536b200c",
    "jobContainer": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
    "serviceContainers": {
      "redis": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105"
    }
  },
  "args": {
    "image": "node:18",
    "dockerfile": null,
    "entryPointArgs": ["-f", "/dev/null"],
    "entryPoint": "tail",
    "workingDirectory": "/__w/octocat-test2/octocat-test2",
    "createOptions": "--cpus 1",
    "environmentVariables": {
      "NODE_ENV": "development"
    },
    "prependPath": ["/foo/bar", "bar/foo"],
    "userMountVolumes": [
      {
        "sourceVolumePath": "my_docker_volume",
        "targetVolumePath": "/volume_mount",
        "readOnly": false
      }
    ],
    "systemMountVolumes": [
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work",
        "targetVolumePath": "/__w",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/externals",
        "targetVolumePath": "/__e",
        "readOnly": true
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp",
        "targetVolumePath": "/__w/_temp",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_actions",
        "targetVolumePath": "/__w/_actions",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_tool",
        "targetVolumePath": "/__w/_tool",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_home",
        "targetVolumePath": "/github/home",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_workflow",
        "targetVolumePath": "/github/workflow",
        "readOnly": false
      }
    ],
    "registry": null,
    "portMappings": { "80": "801" }
  }
}

Dockerfile 的示例输入

如果你的容器由 Dockerfile 定义,则此示例演示如何使用 "dockerfile": 参数在输入中指定 Dockerfile 的路径。

JSON
{
  "command": "run_container_step",
  "responseFile": null,
  "state": {
    "network": "example_network_53269bd575972817b43f7733536b200c",
    "jobContainer": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
    "services": {
      "redis": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105"
    }
  },
  "args": {
    "image": null,
    "dockerfile": "/__w/_actions/foo/dockerfile",
    "entryPointArgs": ["hello world"],
    "entryPoint": "echo",
    "workingDirectory": "/__w/octocat-test2/octocat-test2",
    "createOptions": "--cpus 1",
    "environmentVariables": {
      "NODE_ENV": "development"
    },
    "prependPath": ["/foo/bar", "bar/foo"],
    "userMountVolumes": [
      {
        "sourceVolumePath": "my_docker_volume",
        "targetVolumePath": "/volume_mount",
        "readOnly": false
      }
    ],
    "systemMountVolumes": [
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work",
        "targetVolumePath": "/__w",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/externals",
        "targetVolumePath": "/__e",
        "readOnly": true
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp",
        "targetVolumePath": "/__w/_temp",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_actions",
        "targetVolumePath": "/__w/_actions",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_tool",
        "targetVolumePath": "/__w/_tool",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_home",
        "targetVolumePath": "/github/home",
        "readOnly": false
      },
      {
        "sourceVolumePath": "/home/octocat/git/runner/_layout/_work/_temp/_github_workflow",
        "targetVolumePath": "/github/workflow",
        "readOnly": false
      }
    ],
    "registry": null,
    "portMappings": { "80": "801" }
  }
}

run_container_step 的示例输出

不期望 run_container_step 有任何输出。

run_script_step

GitHub Actions 假设你将执行以下任务

  • 在作业容器中调用提供的脚本并返回退出代码。
  • 将任何步骤日志输出流式传输到 stdout 和 stderr。

run_script_step 的参数

  • entryPointArgs可选。包含入口点参数的列表。
  • entryPoint可选。如果应覆盖默认镜像入口点,则使用容器入口点。
  • prependPath可选。要预置到 $PATH 变量的附加路径数组。
  • workingDirectory必需。包含工作目录的绝对路径的字符串。
  • environmentVariables可选。设置键环境变量的映射。

run_script_step 的示例输入

JSON
{
  "command": "run_script_step",
  "responseFile": null,
  "state": {
    "network": "example_network_53269bd575972817b43f7733536b200c",
    "jobContainer": "82e8219701fe096a35941d869cf3d71af1d943b5d8bdd718857fb87ac3042480",
    "serviceContainers": {
      "redis": "60972d9aa486605e66b0dad4abb678dc3d9116f536579e418176eedb8abb9105"
    }
  },
  "args": {
    "entryPointArgs": ["-e", "/runner/temp/example.sh"],
    "entryPoint": "bash",
    "environmentVariables": {
      "NODE_ENV": "development"
    },
    "prependPath": ["/foo/bar", "bar/foo"],
    "workingDirectory": "/__w/octocat-test2/octocat-test2"
  }
}

run_script_step 的示例输出

不期望 run_script_step 有任何输出。

生成自定义脚本

GitHub 创建了一个示例存储库,演示如何为 Docker 和 Kubernetes 生成自定义脚本。

注意:生成的脚本可用于测试目的,您需要确定它们是否适合您的要求。

  1. actions/runner-container-hooks 存储库克隆到您的自托管运行程序。

  2. examples/ 目录包含一些现有的自定义命令,每个命令都有自己的 JSON 文件。您可以查看这些示例,并将它们用作您自己的自定义命令的起点。

    • prepare_job.json
    • run_script_step.json
    • run_container_step.json

  3. 构建 npm 包。这些命令在 packages/docker/distpackages/k8s/dist 内生成 index.js 文件。

    npm install && npm run bootstrap && npm run build-all

当生成的 index.js 由 GitHub Actions 触发时,它将运行 JSON 文件中定义的自定义命令。要触发 index.js,您需要将其添加到 ACTIONS_RUNNER_REQUIRE_JOB_CONTAINER 环境变量中,如下一部分所述。

触发自定义脚本

自定义脚本必须位于运行程序上,但不要存储在自托管运行程序应用程序目录(即您下载并解压运行程序软件的目录)中。这些脚本在运行运行程序服务的服务帐户的安全上下文中执行。

注意:触发的脚本会同步处理,因此它会在运行时阻止作业执行。

当运行程序具有包含脚本绝对路径的以下环境变量时,脚本会自动执行

  • ACTIONS_RUNNER_CONTAINER_HOOKS:当作业已分配给运行程序,但在作业开始运行之前,将触发此环境变量中定义的脚本。

要设置此环境变量,您可以将其添加到操作系统,或将其添加到自托管运行程序应用程序目录中的名为 .env 的文件中。例如,以下 .env 条目将使运行程序在每个基于容器的作业运行之前自动运行 /Users/octocat/runner/index.js 处的脚本

ACTIONS_RUNNER_CONTAINER_HOOKS=/Users/octocat/runner/index.js

如果您想确保您的作业始终在容器内运行,并随后始终应用您的容器自定义,则可以将自托管运行程序上的 ACTIONS_RUNNER_REQUIRE_JOB_CONTAINER 变量设置为 true。这将使未指定作业容器的作业失败。

故障排除

无超时设置

目前,ACTIONS_RUNNER_CONTAINER_HOOKS 执行的脚本没有超时设置。因此,你可以考虑向脚本添加超时处理。

查看工作流运行日志

要确认你的脚本是否正在执行,你可以查看该作业的日志。有关查看日志的详细信息,请参阅“使用工作流运行日志”。