Para obtener documentación sobre versiones estables, usa el menú desplegable "Documentos con versiones". La vista predeterminada refleja la versión más reciente en el encabezado.

Se usó la API de Cloud Translation para traducir esta página.

Zona de pruebas

Informar un problema Ver fuente

En este artículo, se describe la zona de pruebas en Bazel y la depuración de tu entorno de zona de pruebas.

La zona de pruebas es una estrategia de restricción de permisos que aísla los procesos entre sí o de los recursos en un sistema. Para Bazel, esto significa restringir el acceso al sistema de archivos.

La zona de pruebas del sistema de archivos de Bazel ejecuta procesos en un directorio de trabajo que solo contiene entradas conocidas, de modo que los compiladores y otras herramientas no vean los archivos de origen a los que no deben acceder, a menos que conozcan las rutas de acceso absolutas a ellos.

La zona de pruebas no oculta el entorno del host de ninguna manera. Los procesos pueden acceder libremente a todos los archivos del sistema. Sin embargo, en las plataformas que admiten espacios de nombres de usuario, los procesos no pueden modificar ningún archivo fuera de su directorio de trabajo. Esto garantiza que el gráfico de compilación no tenga dependencias ocultas que puedan afectar la reproducibilidad de la compilación.

Más específicamente, Bazel construye un directorio execroot/ para cada acción, que actúa como directorio de trabajo de la acción en el momento de la ejecución. execroot/ contiene todos los archivos de entrada de la acción y sirve como contenedor para cualquier resultado generado. Luego, Bazel usa una técnica proporcionada por el sistema operativo, contenedores en Linux y sandbox-exec en macOS, para restringir la acción dentro de execroot/.

Motivos de la zona de pruebas

Sin la zona de pruebas de acciones, Bazel no sabe si una herramienta usa archivos de entrada no declarados (archivos que no se enumeran de forma explícita en las dependencias de una acción). Cuando cambia uno de los archivos de entrada no declarado, Bazel sigue creyendo que la compilación está actualizada y no volverá a compilar la acción. Esto puede generar una compilación incremental incorrecta.
La reutilización incorrecta de las entradas de la caché crea problemas durante el almacenamiento en caché remoto. Una entrada de caché incorrecta en una caché compartida afecta a todos los desarrolladores del proyecto, y limpiar toda la caché remota no es una solución factible.
La zona de pruebas imita el comportamiento de la ejecución remota: Si una compilación funciona bien con ella, es probable que también funcione con la ejecución remota. Si haces que la ejecución remota suba todos los archivos necesarios (incluidas las herramientas locales), puedes reducir significativamente los costos de mantenimiento de los clústeres de compilación en comparación con tener que instalar las herramientas en cada máquina del clúster cada vez que quieras probar un compilador nuevo o realizar un cambio en una herramienta existente.

Qué estrategia de zona de pruebas usar

Puedes elegir qué tipo de zona de pruebas usar, si corresponde, con las marcas de estrategia. El uso de la estrategia sandboxed hace que Bazel elija una de las implementaciones de zonas de pruebas que se enumeran a continuación y prefiere una zona de pruebas específica del SO en lugar de una genérica menos hermética. Los trabajadores persistentes se ejecutan en una zona de pruebas genérica si pasas la marca --worker_sandboxing.

La estrategia local (también conocida como standalone) no realiza ningún tipo de zona de pruebas. Solo ejecuta la línea de comandos de la acción con el directorio de trabajo configurado en el execroot de tu lugar de trabajo.

processwrapper-sandbox es una estrategia de zona de pruebas que no requiere ninguna función "avanzada"; debería funcionar en cualquier sistema POSIX de inmediato. Compila un directorio de la zona de pruebas compuesto por symlinks que apuntan a los archivos de origen originales, ejecuta la línea de comandos de la acción con el directorio de trabajo configurado en este directorio en lugar del execroot y, luego, mueve los artefactos de salida conocidos fuera de la zona de pruebas al execroot y borra la zona de pruebas. Esto evita que la acción use accidentalmente cualquier archivo de entrada no declarado y que ensucie el execroot con archivos de salida desconocidos.

linux-sandbox va un paso más allá y se basa en processwrapper-sandbox. De manera similar a lo que hace Docker de forma interna, usa espacios de nombres de Linux (espacios de nombres de usuario, activación, PID, red y IPC) para aislar la acción del host. Es decir, hace que todo el sistema de archivos sea de solo lectura, excepto el directorio de la zona de pruebas, de modo que la acción no pueda modificar accidentalmente nada en el sistema de archivos del host. Esto evita situaciones como una prueba con errores en la conversión accidental de tu directorio $HOME. De manera opcional, también puedes evitar que la acción acceda a la red. linux-sandbox usa espacios de nombres de PID para evitar que la acción vea otros procesos y para finalizar de manera confiable todos los procesos (incluso los daemons generados por la acción) al final.

darwin-sandbox es similar, pero para macOS. Usa la herramienta sandbox-exec de Apple para lograr casi los mismos resultados que la zona de pruebas de Linux.

Tanto linux-sandbox como darwin-sandbox no funcionan en una situación "anidada" debido a restricciones en los mecanismos que proporcionan los sistemas operativos. Debido a que Docker también usa espacios de nombres de Linux para su contenedor mágico, no puedes ejecutar con facilidad linux-sandbox dentro de un contenedor de Docker, a menos que uses docker run --privileged. En macOS, no puedes ejecutar sandbox-exec dentro de un proceso que ya está en zona de pruebas. Por lo tanto, en estos casos, Bazel recurre automáticamente a usar processwrapper-sandbox.

Si prefieres recibir un error de compilación, como no realizar una compilación accidental con una estrategia de ejecución menos estricta, modifica de forma explícita la lista de estrategias de ejecución que Bazel intenta usar (por ejemplo, bazel build --spawn_strategy=worker,linux-sandbox).

Por lo general, la ejecución dinámica requiere una zona de pruebas para ejecutarse de forma local. Para inhabilitarlo, pasa la marca --experimental_local_lockfree_output. La ejecución dinámica crea una zona de pruebas silenciosa con los trabajadores persistentes.

Desventajas de la zona de pruebas

Las zonas de pruebas generan costos adicionales de configuración y desmontaje. El importe de este costo depende de muchos factores, como la forma de la compilación y el rendimiento del SO host. En Linux, las compilaciones de zonas de pruebas rara vez son más de un porcentaje más lentas. Configurar --reuse_sandbox_directories puede mitigar los costos de configuración y desmontaje.
La zona de pruebas inhabilita de forma eficaz cualquier caché que pueda tener la herramienta. Puedes mitigar esto si usas trabajadores persistentes, a costa de garantías más débiles de la zona de pruebas.
Los trabajadores multiplex requieren compatibilidad explícita con trabajadores en la zona de pruebas. Los trabajadores que no admiten la zona de pruebas multiplex se ejecutan como trabajadores de un soloplex en ejecución dinámica, lo que puede costar memoria adicional.

Depuración

Sigue las estrategias que se indican a continuación para depurar problemas relacionados con la zona de pruebas.

Espacios de nombres desactivados

En algunas plataformas, como los nodos del clúster de Google Kubernetes Engine o Debian, los espacios de nombres de los usuarios se desactivan de forma predeterminada debido a problemas de seguridad. Si el archivo /proc/sys/kernel/unprivileged_userns_clone existe y contiene un 0, puedes activar los espacios de nombres de usuario ejecutando lo siguiente:

   sudo sysctl kernel.unprivileged_userns_clone=1

Fallas en la ejecución de reglas

Es posible que la zona de pruebas no ejecute reglas debido a la configuración del sistema. Si ves un mensaje como namespace-sandbox.c:633: execvp(argv[0], argv): No such file or directory, intenta desactivar la zona de pruebas con --strategy=Genrule=local para genrules y --spawn_strategy=local para otras.

Depuración detallada de fallas de compilación

Si tu compilación falló, usa --verbose_failures y --sandbox_debug para que Bazel muestre el comando exacto que ejecutó cuando falló la compilación, incluida la parte que configuró la zona de pruebas.

Ejemplo de mensaje de error:

ERROR: path/to/your/project/BUILD:1:1: compilation of rule
'//path/to/your/project:all' failed:

Sandboxed execution failed, which may be legitimate (such as a compiler error),
or due to missing dependencies. To enter the sandbox environment for easier
debugging, run the following command in parentheses. On command failure, a bash
shell running inside the sandbox will then automatically be spawned

namespace-sandbox failed: error executing command
  (cd /some/path && \
  exec env - \
    LANG=en_US \
    PATH=/some/path/bin:/bin:/usr/bin \
    PYTHONPATH=/usr/local/some/path \
  /some/path/namespace-sandbox @/sandbox/root/path/this-sandbox-name.params --
  /some/path/to/your/some-compiler --some-params some-target)

Ahora puedes inspeccionar el directorio de la zona de pruebas generado para ver qué archivos creó Bazel y volver a ejecutar el comando para ver cómo se comporta.

Ten en cuenta que Bazel no borra el directorio de la zona de pruebas cuando usas --sandbox_debug. A menos que estés realizando una depuración de forma activa, debes inhabilitar --sandbox_debug, ya que llenará tu disco con el tiempo.