このページでは、アーティファクト ベースのビルドシステムと、その作成の背後にある考え方について説明します。Bazel はアーティファクト ベースのビルドシステムです。タスクベースのビルドシステムはビルド スクリプトよりも優れていますが、個々のエンジニアが独自のタスクを定義できるようにすることで、個々のエンジニアに過度の権限を与えます。
アーティファクト ベースのビルドシステムには、エンジニアが制限付きで構成できる、システムによって定義されたタスクが少数あります。エンジニアは何を構築するかをシステムに指示しますが、ビルドシステムがどのように構築するかを決定します。タスクベースのビルドシステムと同様に、Bazel などのアーティファクトベースのビルドシステムにもビルドファイルがありますが、これらのビルドファイルの内容は大きく異なります。Bazel のビルドファイルは、出力の生成方法を記述する Turing で完全なスクリプト言語の命令セットではなく、ビルドするアーティファクト、その依存関係、ビルド方法に影響する限られたオプション セットを記述する宣言型マニフェストです。エンジニアがコマンドラインで bazel を実行するとき、ビルドするターゲットのセット(何を)を指定します。Bazel は、コンパイル手順(方法)の構成、実行、スケジュール設定を行います。ビルドシステムは、どのツールをいつ実行するかを完全に制御できるため、正確性を保証しながら、はるかに効率的な動作を保証できます。
機能的な視点
アーティファクト ベースのビルドシステムと関数型プログラミングは、簡単にたとえることができます。従来の命令型プログラミング言語(Java、C、Python など)では、タスクベースのビルドシステムでプログラマが実行する一連のステップを定義するのと同じように、順番に実行されるステートメントのリストを指定します。一方、関数型プログラミング言語(Haskell や ML など)は、一連の数学式に似た構造になっています。関数型言語では、プログラマーは実行する計算を記述しますが、その計算をいつ、どのように実行するかの詳細をコンパイラに与えます。
これは、アーティファクト ベースのビルドシステムでマニフェストを宣言し、ビルドの実行方法をシステムに認識させるという考え方に対応しています。多くの問題は関数型プログラミングを使用して簡単に表現できませんが、関数型プログラミングから大きなメリットを得られる問題もあります。多くの場合、このようなプログラムは簡単に並列化でき、命令型言語では不可能な正確性について強力な保証を行うことができます。関数型プログラミングを使用して表現するのが最も簡単な問題は、一連のルールまたは関数を使用して、あるデータを別のデータに変換する問題です。ビルドシステムはまさにそのものです。システム全体は、ソースファイル(およびコンパイラなどのツール)を入力として受け取り、バイナリを出力する数学的な関数です。したがって、関数型プログラミングの原則に基づいてビルドシステムを構築するのが適切であることは驚くべきことではありません。
アーティファクト ベースのビルドシステムについて
Google のビルドシステムである Blaze は、最初のアーティファクト ベースのビルドシステムでした。Bazel は、Blaze のオープンソース バージョンです。
Bazel のビルドファイル(通常は BUILD という名前)は次のようになります。
java_binary(
name = "MyBinary",
srcs = ["MyBinary.java"],
deps = [
":mylib",
],
)
java_library(
name = "mylib",
srcs = ["MyLibrary.java", "MyHelper.java"],
visibility = ["//java/com/example/myproduct:__subpackages__"],
deps = [
"//java/com/example/common",
"//java/com/example/myproduct/otherlib",
],
)
Bazel では、BUILD ファイルでターゲットを定義します。ここでは、java_binary と java_library の 2 種類のターゲットがあります。すべてのターゲットは、システムによって作成できるアーティファクトに対応しています。バイナリ ターゲットは、直接実行できるバイナリを生成します。ライブラリ ターゲットは、バイナリや他のライブラリで使用できるライブラリを生成します。すべての標的には以下があります。
name: コマンドラインや他のターゲットでターゲットを参照する方法srcs: ターゲットのアーティファクトを作成するためにコンパイルするソースファイルdeps: このターゲットの前にビルドされ、リンクされる必要がある他のターゲット
依存関係は、同じパッケージ内(MyBinary の :mylib に対する依存関係など)または同じソース階層内の別のパッケージ(mylib の //java/com/example/common に対する依存関係など)に存在できます。
タスクベースのビルドシステムと同様に、Bazel のコマンドライン ツールを使用してビルドを行います。MyBinary ターゲットをビルドするには、bazel build :MyBinary を実行します。クリーンなリポジトリでこのコマンドを初めて入力すると、Bazel は次の処理を行います。
- ワークスペース内のすべての
BUILDファイルを解析して、アーティファクト間の依存関係のグラフを作成します。 - グラフを使用して、
MyBinaryの推移的依存関係(MyBinaryが依存するすべてのターゲットと、それらのターゲットが依存するすべてのターゲット)を再帰的に決定します。 - これらの依存関係を順番にビルドします。Bazel はまず、他の依存関係がないターゲットをビルドし、ターゲットごとにビルドが必要な依存関係を追跡します。ターゲットのすべての依存関係がビルドされるとすぐに、Bazel はそのターゲットのビルドを開始します。このプロセスは、
MyBinaryのすべての伝播依存関係がビルドされるまで続きます。 MyBinaryをビルドして、ステップ 3 でビルドされたすべての依存関係をリンクする最終的な実行可能バイナリを生成します。
基本的に、ここで起こっていることは、タスクベースのビルドシステムを使用した場合と大きく異なるように思われるかもしれません。実際には、最終的な結果は同じバイナリであり、それを生成するプロセスには、一連のステップを分析してそれらのステップ間の依存関係を見つけ、それらのステップを順番に実行する必要がありました。ただし、重要な違いがあります。最初の手順はステップ 3 に表示されます。Bazel は、各ターゲットが Java ライブラリのみを生成することを知っているため、任意のユーザー定義スクリプトではなく Java コンパイラを実行するだけでよいので、これらのステップを並行して実行しても問題ないと判断します。これにより、マルチコア マシンでターゲットを 1 つずつビルドするよりも、パフォーマンスが桁違いに向上します。アーティファクト ベースのアプローチでは、ビルドシステムが独自の実行戦略を管理するため、並列処理の保証を強化できます。
ただし、メリットは並列処理だけにとどまりません。このアプローチにより、デベロッパーが変更を加えずに 2 回目の bazel
build :MyBinary を入力すると、Bazel が 1 秒未満で終了し、ターゲットが最新であることを示すメッセージが表示されます。これが可能になるのは、前に説明した関数型プログラミングのパラダイムです。Bazel は、各ターゲットが Java コンパイラのみの実行結果であること、Java コンパイラからの出力が入力にのみ依存していることを認識しており、入力が変更されない限り、出力を再利用できることを認識しています。この分析はどのレベルでも機能します。MyBinary.java が変更された場合、Bazel は MyBinary を再ビルドし、mylib を再利用します。//java/com/example/common のソースファイルが変更された場合、Bazel はそのライブラリ、mylib、MyBinary を再ビルドしますが、//java/com/example/myproduct/otherlib を再利用します。Bazel は、実行するツールのプロパティを各ステップで認識しているため、古いビルドが生成されないようにしながら、毎回最小限のアセットセットのみを再ビルドできます。
タスクではなくアーティファクトの観点からビルドプロセスを再構成することは、微妙ですが強力です。プログラマーに公開される柔軟性を減らすことで、ビルドシステムはビルドの各ステップで行われていることを詳しく知ることができます。この知識を使用して、ビルドプロセスを並列化し、その出力を再利用することで、ビルドを大幅に効率化できます。しかし、これはほんの第一歩にすぎません。並列処理と再利用のこれらの構成要素は、分散型で高度にスケーラブルなビルドシステムの基礎を形成します。
Bazel のその他の便利な使い方
アーティファクト ベースのビルドシステムは、タスクベースのビルドシステムに固有の並列処理と再利用の問題を根本的に解決します。しかし、まだ解決していない問題がまだいくつか残っています。Bazel には、これらの各問題を解決する優れた方法があるので、次に進む前に、それらについて話し合う必要があります。
依存関係としてのツール
以前に発生した問題の 1 つは、ビルドがマシンにインストールされているツールに依存し、ツールのバージョンや場所が異なるため、システム間でビルドを再現するのが難しいことです。プロジェクトでビルドまたはコンパイル先のプラットフォーム(Windows と Linux など)に応じて異なるツールを必要とする言語が使用され、それぞれのプラットフォームで同じ処理を行うために若干異なるツールセットが必要な場合、問題はさらに困難になります。
Bazel は、この問題の最初の部分を、ツールを各ターゲットへの依存関係として扱うことで解決します。ワークスペース内のすべての java_library は、Java コンパイラに暗黙的に依存します。これはデフォルトでよく知られたコンパイラになります。Bazel は java_library をビルドするたびに、指定されたコンパイラが既知の場所にあることを確認します。他の依存関係と同様に、Java コンパイラが変更されると、それに依存するすべてのアーティファクトが再ビルドされます。
Bazel は、ビルド構成を設定して、問題の 2 番目の部分であるプラットフォームの独立性を解決します。ターゲットはツールに直接依存するのではなく、構成のタイプに依存します。
- ホストの構成: ビルド中に実行されるビルドツール
- ターゲット構成: 最終的にリクエストしたバイナリのビルド
ビルドシステムの拡張
Bazel には、いくつかの一般的なプログラミング言語向けのターゲットがあらかじめ用意されていますが、エンジニアは常にそれを増やしたいと考えています。タスクベースのシステムの利点の一つは、あらゆる種類のビルドプロセスを柔軟にサポートできることです。アーティファクト ベースのビルドシステムでは、これをあきらめない方がよいでしょう。幸い、Bazel ではカスタムルールを追加することで、サポートされているターゲット タイプを拡張できます。
Bazel でルールを定義するには、ルールの作成者は、ルールに必要な入力(BUILD ファイルで渡される属性の形式)と、ルールが生成する出力の固定セットを宣言します。作成者は、そのルールによって生成されるアクションも定義します。各アクションは、その入力と出力を宣言し、特定の実行可能ファイルを実行するか、特定の文字列をファイルに書き込みます。入力と出力を介して他のアクションに接続できます。つまり、アクションはビルドシステムの最下位レベルのコンポーズ可能な単位です。宣言された入力と出力のみを使用する限り、アクションは自由に行うことができ、Bazel は必要に応じてアクションのスケジューリングと結果のキャッシュを行います。
アクション デベロッパーが非決定的プロセスをアクションの一部として導入するなどの行為を阻止する方法がないため、このシステムは完全ではありません。しかし、これは実際にはあまり頻繁にはなく、不正行為の可能性をアクション レベルまで押し下げることで、エラーの可能性が大幅に減少します。多くの一般的な言語とツールをサポートするルールはオンラインで幅広く利用可能であり、ほとんどのプロジェクトで独自のルールを定義する必要はありません。それでも、ルール定義はリポジトリの 1 か所の中央で定義するだけで済みます。つまり、ほとんどのエンジニアは、実装を心配することなく、これらのルールを使用できます。
環境の分離
アクションが他のシステムのタスクと同じ問題が発生する可能性があるように思われますが、同じファイルに書き込むアクションを作成して、互いに競合するアクションを記述することは可能ですか?実際、Bazel はサンドボックスを使用して、このような競合を回避します。サポートされているシステムでは、すべてのアクションはファイルシステム サンドボックスを介して他のアクションから分離されます。実質的に、各アクションは宣言した入力と生成した出力を含むファイル システムの制限付きビューのみを表示できます。これは、Docker の基盤となるテクノロジーと同様の Linux の LXC などのシステムによって適用されます。つまり、宣言していないファイルを読み取ることができず、宣言していないファイルを書き込んでも、アクションの終了時に破棄されるため、アクションが競合することはありません。Bazel はサンドボックスを使用して、アクションがネットワーク経由で通信できないようにします。
外部依存関係を確定的に設定する
まだ問題が 1 つあります。ビルドシステムは、多くの場合、外部ソースを直接ビルドするのではなく、依存関係(ツールやライブラリ)から依存関係をダウンロードしなければならないことです。例では、Maven から JAR ファイルをダウンロードする @com_google_common_guava_guava//jar 依存関係を使用しています。
現在のワークスペースの外部にあるファイルに依存するとリスクが高くなります。これらのファイルは随時変更される可能性があるため、ビルドシステムがそれらが最新かどうかを常時確認しなければならない場合があります。ワークスペースのソースコードが変更されずにリモート ファイルが変更されると、再現できないビルドになることもあります。気付かれない依存関係の変更が原因で、ビルドが 1 日目は動作し、翌日は何の理由もなく失敗することがあります。最後に、外部依存関係がサードパーティが所有するものである場合、大きなセキュリティ リスクが生じる可能性があります。攻撃者がそのサードパーティ サーバーに侵入できた場合、依存関係ファイルを独自の設計に置き換えることで、ビルド環境とその出力を完全に制御できるようになる可能性があります。
根本的な問題は、これらのファイルをソース コントロールにチェックインせずにビルドシステムが認識できるようにすることです。依存関係の更新は慎重に行う必要がありますが、その選択は個々のエンジニアが管理したり、システムで自動的に管理したりするのではなく、一元的に一括して行う必要があります。これは、「Live at Head」モデルでも、ビルドを確定的にしたいためです。つまり、先週の commit をチェックアウトすると、現在の依存関係ではなく、その時の依存関係が表示される必要があります。
Bazel などのビルドシステムでは、ワークスペース内のすべての外部依存関係の暗号ハッシュを一覧表示するワークスペース全体のマニフェスト ファイルを必要とすることで、この問題に対処しています。ハッシュは、ファイル全体をソース管理にチェックインせずに、ファイルを一意に表す簡潔な方法です。ワークスペースから新しい外部依存関係が参照されるたびに、その依存関係のハッシュが手動または自動でマニフェストに追加されます。Bazel がビルドを実行すると、キャッシュに保存されている依存関係の実際のハッシュと、マニフェストで定義されている想定ハッシュを照らし合わせて、ハッシュが異なる場合にのみファイルを再ダウンロードします。
ダウンロードしたアーティファクトのハッシュがマニフェストで宣言されたハッシュと異なる場合、マニフェストのハッシュが更新されない限り、ビルドは失敗します。この処理は自動的に行われますが、ビルドに新しい依存関係を受け入れるには、その変更が承認され、ソース管理にチェックインされている必要があります。つまり、依存関係が更新された日時が常に記録され、ワークスペース ソースで対応する変更が行われない限り、外部依存関係を変更することはできません。また、古いバージョンのソースコードをチェックアウトするときに、そのバージョンがチェックインされた時点で使用していたものと同じ依存関係がビルドで使用されることが保証されます(それらの依存関係が使用できなくなった場合は、失敗します)。
もちろん、リモート サーバーが使用不能になったり、破損したデータの提供を開始したりした場合に問題となる可能性もあります。依存関係の別のコピーが利用できないと、すべてのビルドが失敗し始める可能性があります。この問題を回避するには、複雑なプロジェクトの場合は、すべての依存関係を信頼して管理できるサーバーまたはサービスにミラーリングすることをおすすめします。そうしないと、チェックインされたハッシュがセキュリティを保証していても、ビルドシステムの可用性は常にサードパーティに依存することになります。