有時,Python發佈的程序需要被打包爲一個文件夾、甚至一個文件發佈。 目前(2020)最佳的策略是使用pyinstaller。
pyinstaller不僅支持打包整個運行環境到一個可執行文件,而且還支持加密。 但唯一的問題是,必須依賴外部的libc.so
。 這衍生出了兩個問題:
- 必須基於較低版本的Linux發行版進行打包。
因爲libc.so
向後兼容、向前不兼容(低版本兼容高版本,而高版本不兼容低版本)。 比如,在Debian Stretch打包的可執行文件,不僅在Debian Buster上可以運行,在Ubuntu的16、18、20,CentOS的7、8等都能正常運行。 但是,如果是在Debian Buster上打包,那麼就只有Ubuntu 20能運行了。
2.不支持Alpine等發行版。
因爲Alpine的libc.so
約定與普通不同的發行版。 Alpine是找/lib/libc.musl-x86_64.so.1
,其它主流發行版都是找/lib/x86_64-linux-gnu/libc.so.6
。
兩個問題在pyinstaller中都無法解決,只能規避。
因此,pyinstaller仍然無法幫助Python獲得像Golang、Rust那樣完美的打包效果,但也算比較接近了。
安裝
在具備基本的Python環境後,安裝Python包都是很簡單的。
pip install pyinstaller
CLI
新增一個任意腳本文件,名稱最好和任何已知包名不同,比如cli.py
。 其中只需要簡單調用一下要打包的CLI入口,就可以利用pyinstaller自動完成依賴查找和打包。
"""The pyinstaller CLI entry file."""
from foo.__main__ import main
if __name__ == '__main__':
main()
其它類型的Python程序,也可使用類似的方式編寫打包入口。
加密
pip install pyinstaller[encryption]
安裝時添加額外依賴,運行時添加一個--key=...
即可實現加密。 key
值是一個16字符的字符串,可以通過openssl
來生成。
openssl rand -base64 16 | cut -c1-16
完整打包命令
python -OO -m PyInstaller -F cli.py --name foo \
--key=`openssl rand -base64 16 | cut -c1-16`
這裏沒有使用pyinstaller
,而是使用python \-m PyInstaller
,是爲了進行-OO
的優化。
Dockerfile示例
以下是一個Dockerfile打包示例。
FROM python:3.7-stretch as builder
WORKDIR /opt/code
COPY . /opt/code/
RUN pip install --no-cache-dir pyinstaller \
&& pip install -e . \
&& python -OO -m PyInstaller -F cli.py --name foo \
--key=`openssl rand -base64 16 | cut -c1-16`
FROM debian:buster-slim
ENTRYPOINT ["foo"]
COPY --from=builder /opt/code/dist/foo /usr/bin/
爲了兼容,這裏使用了Debian Stretch版本的官方Python鏡像,執行打包操作。 而運行時,不僅可以用Debian的Buster版本,也可使用Ubuntu、CentOS等主流發行版的主要版本。 而且,運行環境中不需要包含Python。