解读

面试官想考察你对 GitLab Runner 执行器选型、镜像构建安全性、CI 资源消耗、国内网络合规性 的综合判断。
国内多数企业把 GitLab Runner 跑在 阿里云 ECS、腾讯云 CVM、华为云 CCI 上，既要满足等保 2.0 对容器隔离的要求，又要解决 “docker.sock 挂载带来的逃逸风险” 与 “Kaniko 构建慢、缓存难落地” 的现实痛点。
回答时必须给出 可落地的选型矩阵，并说明在 金融、政务、互联网 三类场景下的权衡差异。

知识点

1. docker.sock 挂载原理：Runner 容器通过 -v /var/run/docker.sock:/var/run/docker.sock 直接复用宿主机 Docker Engine，构建过程本质是 宿主机侧 docker build，速度最快，缓存利用最充分。
2. 安全风险：任何获得 Job 内 shell 权限的人可 docker ps、docker exec 到宿主机任意容器，等于 拿到宿主机 root，在等保测评里直接判高风险。
3. Kaniko 原理：用户空间完全隔离，不依赖 Docker Daemon，以 executor 镜像启动，逐层 unpack 并 commit，rootless 模式 可跑在非特权 Pod，符合 “最小权限 + 不可变基础设施” 云原生规范。
4. 国内镜像拉取痛点：Kaniko 每次从零构建，对 gcr.io、k8s.gcr.io 访问超时，需配置 阿里云 ACR 镜像加速器 + --cache-repo 指向国内 OSS 桶，否则 CI 时长翻倍。
5. 缓存策略：docker.sock 方案天然使用宿主机本地层缓存；Kaniko 需显式 --cache=true --cache-repo=registry.cn-hangzhou.aliyuncs.com/xxx/cache，并 定期运行 cache-warmer 作业 防止缓存雪崩。
6. 合规与审计：金融客户要求 构建过程可审计、不可逃逸，Kaniko 的 --verbosity=info 日志可直接对接 阿里 SLS 或腾讯 CLS；docker.sock 方案需额外装 Falco 或 Auditbeat 做逃逸检测，成本高。
7. 资源成本：同规模构建，Kaniko 因 解压/压缩 CPU 开销，比 docker.sock 多消耗 30% CPU 时长，但省去一台 “Docker-in-Docker 特权节点” 的运维人力，综合 TCO 反而低。

答案

“在国内落地 GitLab CI 构建时，我按 ‘数据敏感度 + 网络环境 + 构建频率’ 三维打分：

1. 金融、政务、医疗等等保三级以上 场景，强制使用 Kaniko rootless 模式，Runner 跑在 ACK/TKE/CCE 的 gVisor 或 kata 安全沙箱里，镜像缓存 repo 指向 内网 Harbor 或 ACR 企业版，并开启 不可变标签 + 漏洞扫描，牺牲 20% 构建速度换取 0 宿主机逃逸风险。
2. 互联网边缘业务（营销页、Demo 站点），并发高、镜像大、迭代快，采用 docker.sock + 专用构建节点池，节点使用 阿里云 ECS 安全加固镜像，开 SELinux + AppArmor 双策略，并通过 GitLab 的 protected runner 限定只有主干分支可触发，风险可控且构建耗时降低 40%。
3. 混合方案：核心支付组件用 Kaniko，营销组件用 docker.sock，统一由 GitLab parent-child pipeline 调度，上游 Kaniko 产出 base 镜像并推送至 ACR 企业版，下游 docker.sock 作业基于该 base 做 多阶段构建，既满足合规又兼顾效率。
4. 缓存兜底：Kaniko 侧配置 --cache-dir=/cache --cache-repo=registry-internal/xxx/cache 并挂载 ESSD PL0 云盘 做持久化，每周日凌晨运行 cache-gc 作业 清理 7 天未用层，缓存命中率稳定在 85% 以上。
5. 监控与回滚：两种方案都把 构建时长、层缓存命中率、CVE 漏洞数 打到 Prometheus + Grafana，Kaniko 构建失败自动回退到 docker.sock 节点并告警，SLA 保持在 99.9%。”

拓展思考

1. BuildKit rootless 在国内云厂商的 IaaS 现状：阿里云 ACK 已支持 --oci-worker-snapshotter=overlayfs 原生 rootless，但 腾讯云 TKE 仍需自行编译 containerd 1.7+，面试时可追问 “如果客户坚持用 TKE，你如何编译并维护 BuildKit rootless 镜像？”
2. 镜像签名与供应链安全：Kaniko 构建完后，用 cosign + 阿里云 KMS 密钥 做 镜像签名，docker.sock 方案因 宿主机侧签名私钥暴露面大，需把 cosign 私钥放在 Vault + 临时 STS token，对比两种方案的 密钥轮转复杂度。
3. Serverless 化趋势：华为云 FunctionGraph 已支持 Kaniko 构建函数，按构建时长计费，可进一步追问 “如何把现有 GitLab CI 改造成 Serverless 构建，省去 Runner 维护？” 考察你对 事件驱动架构 的理解深度。