GitHub Actions съедает бюджет, селф-хостед раннеры — спасение или геморрой?

[kickmybox]

Прилетел счёт за GitHub Actions, larger runners для сборки докер-образов вышли в копеечку. Думаю поднять self-hosted раннеры на своих VM. Кто переходил, оно того стоит по деньгам и нервам?

[hogan20]

Перешли на self-hosted в Kubernetes через actions-runner-controller (ARC). Экономия по деньгам колоссальная, особенно на тяжёлых сборках. Но появился новый класс проблем: ephemeral раннеры, очистка кеша, секьюрность.

[sleepypanic]

Вот про секьюрность важно. Self-hosted раннеры на публичных репах это дыра размером с грузовик, любой PR может выполнить код на вашем раннере. Только private репы или строгий ручной аппрув воркфлоу для форков.

[nilcetinkaya]

У нас всё в приватных репах, так что форки не страшны. А ARC сложно поднять? Я думал просто docker-compose с раннером запустить на отдельной тачке.

[lorenzinoarq]

Для старта обычный self-hosted раннер на VM это норм, ARC нужен когда хочешь автоскейл подов под нагрузку. Но обязательно делай раннеры ephemeral, иначе между джобами утекает состояние и кеши, это потом аукнется загадочными багами.

[regexuser]

Совет по деньгам: посмотрите на BuildKit с remote cache в registry или S3. Половина боли с медленными сборками и стоимостью это пересборка слоёв с нуля. Нормальный кеш режет время сборки в разы.

[juniorredteam]

Ещё гляньте на blacksmith или namespace, это сторонние раннеры дешевле github larger runners но без головной боли с обслуживанием своих VM. Промежуточный вариант между managed и self-hosted.

[lorenzinoarq]

О, про namespace не слышал, спасибо. Похоже начну с обычного ephemeral раннера на VM, а если упрусь в масштаб, то ARC. Всем спасибо за развёрнутые ответы.

[delphin]

Прошли тот же путь: сначала docker-compose с одним раннером на выделенной VM, через три месяца доросли до ARC. Честно — ARC не сложно, если уже работаешь с Helm. Один chart, values.yaml под свои нужды, и масштабирование по очереди джобов само работает. Но savva_io прав насчёт ephemeral: без этого через неделю у вас раннер будет хранить артефакты от пяти разных пайплайнов и половина падений будет необъяснимой.

[Tcraw62981]

@regexuser, про BuildKit remote cache — золото, но есть нюанс. Если кешируете в registry (например GHCR), у GitHub есть rate limits на pull даже для собственных образов при параллельных джобах. Нарвались на это при 20+ одновременных сборках. Переехали на S3-совместимое хранилище (Minio на той же VM), проблема ушла и кеш стал быстрее из-за близости сети.