Docker Build-Push Action 中 Git 引用问题的分析与解决方案

问题背景

在使用 Docker Build-Push Action 进行持续集成时，开发团队遇到了一个特殊场景下的构建失败问题。当用户创建 Pull Request 并立即合并后，正在运行的构建工作流会出现错误，提示"repository does not contain ref"。

问题现象

构建过程中出现的具体错误信息为：

ERROR: failed to solve: failed to read dockerfile: failed to load cache key: repository does not contain ref refs/pull/9/merge

这种情况发生在 Pull Request 被快速合并后，但对应的构建工作流仍在执行时。本质上，这是由于 GitHub 的特殊引用机制导致的。

技术分析

GitHub 的 Pull Request 引用机制

GitHub 为每个 Pull Request 创建了特殊的引用路径：

• refs/pull/[PR号]/head：指向源分支的最新提交
• refs/pull/[PR号]/merge：表示合并后的结果

当 Pull Request 被合并后，refs/pull/[PR号]/merge 这个引用会被移除，但构建工作流可能仍在尝试访问这个已经不存在的引用。

构建上下文的差异

Docker Build-Push Action 默认使用 Git 上下文进行构建，它会直接从 GitHub 仓库获取源代码。在 Pull Request 场景下，它使用的是 github.ref 上下文变量，即 refs/pull/[PR号]/merge。

而 GitHub 的 checkout 操作使用了不同的引用策略：

1. 使用 +[commit SHA]:refs/remotes/pull/[PR号]/merge 格式获取合并提交
2. 强制更新本地引用 refs/remotes/pull/[PR号]/merge
3. 检出到 refs/remotes/pull/[PR号]/merge

这种差异导致了在 Pull Request 被合并后，构建过程无法找到预期的 Git 引用。

解决方案

临时解决方案

对于遇到此问题的用户，可以采用路径上下文替代 Git 上下文：

- name: Build
  uses: docker/build-push-action@v6
  with:
    context: .
    # 其他配置...

这种方式直接从工作目录获取源代码，避免了 Git 引用问题。

长期解决方案

经过深入分析，发现使用 refs/pull/[PR号]/head 可以稳定地获取源分支的最新提交。这个引用在 Pull Request 合并后仍然有效，因为它指向的是源分支的提交，而不是合并结果。

最佳实践建议

1. 对于 Pull Request 构建：考虑使用路径上下文或明确指定 refs/pull/[PR号]/head 作为构建上下文
2. 工作流设计：在可能快速合并的场景下，评估是否真的需要完整的构建流程
3. 错误处理：在工作流中添加适当的错误处理逻辑，识别并处理这种特定情况

技术启示

这个问题揭示了在 CI/CD 流程中处理 Git 引用时需要特别注意的几个方面：

1. 不同平台对 Git 引用的处理方式可能不同
2. 引用在不同操作阶段的生命周期需要被充分考虑
3. 构建上下文的选择对流程稳定性有重要影响

理解这些底层机制有助于开发更健壮的持续集成流程，特别是在处理 Pull Request 等协作场景时。