vLLM项目中的AIbrix容器镜像迁移至GitHub容器注册表实践

背景介绍

在云原生应用开发中，容器镜像的分发与存储是至关重要的环节。vLLM项目中的AIbrix组件原先使用公共容器注册表作为容器镜像的存储和分发平台，但由于该平台对拉取操作设置了限制，团队决定将镜像迁移至GitHub容器注册表(GHCR)。

技术挑战与解决方案

权限管理问题

迁移过程中遇到的首要挑战是权限问题。项目从原组织转移后，新仓库缺少对GHCR的写入权限。技术团队评估了两种解决方案：

1. 向vLLM主项目申请write:package权限，但会导致命名空间冲突，需要重构镜像名称
2. 使用aibrix组织的GHCR，需要配置专用访问令牌

经过权衡，团队选择了第二种方案，因其更易于控制且对现有贡献者更加友好。

访问令牌配置

实施过程中，团队发现GitHub已禁用经典个人访问令牌(PAT)，而新的细粒度令牌无法满足需求。经过深入研究，团队采取了以下步骤：

1. 在组织设置中重新启用经典令牌功能
2. 创建专用令牌，仅授予必要的权限：
   • 容器包写入权限
   • 容器包读取权限
   • 仓库访问权限

工作流配置

团队更新了CI/CD工作流配置，主要变更包括：

1. 将默认的GITHUB_TOKEN替换为专用的AIBRIX_ORG_PACKAGE_UPDATE_GITHUB_TOKEN
2. 调整了组织级别的"允许GitHub Actions发布和安装包"设置
3. 验证了新的工作流能够成功构建和推送镜像

实施效果

通过上述调整，AIbrix项目成功实现了容器镜像从公共容器注册表到GHCR的迁移。新的工作流经过测试验证，能够稳定运行并正确推送镜像到指定的GHCR仓库。

经验总结

1. 组织权限管理是容器镜像迁移的关键环节，需要提前规划好命名空间策略
2. GitHub的令牌机制变更可能影响现有工作流，需要密切关注平台更新
3. 专用令牌比默认令牌提供更精细的权限控制，建议关键操作使用专用令牌
4. 容器镜像分发平台的选型应考虑长期维护成本和访问限制等因素

这一实践为其他开源项目提供了有价值的参考，特别是在容器镜像分发平台选择和权限管理方面的经验。