有时,Python发布的程序需要被打包为一个文件夹、甚至一个文件发布。 目前(2020)最佳的策略是使用pyinstaller。
pyinstaller不仅支持打包整个运行环境到一个可执行文件,而且还支持加密。 但唯一的问题是,必须依赖外部的libc.so
。 这衍生出了两个问题:
- 必须基于较低版本的Linux发行版进行打包。
因为libc.so
向后兼容、向前不兼容(低版本兼容高版本,而高版本不兼容低版本)。 比如,在Debian Stretch打包的可执行文件,不仅在Debian Buster上可以运行,在Ubuntu的16、18、20,CentOS的7、8等都能正常运行。 但是,如果是在Debian Buster上打包,那么就只有Ubuntu 20能运行了。
2.不支持Alpine等发行版。
因为Alpine的libc.so
约定与普通不同的发行版。 Alpine是找/lib/libc.musl-x86_64.so.1
,其它主流发行版都是找/lib/x86_64-linux-gnu/libc.so.6
。
两个问题在pyinstaller中都无法解决,只能规避。
因此,pyinstaller仍然无法帮助Python获得像Golang、Rust那样完美的打包效果,但也算比较接近了。
安装
在具备基本的Python环境后,安装Python包都是很简单的。
pip install pyinstaller
CLI
新增一个任意脚本文件,名称最好和任何已知包名不同,比如cli.py
。 其中只需要简单调用一下要打包的CLI入口,就可以利用pyinstaller自动完成依赖查找和打包。
"""The pyinstaller CLI entry file."""
from foo.__main__ import main
if __name__ == '__main__':
main()
其它类型的Python程序,也可使用类似的方式编写打包入口。
加密
pip install pyinstaller[encryption]
安装时添加额外依赖,运行时添加一个--key=...
即可实现加密。key
值是一个16字符的字符串,可以通过openssl
来生成。
openssl rand -base64 16 | cut -c1-16
完整打包命令
python -OO -m PyInstaller -F cli.py --name foo \
--key=`openssl rand -base64 16 | cut -c1-16`
这里没有使用pyinstaller
,而是使用python \-m PyInstaller
,是为了进行-OO
的优化。
Dockerfile示例
以下是一个Dockerfile打包示例。
FROM python:3.7-stretch as builder
WORKDIR /opt/code
COPY . /opt/code/
RUN pip install --no-cache-dir pyinstaller \
&& pip install -e . \
&& python -OO -m PyInstaller -F cli.py --name foo \
--key=`openssl rand -base64 16 | cut -c1-16`
FROM debian:buster-slim
ENTRYPOINT ["foo"]
COPY --from=builder /opt/code/dist/foo /usr/bin/
为了兼容,这里使用了Debian Stretch版本的官方Python镜像,执行打包操作。 而运行时,不仅可以用Debian的Buster版本,也可使用Ubuntu、CentOS等主流发行版的主要版本。 而且,运行环境中不需要包含Python。