From 0325f0f18b5221303aa98d2ab4a0f51717db8530 Mon Sep 17 00:00:00 2001
From: Timofey Kirillov <timofey.kirillov@flant.com>
Date: Wed, 14 Dec 2022 14:54:08 +0300
Subject: [PATCH] chore(docs): added build chapter all-in-one draft page

Signed-off-by: Timofey Kirillov <timofey.kirillov@flant.com>
---
 docs/pages_ru/usage/build_draft/all_in_one.md | 1015 +++++++++++++++++
 1 file changed, 1015 insertions(+)
 create mode 100644 docs/pages_ru/usage/build_draft/all_in_one.md

diff --git a/docs/pages_ru/usage/build_draft/all_in_one.md b/docs/pages_ru/usage/build_draft/all_in_one.md
new file mode 100644
index 0000000000..e955fde10b
--- /dev/null
+++ b/docs/pages_ru/usage/build_draft/all_in_one.md
@@ -0,0 +1,1015 @@
+- [Обзор](#обзор)
+- [Конфигурация образов](#конфигурация-образов)
+  - [Образы в werf.yaml](#образы-в-werfyaml)
+    - [Dockerfile](#dockerfile)
+      - [contextAddFiles](#contextaddfiles)
+    - [Stapel](#stapel)
+  - [Зависимости между образами](#зависимости-между-образами)
+- [Сборочный процесс](#сборочный-процесс)
+  - [Параллельная сборка](#параллельная-сборка)
+  - [Послойное кеширование в container registry](#послойное-кеширование-в-container-registry)
+  - [Автотегирование / тегирование](#автотегирование--тегирование)
+  - [Синхронизация](#синхронизация)
+  - [Сборочный бэкенд](#сборочный-бэкенд)
+    - [Buildah](#buildah)
+      - [Системные требования](#системные-требования)
+      - [Включение Buildah](#включение-buildah)
+      - [Драйвер хранилища](#драйвер-хранилища)
+      - [Ulimits](#ulimits)
+  - [Работа в контейнерах](#работа-в-контейнерах)
+- [Организация хранилища](#организация-хранилища)
+  - [Хранилище](#хранилище)
+    - [Именование стадий](#именование-стадий)
+    - [Первичный репозиторий](#первичный-репозиторий)
+    - [Вторичный репозиторий](#вторичный-репозиторий)
+    - [Кэширующий репозиторий](#кэширующий-репозиторий)
+    - [Финальный репозиторий](#финальный-репозиторий)
+  - [Примеры организации хранилища стадий](#примеры-организации-хранилища-стадий)
+    - [1. Стандарт](#1-стандарт)
+    - [2. Дополнительный кэш в локальной сети](#2-дополнительный-кэш-в-локальной-сети)
+    - [3. Полная оптимизация](#3-полная-оптимизация)
+
+## Обзор
+
+Чтобы доставить приложение в кубы как правило нужно собрать один или несколько образов приложения.
+
+От пользователя требуется предоставить сборочные инструкции в виде Dockerfile или альтернативного сборочного синтаксиса stapel.
+
+Предоставляется простой интерфейс для встараивания в CI/CD pipeline или для локального использования: команда `werf build [--repo REPO]`. Далее werf из коробки без специальной конфигурации берёт на себя всю работу по сборке, предоставляя следующие фичи:
+
+* оркестрация одновременной/параллельной сборки всех образов приложения;
+* общий кеш промежуточных слоёв и образов в Container Registry, доступный с любых раннеров;
+* оптимальная схема тегирования, основанная на содержимом образа, предотвращающая лишние пересборки и downtime приложения при дальнейшем выкате;
+* система обеспечения воспроизводимости и неизменности образов для коммита: однажды собранные образы для коммита более не будут пересобраны (в рамках политик очистки — см. очистка);
+
+После прочтения данного раздела пользователь узнает как описать инструкции сборки образов, как работает механизм сборки, какие есть варианты конфигурации сборочного механизма и варианты организации хранилища под нужды проекта.
+
+## Конфигурация образов
+
+### Образы в werf.yaml
+
+> прим. для переводчика: на основе https://werf.io/documentation/v1.2/reference/werf_yaml.html#image-section
+
+Все требуемые образы должны быть сначала добавлены в werf.yaml проекта с помощью директивы `image` с указанием имени образа:
+
+```yaml
+image: frontend
+```
+
+Имя образа — это короткое символьное имя, на которое мы будем ссылаться в других местах конфигурации и при вызове команд werf. Например, когда нам потребуется либо получить полное имя опубликованного в container registry образа, либо при запуске команд внутри собранного образа через `werf kube-run` и т.п.
+
+Если в файле конфигурации описывается только один образ, то он может быть безымянным:
+
+```yaml
+image: ~
+```
+
+Если в файле конфигурации описывается более одного образа, то **каждый образ** должен иметь собственное имя. Также один образ может иметь несколько имен, указываемых в виде YAML-списка (это эквивалентно описанию нескольких одинаковых образов с разными именами):
+
+```yaml
+image: frontend
+---
+image: backend
+---
+image: [database, postgre]
+```
+
+#### Dockerfile
+
+Для описания сборочных инструкций образа поддерживается стандартный Dockerfile. 
+
+[Dockerfile Reference](https://docs.docker.com/engine/reference/builder/) поможет при написании инструкций Dockerfile.
+TODO: link to dockerfile writing guides.
+
+werf требует минимальной конфигурации для сборки одного или нескольких Dockerfile-ов проекта.
+
+Ниже приведен пример описания образа по имени `example` в werf.yaml:
+
+```yaml
+image: example
+dockerfile: Dockerfile
+```
+
+Также, вы можете описывать несколько образов из одного и того же Dockerfile:
+
+```yaml
+image: backend
+dockerfile: Dockerfile
+target: backend
+---
+image: frontend
+dockerfile: Dockerfile
+target: frontend
+```
+
+И конечно, вы можете описывать образы, основанные на разных Dockerfile:
+
+```yaml
+image: backend
+dockerfile: dockerfiles/Dockerfile.backend
+---
+image: frontend
+dockerfile: dockerfiles/Dockerfile.frontend
+```
+
+##### contextAddFiles
+
+Контекст сборки Dockerfile-образа включает только файлы из текущего коммита репозитория проекта, которые содержатся в директории, заданной директивой `context` (по умолчанию это директория проекта).
+
+Директива `contextAddFiles` позволяет дополнить контекст сборки файлами из директории проекта, которые не хранятся в git:
+
+```yaml
+image: app
+context: app
+contextAddFiles:
+ - file1
+ - dir1/
+ - dir2/file2.out
+```
+
+В данной конфигурации контекст сборки будет состоять из следующих файлов:
+
+- `app/**/*` из текущего коммита репозитория проекта;
+- Файлы `app/file1`, `app/dir2/file2.out` и директория `dir1`, которые находятся в директории проекта.
+
+Файлы `contextAddFiles` имеют больший приоритет, чем файлы из репозитория проекта, поэтому при пересечении пользователь будет работать с ними.
+
+> По умолчанию, использование директивы `contextAddFiles` запрещено гитерминизмом (подробнее об этом в [статье]({{ "/advanced/giterminism.html#contextaddfiles" | true_relative_url }}))
+
+#### Stapel
+
+В werf встроен альтернативный синтаксис описания сборочных инструкций называемый stapel, который открывает доступ к следующим возможностям сборщика:
+* Обеспечивает интеграцию с git и инкрементальную пересборку с учетом истории git-репозитория.
+* Позволяет использовать golang-шаблонизацию для описания сборочных инструкций в werf.yaml
+
+Пример минимальной конфигурации stapel образа в werf.yaml:
+
+```yaml
+image: app
+from: ubuntu:22.04
+```
+
+Добавим исходники из git в наш образ:
+
+```yaml
+image: app
+from: ubuntu:22.04
+git:
+- add: /
+  to: /app
+```
+
+Доступно 4 стадии для описания произвольных shell-инструкций, а также директива `git.stageDependencies` для настройки триггеров пересборки этих стадий при изменении соответствующих стадий (см. [подробнее](TODO)):
+
+```yaml
+image: app
+from: ubuntu:22.04
+git:
+- add: /
+  to: /app
+  stageDependencies:
+    install:
+    - package-lock.json
+    - Gemfile.lock
+    beforeSetup:
+    - app/webpack/
+    - app/assets/
+    setup:
+    - config/templates/
+shell:
+  beforeInstall:
+  - apt update -q
+  - apt install -y libmysqlclient-dev mysql-client g++
+  install:
+  - bundle install
+  - npm install
+  beforeSetup:
+  - bundle exec rails assets:precompile
+  setup:
+  - rake generate:configs
+```
+
+Поддерживаются вспомогательные образы, из которых можно импортировать файлы в целевой образ, а также golang-шаблонизация:
+
+```yaml
+{{ $_ := set . "BaseImage" "ubuntu:22.04" }}
+
+{{ define "package:build-essential" }}
+  - apt install -y gcc g++ build-essential make
+{{ end }}
+
+image: builder
+from: {{ .BaseImage }}
+shell:
+  beforeInstall:
+{{ include "package:build-essentials" }}
+  install:
+  - cd /app
+  - make build
+---
+image: app
+from: alpine:latest
+import:
+- image: builder
+  add: /app/build/app
+  to: /usr/local/bin/app
+  after: install
+```
+
+### Зависимости между образами
+
+По умолчанию все образы объявленные в werf.yaml будут собираться параллельно. Неявно задают порядок сборки образов вспомогательные образы, из которых импортируются файлы: зависимый образ должен быть собран перед сборкой целевого образа, в который осуществляется импорт файлов.
+
+werf позволяет явно задать порядок сборки образов, объявляя для образа один или несколько зависимых образов. После сборки зависимого образа в целевом образе будут доступны переменные окружения и build-arguments, в которых будет полный адрес опубликованного в container registry образа, а также его digest.
+
+Такая возможность позволяет, например, использовать одну из стадий Dockerfile в качестве базового образа для другой стадии в том же или другом Dockerfile. При этом оба образа будут автоматически собраны и скомпонованы за один вызов `werf build`, а при изменении соответствующих сборочных инструкций базового образа будет автоматически работать пересборка и базового образа и зависящего от этого базового образа. Также имя и digest базового образа могут быть произвольно использованы в сборочных инструкциях целевого образа.
+
+Например, соберём 2 образа `base` и `app`. `base` будет использоваться в качестве базового образа для `app`, также в файле `/base_image_id` образа `app` будет сохранён digest базового образа из container registry.
+
+```yaml
+# werf.yaml
+image: base
+dockerfile: Dockerfile.base
+---
+image: app
+dockerfile: Dockerfile.app
+dependencies:
+- image: base
+  imports:
+  - type: ImageName
+    targetBuildArg: BASE_IMAGE
+  - type: ImageID
+    targetBuildArg: BASE_IMAGE_ID
+```
+
+```Dockerfile
+# Dockerfile.base
+FROM ubuntu:22.04
+RUN apt update -q && apt install -y python3
+```
+
+```Dockerfile
+# Dockerfile.app
+ARG BASE_IMAGE
+FROM ${BASE_IMAGE}
+ARG BASE_IMAGE_ID
+RUN echo ${BASE_IMAGE_ID} > /base_image_id
+```
+
+## Сборочный процесс
+
+TODO: как это работает, как конфигурируется: parallel, buildah/docker, режимы buildah, синхронизация+конфигурация
+
+### Параллельная сборка
+
+Параллельная сборка в werf регулируется двумя параметрами `-p, --parallel` и `--parallel-tasks-limit`. По умолчанию параллельная сборка включена и собирается не более 5 образов одновременно.
+
+После построение дерева зависимостей образов, werf разбивает сборку на этапы. Каждый этап содержит набор независимых образов, которые могут собираться параллельно.
+
+```shell
+┌ Concurrent builds plan (no more than 5 images at the same time)
+│ Set #0:
+│ - ⛵ image common-base
+│ - 🛸 artifact jq
+│ - 🛸 artifact libjq
+│ - 🛸 artifact kcov
+│
+│ Set #1:
+│ - ⛵ image base-for-go
+│
+│ Set #2:
+│ - 🛸 artifact terraform-provider-vsphere
+│ - 🛸 artifact terraform-provider-gcp
+│ - 🛸 artifact candictl
+│ - ⛵ image candictl-tests
+│ - 🛸 artifact helm
+│ - 🛸 artifact controller
+│
+│ Set #3:
+│ - ⛵ image base
+│
+│ Set #4:
+│ - ⛵ image tests
+│ - ⛵ image app
+└ Concurrent builds plan (no more than 5 images at the same time)
+```
+
+### Послойное кеширование в container registry
+
+TODO
+Оптимальное использование CR: собрано один раз, больше не пересобирается, конечные образы, слои
+
+### Автотегирование / тегирование
+
+TODO
+
+### Синхронизация
+
+TODO: как работает по умолчанию, как настроить свой сервер
+
+### Сборочный бэкенд
+
+werf поддерживает использование Docker Server или Buildah в качестве бекенда для сборки образов. Buildah поддерживает полноценную работу в контейнерах и послойную сборку Dockerfile-ов с кешированием всех промежуточных слоёв в container registry.
+
+Более подробную информацию о Buildah можно получить в разделе [Режим сборки с использованием Buildah.]({{ "/advanced/buildah_mode.html" | true_relative_url }})
+
+#### Buildah
+
+> ПРИМЕЧАНИЕ: werf поддерживает сборку образов с _использованием Docker-сервера_ или _с использованием Buildah_. Поддерживается сборка как Dockerfile-образов, так и stapel-образов через Buildah.
+
+Для сборки без Docker-сервера werf использует встроенный Buildah в rootless-режиме.
+
+##### Системные требования
+
+TODO: перенести в установку или уже там есть — проверить (?)
+
+Требования к хост-системе для запуска werf в Buildah-режиме без Docker/Kubernetes можно найти в [инструкциях по установке](/installation.html). А для запуска werf в Kubernetes или в Docker-контейнерах требования следующие:
+* Если ваше ядро Linux версии 5.13+ (в некоторых дистрибутивах 5.11+) **рекомендуется** режим работы через модуль ядра `overlay`:
+  * Убедитесь, что модуль ядра `overlay` загружен с `lsmod | grep overlay`.
+  * Убедитесь, что настройка ядра `CONFIG_USER_NS=y` включена в вашем ядре с помощью `grep CONFIG_USER_NS /boot/config-VERSION`.
+  * При использовании ядра в debian-системах команда `sysctl kernel.unprivileged_userns_clone` должна вернуть `1`. В ином случае выполните:
+    ```shell
+    echo 'kernel.unprivileged_userns_clone = 1' | sudo tee -a /etc/sysctl.conf
+    sudo sysctl -p
+    ```
+  * Команда `sysctl user.max_user_namespaces` должна вернуть по меньшей мере `15000`. В ином случае выполните:
+    ```shell
+    echo 'user.max_user_namespaces = 15000' | sudo tee -a /etc/sysctl.conf
+    sudo sysctl -p
+    ```
+* Если ядро более старое или у вас не получается активировать модуль ядра `overlay`, то установите `fuse-overlayfs`, который обычно доступен в репозиториях вашего дистрибутива. В крайнем случае может быть использован драйвер хранилища `vfs`.
+
+##### Включение Buildah
+
+Buildah включается установкой переменной окружения `WERF_BUILDAH_MODE` в один из вариантов: `auto`, `native-chroot`, `native-rootless`. Большинству пользователей для включения режима Buildah достаточно установить `WERF_BUILDAH_MODE=auto`.
+
+* `auto` — автоматический выбор режима в зависимости от платформы и окружения;
+* `native-chroot` работает только в Linux и использует `chroot`-изоляцию для сборочных контейнеров;
+* `native-rootless` работает только в Linux и использует `rootless`-изоляцию для сборочных контейнеров. На этом уровне изоляции werf использует среду выполнения сборочных операций в контейнерах (runc, crun, kata или runsc).
+
+> ПРИМЕЧАНИЕ: На данный момент Buildah доступен только для пользователей Linux и Windows с включённой подсистемой WSL2. Для пользователей MacOS на данный момент предлагается использование виртуальной машины для запуска werf в режиме Buildah.
+
+##### Драйвер хранилища
+
+werf может использовать драйвер хранилища `overlay` или `vfs`:
+
+* `overlay` позволяет использовать файловую систему OverlayFS. Можно использовать либо встроенную в ядро Linux поддержку OverlayFS (если она доступна), либо реализацию fuse-overlayfs. Это рекомендуемый выбор по умолчанию.
+* `vfs` обеспечивает доступ к виртуальной файловой системе вместо OverlayFS. Эта файловая система уступает по производительности и требует привилегированного контейнера, поэтому ее не рекомендуется использовать. Однако в некоторых случаях она может пригодиться.
+
+Как правило, достаточно использовать драйвер по умолчанию (`overlay`). Драйвер хранилища можно задать с помощью переменной окружения `WERF_BUILDAH_STORAGE_DRIVER`.
+
+##### Ulimits
+
+По умолчанию Buildah режим в werf наследует системные ulimits при запуске сборочных контейнеров. Пользователь может переопределить эти параметры с помощью переменной окружения `WERF_BUILDAH_ULIMIT`.
+
+Формат `WERF_BUILDAH_ULIMIT=type:softlimit[:hardlimit][,type:softlimit[:hardlimit],...]` — конфигурация лимитов, указанные через запятую:
+* "core": maximum core dump size (ulimit -c)
+* "cpu": maximum CPU time (ulimit -t)
+* "data": maximum size of a process's data segment (ulimit -d)
+* "fsize": maximum size of new files (ulimit -f)
+* "locks": maximum number of file locks (ulimit -x)
+* "memlock": maximum amount of locked memory (ulimit -l)
+* "msgqueue": maximum amount of data in message queues (ulimit -q)
+* "nice": niceness adjustment (nice -n, ulimit -e)
+* "nofile": maximum number of open files (ulimit -n)
+* "nproc": maximum number of processes (ulimit -u)
+* "rss": maximum size of a process's (ulimit -m)
+* "rtprio": maximum real-time scheduling priority (ulimit -r)
+* "rttime": maximum amount of real-time execution between blocking syscalls
+* "sigpending": maximum number of pending signals (ulimit -i)
+* "stack": maximum stack size (ulimit -s)
+
+### Работа в контейнерах
+
+TODO
+
+## Организация хранилища
+
+В данной статье описано, как устроено хранилище собираемых образов в werf, какие бывают типы хранилища, какие функции выполняют эти хранилища, а также различные варианты организации хранилища в проекте.
+
+### Хранилище
+
+werf собирает образы, состоящие из одной или нескольких стадий. Все стадии собираемых образов сохраняются в так называемое **хранилище стадий** по мере сборки. Хранилище хранит стадии и метаданные проекта. Эти данные могут храниться локально на хост-машине, либо в container registry.
+
+Большинство команд werf требуют указания места размещения _хранилища_ с помощью ключа `--repo` или переменной окружения `WERF_REPO`.
+
+Есть два вида хранилища стадий: **локальное** и **репозиторий** (container registry).
+
+* Локальное хранилище стадий может быть использовано _только для локальной разработки_. В качестве локального хранилища выступает docker server или buildah storage. Локальное хранилище стадий будет задействовано, например, если вызвать команду `werf build` без аргумента `--repo`.
+* Во всех остальных случаях (т.е. кроме локальной разработки) в качестве хранилища стадий всегда выступает репозиторий в container registry. Если запустить сборку с хранилищем стадий в репозитории (например, `werf build` с параметром `--repo ghcr.io/example/myrepo`), то werf сначала проверит наличие требуемых стадий в локальном хранилище и скопирует оттуда подходящие стадии, чтобы не пересобирать эти стадии заново.
+
+ **ЗАМЕЧАНИЕ** Каждый проект должен использовать в качестве хранилища уникальный адрес репозитория, который используется только этим проектом.
+
+Стадии будут [именоваться по-разному](#именование-стадий) в зависимости от типа используемого хранилища.
+
+При использовании container registry для хранения стадий, локальный docker-server на всех хостах, где запускают werf, используется как кеш. Этот кеш может быть очищен автоматически самим werf-ом, либо удалён с помощью других инструментов (например `docker rmi`) без каких-либо последствий.
+
+Предполагается, что хранилище стадий инсталляции не может быть удалено или очищено сторонними средствами без негативных последствий для работы werf *(например, см. [первичный репозиторий](#первичный-репозиторий))*. Исключение составляют некоторые типы хранилищ, которые могут быть безопасно удалены в любой момент времени *(например, см. [кэширующий репозиторий](#кэширующий-репозиторий))*.
+
+
+#### Именование стадий
+
+Стадии в _локальном хранилище_ именуются согласно следующей схемы: `PROJECT_NAME:STAGE_DIGEST-TIMESTAMP_MILLISEC`. Например:
+
+```
+myproject                   9f3a82975136d66d04ebcb9ce90b14428077099417b6c170e2ef2fef-1589786063772   274bd7e41dd9        16 seconds ago      65.4MB
+myproject                   7a29ff1ba40e2f601d1f9ead88214d4429835c43a0efd440e052e068-1589786061907   e455d998a06e        18 seconds ago      65.4MB
+myproject                   878f70c2034f41558e2e13f9d4e7d3c6127cdbee515812a44fef61b6-1589786056879   771f2c139561        23 seconds ago      65.4MB
+myproject                   5e4cb0dcd255ac2963ec0905df3c8c8a9be64bbdfa57467aabeaeb91-1589786050923   699770c600e6        29 seconds ago      65.4MB
+myproject                   14df0fe44a98f492b7b085055f6bc82ffc7a4fb55cd97d30331f0a93-1589786048987   54d5e60e052e        31 seconds ago      64.2MB
+```
+
+Стадии в _удалённом хранилище_ именуются согласно следующей схемы: `CONTAINER_REGISTRY_REPO:STAGE_DIGEST-TIMESTAMP_MILLISEC`. Например:
+
+```
+localhost:5000/myproject-stages                 d4bf3e71015d1e757a8481536eeabda98f51f1891d68b539cc50753a-1589714365467   7c834f0ff026        20 hours ago        66.7MB
+localhost:5000/myproject-stages                 e6073b8f03231e122fa3b7d3294ff69a5060c332c4395e7d0b3231e3-1589714362300   2fc39536332d        20 hours ago        66.7MB
+localhost:5000/myproject-stages                 20dcf519ff499da126ada17dbc1e09f98dd1d9aecb85a7fd917ccc96-1589714359522   f9815cec0867        20 hours ago        65.4MB
+localhost:5000/myproject-stages                 1dbdae9cc1c9d5d8d3721e32be5ed5542199def38ff6e28270581cdc-1589714352200   6a37070d1b46        20 hours ago        65.4MB
+localhost:5000/myproject-stages                 f88cb5a1c353a8aed65d7ad797859b39d357b49a802a671d881bd3b6-1589714347985   5295f82d8796        20 hours ago        65.4MB
+localhost:5000/myproject-stages                 796e905d0cc975e718b3f8b3ea0199ea4d52668ecc12c4dbf85a136d-1589714344546   a02ec3540da5        20 hours ago        64.2MB
+```
+
+- `PROJECT_NAME` — имя проекта;
+- `CONTAINER_REGISTRY_REPO` — репозиторий, заданный опцией `--repo`;
+- `STAGE_DIGEST` — дайджест стадии. Дайджест является идентификатором содержимого стадии и также зависит от истории правок в git репозитории, которые привели к такому содержимому.
+- `TIMESTAMP_MILLISEC` — уникальный идентификатор, который генерируется в процессе [процедуры сохранения стадии]({{ "internals/build_process.html#сохранение-стадий-в-хранилище" | true_relative_url }}) после того как стадия была собрана.
+
+#### Первичный репозиторий
+
+* Задаётся параметром `--repo` (или переменной окружения `WERF_REPO`).
+* У проекта всегда есть только один такой репозиторий.
+
+Данное хранилище является основным и объединяет в себе несколько функций:
+
+1. История проекта.
+  - Хранилище метаданных, связанных с Git-репозиторием, для собираемых образов и стадий.
+  - История проекта позволяет реализовать продвинутый алгоритм безопасной очистки старых стадий на основе истории Git-репозитория (команда `werf cleanup`).
+1. Синхронизация сборки в распределённом окружении.
+  - Данное хранилище позволяет запускать сборку в распределённом окружении и эффективно переиспользовать собираемые стадии в таком окружении. Это возможно за счёт механизмов распределённой синхронизации, встроенных в werf. Эти механизмы работают исключительно с первичным репозиторием.
+  - Как только стадия попадает в первичный репозиторий, эта стадия может быть переиспользована другими сборочными процессами, которые могут быть запущены с произвольного хоста.
+1. Сборочный кэш ранее собранных стадий.
+  - Ранее собранные стадии по возможности переиспользуются вместо того, чтобы собираться заново.
+  - Данная функция схожа с привычным локальным сборочным кэшом в Docker server, однако в случае werf этот кэш находится в container registry.
+1. Хранилище финальных образов, используемых при запуске приложения в Kubernetes.
+  - Kubernetes будет скачивать образы из этого репозитория для запуска контейнеров приложения.
+  - В качестве финальных образов напрямую используются те же стадии, из которых состоит собранный образ.
+
+**Очистка (ВАЖНО!).** Для корректной и полноценной работы werf первичный репозиторий должен быть надёжным (persistent) хранилищем, образы из которого удаляются лишь специальной командой очистки `werf cleanup`. Первичный репозиторий — это не просто сборочный кэш проекта, но и хранилище его истории, похожее на историю коммитов в Git-репозитории.
+
+Помимо первичного репозитория в werf есть другие типы репозиториев, которые могут выполнять часть его функций. Они будут рассмотрены далее. Стоит помнить, что **без первичного репозитория werf не работает, а все другие репозитории — дополнительные**; они были созданы, чтобы снять часть функций первичного репозитория в вашей инсталляции проекта.
+
+#### Вторичный репозиторий
+
+* Задаётся параметром `--secondary-repo` (или переменной окружения `WERF_SECONDARY_REPO_<NAME>`).
+* Может быть указан один или несколько таких репозиториев.
+
+Данное хранилище — это репозиторий только для чтения (read-only), выполняющий функцию сборочного кэша ранее собранных стадий *(см. функции [первичного репозитория](#первичный-репозиторий))*.
+
+Как правило, в качестве secondary-repo может быть указан уже существующий первичный репозиторий от другой инсталляции проекта. Отсутствующие стадии по мере необходимости будут скопированы из вторичного репозитория в первичный вместо сборки с нуля. Вновь собранные же стадии будут помещены только в первичный репозиторий, потому что вторичный репозиторий всегда read-only, т.е. мы не имеем права в него записывать новые данные.
+
+**Очистка** вторичного репозитория не требуется, т.к. этот репозиторий в то же время является первичным для другой инсталляции проекта и его данные управляются там.
+
+#### Кэширующий репозиторий
+
+* Задаётся параметром `--cache-repo` (или переменной окружения `WERF_CACHE_REPO_<NAME>`).
+* Может быть указан один или несколько таких репозиториев.
+
+Выполняет функцию сборочного кэша ранее собранных стадий *(см. функции [первичного репозитория](#первичный-репозиторий))*. Кэширующий репозиторий отличается от вторичного тем, что он read-write, т.е. используется как для записи новых стадий в кэш, так и для использования собранных стадий из этого кэша.
+
+Существующие стадии будут скопированы из кэширующего репозитория в первичный, поскольку первичный репозиторий обязан содержать все собранные стадии образов проекта. Вновь собранные стадии будут опубликованы и в первичный репозиторий, и в кэширующий репозиторий.
+
+Стадии, которые используются в качестве базовых для сборки новых стадий:
+* будут скачиваться из кэша,
+* если их нет в кэширующем репозитории — будут скачиваться из первичного репозитория, а затем загружены в кэширующий для дальнейшего использования.
+
+Другими словами, кэширующий репозиторий заполняется не только вновь собираемыми стадиями, но и базовыми стадиями, используемыми для сборки новых стадий.
+
+Кэширующий репозиторий никогда не используется при запуске приложения в Kubernetes.
+
+**Очистка** кэширующего репозитория осуществляется путём его полного удаления. После очистки такой репозиторий будет вновь наполнен актуальными часто используемыми данными.
+
+#### Финальный репозиторий
+
+* Задаётся параметром `--final-repo` (или переменной окружения `WERF_FINAL_REPO`).
+* Может быть указан только один такой репозиторий.
+
+Данный репозиторий будет использоваться исключительно для публикации финальных образов, задействованных для деплоя приложения в Kubernetes.
+- Вновь собираемые образы попадают сначала в первичный репозиторий, и затем копируются в финальный.
+- Финальный репозиторий никогда не хранит промежуточные стадии образов, в нем есть лишь последняя стадия образа.
+- Финальный репозиторий никогда не хранит промежуточные образы (артефакты), нужные для сборки конечных образов. Сюда попадают только конечные образы, используемые в Kubernetes.
+
+**Очистка** данного репозитория выполняется командой `werf cleanup` в паре с первичным репозиторием (для этого необходимо указывать два параметра команде `werf cleanup`: `--repo` и `--final-repo`).
+
+### Примеры организации хранилища стадий
+
+Рассмотрим варианты использования и комбинации описанных репозиториев. Стоит отметить, что любой из описанных вариантов требует указания [первичного репозитория](#первичный-репозиторий).
+
+#### 1. Стандарт
+
+* **Первичный** репозиторий доступен со всех сборочных хостов, а также из кластера Kubernetes. Другие репозитории не используются.
+* При сборке образов сборочный кэш будет скачиваться и загружаться в первичный репозиторий. При выкате Kubernetes будет скачивать финальные образы приложения из данного репозитория.
+* В большинстве случаев следует использовать именно эту простую схему. Также данная схема подходит, если нет уверенности в том, что требуется для проекта.
+
+#### 2. Дополнительный кэш в локальной сети
+
+* **Первичный** репозиторий доступен со всех сборочных хостов, а также из кластера Kubernetes.
+* **Кэширующий** репозиторий работает в локальной сети с быстрым доступом.
+* При сборке образов сборочный кэш загружается и в первичный репозиторий, и в кэширующий репозиторий. Стадии образов, требуемые для сборки других стадий, будут скачиваться из кэширующего репозитория.
+
+#### 3. Полная оптимизация
+
+* **Первичный** репозиторий располагается в локальной сети с быстрым доступом и доступен со всех сборочных хостов. Доступ к данному репозиторию из кластера Kubernetes не требуется. В отличие от кэширующего репозитория, первичный не может быть полностью очищен или удалён без последствий для работы werf, поэтому требуется обеспечить персистивность и надёжность данного хранилища.
+* Опционально могут быть подняты дополнительные **кэширующие** репозитории в локальной сети с быстрым доступом.
+* **Финальный** репозиторий располагается близко к кластеру Kubernetes для того, чтобы запускаемое приложение быстро скачивало образы приложения (скачивание финальных образов со стороны Kubernetes будет происходить чаще, чем их загрузка со сборочных хостов). Также к финальному репозиторию требуется доступ на запись со всех сборочных хостов. В финальный репозиторий будут загружены лишь конечные образы приложения (без промежуточных образов артефактов, которые нужны для сборки других образов).
+
+
+<!-- ## OLD
+
+#### Стадии и хранилище
+
+Мы разделили сборочный процесс образов, описанных в файле конфигурации [werf.yaml]({{ "reference/werf_yaml.html" | true_relative_url }}) на этапы, [с четкими функциями и назначением](#зависимости-стадии). Каждый такой этап соответствует промежуточному образу. В werf такой этап называется [стадией](#конвеер-стадий), а **конечный образ** соответствует последней собранной стадии для определённого состояния git и конфигурации werf.yaml.
+
+Стадии — это этапы сборочного процесса. ***Стадия*** определяется группой инструкций, указанных в конфигурации. Причем группировка этих инструкций не случайна, имеет определенную логику и учитывает условия и правила сборки. С каждой _стадией_ связан конкретный Docker-образ. Все стадии хранятся в [хранилище](#хранилище).
+
+##### Конвеер стадий
+
+_Конвейер стадий_ — набор условий и правил выполнения стадий, подразумевающий также четко определенный порядок выполнения стадий. werf использует не один, а несколько _конвейеров стадий_ в своей работе, по-разному собирая образы в зависимости от их описанной конфигурации.
+
+<div class="tabs">
+  <a href="javascript:void(0)" class="tabs__btn active" onclick="openTab(event, 'tabs__btn', 'tabs__content', 'dockerfile-image-tab')">Dockerfile-образ</a>
+  <a href="javascript:void(0)" class="tabs__btn" onclick="openTab(event, 'tabs__btn', 'tabs__content', 'stapel-image-tab')">Stapel-образ</a>
+  <a href="javascript:void(0)" class="tabs__btn" onclick="openTab(event, 'tabs__btn', 'tabs__content', 'stapel-artifact-tab')">Stapel-артефакт</a>
+</div>
+
+<div id="dockerfile-image-tab" class="tabs__content active">
+<a class="google-drawings" href="{{ "images/reference/stages_and_images1.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/reference/stages_and_images1_preview.png" | true_relative_url }}">
+</a>
+</div>
+
+<div id="stapel-image-tab" class="tabs__content">
+<a class="google-drawings" href="{{ "images/reference/stages_and_images2.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/reference/stages_and_images2_preview.png" | true_relative_url }}" >
+</a>
+</div>
+
+<div id="stapel-artifact-tab" class="tabs__content">
+<a class="google-drawings" href="{{ "images/reference/stages_and_images3.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/reference/stages_and_images3_preview.png" | true_relative_url }}">
+</a>
+</div>
+
+Пользователю нужно только написать правильную конфигурацию, остальная работа со стадиями выполняется werf.
+
+Для каждой _стадии_, werf подсчитывает уникальный сборочный идентификатор — [дайджест стадии](#дайджест-стадии).
+
+В случае отсутствия у стадии [зависимостей стадии](#зависимости-стадии), она пропускается, и, соответственно, _конвейер стадий_ уменьшается на одну стадию. Таким образом конвейер стадий может уменьшаться, вплоть до единственной стадии _from_.
+
+<a class="google-drawings" href="{{ "images/reference/stages_and_images4.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/reference/stages_and_images4_preview.png" | true_relative_url }}">
+</a>
+
+#### Дайджест стадии
+
+_Дайджест стадии_ используется для [тегирования](#именование-стадий) _стадии_ (дайджест является только частью тега) в _хранилище_.
+werf не собирает стадию, если стадия с таким же _дайджестом_ уже находится в _хранилище_ (это поведение похоже на кэширование в Docker, только имеет более сложную логику).
+
+***Дайджест стадии*** — это контрольная сумма от:
+- контрольной суммы [зависимостей стадии](#зависимости-стадии).
+- дайджеста предыдущей стадии;
+- идентификатора git коммита связанного с предыдущей стадией (если эта стадия связана с git).
+
+_Дайджест_ стадии идентифицирует содержимое стадии и зависит от истории правок в git, которые привели к этому коммиту.
+
+#### Зависимости стадии
+
+_Зависимости стадии_ — это данные, которые напрямую связаны и влияют на [дайджест стадии](#дайджест-стадии). К зависимостям стадии относятся:
+
+- файлы (и их содержимое) из git-репозиториев;
+- инструкции сборки стадии из файла `werf.yaml`;
+- произвольные строки указанные пользователем в `werf.yaml`
+- и т.п.
+
+Большинство _зависимостей стадии_ определяется в файле конфигурации `werf.yaml`, остальные — во время запуска.
+
+Следующая таблица иллюстрирует зависимости в Dockerfile-образе, Stapel-образе и [Stapel-артефакте]({{ "advanced/building_images_with_stapel/artifacts.html" | true_relative_url }}).
+Каждая строка таблицы описывает зависимости для определенной стадии. Левая колонка содержит краткое описание зависимостей, правая содержит соответствующую часть `werf.yaml` и ссылки на разделы с более подробной информацией.
+
+<div class="tabs">
+  <a href="javascript:void(0)" id="image-from-dockerfile-dependencies" class="tabs__btn dependencies-btn active">Dockerfile-образ</a>
+  <a href="javascript:void(0)" id="image-dependencies" class="tabs__btn dependencies-btn">Stapel-образ</a>
+  <a href="javascript:void(0)" id="artifact-dependencies" class="tabs__btn dependencies-btn">Stapel-артефакт</a>
+</div>
+
+<div id="dependencies">
+{% for stage in site.data.stages.ru.entries %}
+<div class="stage {{stage.type}}">
+  <div class="stage-body">
+    <div class="stage-base">
+      <p>stage {{ stage.name | escape }}</p>
+
+      {% if stage.dependencies %}
+      <div class="dependencies">
+        {% for dependency in stage.dependencies %}
+        <div class="dependency">
+          {{ dependency | escape }}
+        </div>
+        {% endfor %}
+      </div>
+      {% endif %}
+    </div>
+
+<div class="werf-config" markdown="1">
+
+{% if stage.werf_config %}
+```yaml
+{{ stage.werf_config }}
+```
+{% endif %}
+
+{% if stage.references %}
+<div class="references">
+    Подробнее:
+    <ul>
+    {% for reference in stage.references %}
+        <li><a href="{{ reference.link | true_relative_url }}">{{ reference.name }}</a></li>
+    {% endfor %}
+    </ul>
+</div>
+{% endif %}
+
+</div>
+
+    </div>
+</div>
+{% endfor %}
+</div>
+
+<link rel="stylesheet" type="text/css" href="{{ assets["stages.css"].digest_path | true_relative_url }}" />
+
+<script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
+<script>
+function application() {
+  if ($("a[id=image-from-dockerfile-dependencies]").hasClass('active')) {
+    $(".image").addClass('hidden');
+    $(".artifact").addClass('hidden');
+    $(".image-from-dockerfile").removeClass('hidden')
+  }
+  else if ($("a[id=image-dependencies]").hasClass('active')) {
+    $(".image-from-dockerfile").addClass('hidden');
+    $(".artifact").addClass('hidden');
+    $(".image").removeClass('hidden')
+  }
+  else if ($("a[id=artifact-dependencies]").hasClass('active')) {
+    $(".image-from-dockerfile").addClass('hidden');
+    $(".image").addClass('hidden');
+    $(".artifact").removeClass('hidden')
+  }
+  else {
+    $(".image-from-dockerfile").addClass('hidden');
+    $(".image").addClass('hidden');
+    $(".artifact").addClass('hidden')
+  }
+}
+
+$('.tabs').on('click', '.dependencies-btn', function() {
+  $(this).toggleClass('active').siblings().removeClass('active');
+  application()
+});
+
+application();
+$.noConflict();
+</script>
+
+<< как это работает
+
+
+
+
+
+---
+
+>> Организация хранилища
+
+
+
+<< Организация хранилища
+
+
+
+
+
+
+
+
+>> Как это работает
+
+# Процесс сборки
+
+Сборочный процесс werf для образов, описанных в [werf.yaml]({{ "reference/werf_yaml.html" | true_relative_url }}), подразумевает [последовательную сборку стадий]({{ "internals/stages_and_storage.html" | true_relative_url }}#конвеер-стадий) для описанных образов.
+
+Несмотря на то, что [_конвейеры стадий_]({{ "internals/stages_and_storage.html#конвеер-стадий" | true_relative_url }}) для Dockerfile-образа, Stapel-образа и Stapel-артефакта отличаются, каждая стадия подчиняется общим правилам [выборки из хранилища](#выборка-стадий), [сохранения](#сохранение-стадий-в-хранилище), а также [работы кеша и блокировок]({{ "advanced/synchronization.html" | true_relative_url }}) в параллельных запусках.
+
+## Сборка стадии Dockerfile-образа
+
+Для сборки Dockerfile-образа werf создает единственную [стадию]({{ "internals/stages_and_storage.html#конвеер-стадий" | true_relative_url }}) — `dockerfile`.
+
+В настоящий момент, при сборке стадии werf использует стандартные команды встроенного в Docker клиента (это аналогично выполнению команды `docker build`), а также аргументы, которые пользователь описывает в `werf.yaml`. Кэш, создаваемый при сборке, используется, как и при обычной сборке, без помощи werf.
+
+Интересной особенностью werf является то, что в качестве сборочного контекста используются файлы не из директории проекта, а из git-репозитория. Все файлы, которые содержатся в директории, заданной директивой `context` (по умолчанию это директория проекта), берутся из текущего коммита репозитория проекта (подробнее про гитерминизм можно почитать [в отдельной статье]({{ "advanced/giterminism.html#dockerfile-образ" | true_relative_url }})).
+
+В итоге сборку стадии `dockerfile` можно представить следующим образом:
+
+```shell
+docker build --file=Dockerfile - < ~/.werf/service/tmp/context/4b9d6bc2-a549-42f9-86b8-4032c146f888
+```
+
+Подробнее о файле конфигурации сборки `werf.yaml` в [соответствующем разделе]({{ "reference/werf_yaml.html#сборщик-dockerfile" | true_relative_url }}).
+
+
+
+
+## Сборка стадии Stapel-образа и Stapel-артефакта
+
+При сборке стадии предполагается, что инструкции стадии будут запускаться в контейнере, основанном на предыдущей собранной стадии или на [базовом образе]({{ "advanced/building_images_with_stapel/base_image.html#from-fromlatest" | true_relative_url }}). Такой контейнер будет упоминаться далее как **сборочный контейнер**.
+
+Перед запуском _сборочного контейнера_ werf подготавливает набор инструкций, который зависит от типа стадии и содержит как служебные команды werf, так и [пользовательские]({{ "advanced/building_images_with_stapel/assembly_instructions.html" | true_relative_url }}), указанные в конфигурации `werf.yaml`. Например, среди служебных команд может быть добавление файлов, наложение патчей, запуск ansible заданий и т.п.
+
+Stapel-сборщик использует свой набор инструментов и библиотек и никак не зависит от базового образа. При запуске _сборочного контейнера_ werf монтирует всё необходимое из специального служебного образа `registry.werf.io/werf/stapel`. Подробнее об образе можно прочитать [в соответствующей статье]({{ "internals/development/stapel_image.html" | true_relative_url }}).
+
+В _сборочный контейнер_ [пробрасывается сокет ssh-агента с хоста]({{ "internals/integration_with_ssh_agent.html" | true_relative_url }}), а также могут использоваться [пользовательские маунты]({{ "advanced/building_images_with_stapel/mount_directive.html" | true_relative_url }}).
+
+Также стоит отметить, что при сборке werf игнорирует некоторые параметры манифеста базового образа, перетирая их определёнными значениями:
+- `--user=0:0`;
+- `--workdir=/`;
+- `--entrypoint=/.werf/stapel/embedded/bin/bash`.
+
+В итоге запуск _сборочного контейнера_ произвольной стадии можно представить следующим образом:
+```shell
+docker run \
+  --volume=/tmp/ssh-ln8yCMlFLZob/agent.17554:/.werf/tmp/ssh-auth-sock \
+  --volumes-from=stapel_0.6.1 \
+  --env=SSH_AUTH_SOCK=/.werf/tmp/ssh-auth-sock \
+  --user=0:0 \
+  --workdir=/ \
+  --entrypoint=/.werf/stapel/embedded/bin/bash \
+  sha256:d6e46aa2470df1d32034c6707c8041158b652f38d2a9ae3d7ad7e7532d22ebe0 \
+  -ec eval $(echo c2V0IC14 | /.werf/stapel/embedded/bin/base64 --decode)
+```
+
+Подробнее о файле конфигурации сборки `werf.yaml` в [соответствующем разделе]({{ "reference/werf_yaml.html#stapel-сборщик" | true_relative_url }}).
+
+### Как Stapel-сборщик работает с CMD и ENTRYPOINT
+
+Для сборки стадии werf запускает контейнер со служебными значениями `CMD` и `ENTRYPOINT` а затем, заменяет их значениями [базового образа]({{ "advanced/building_images_with_stapel/base_image.html" | true_relative_url }}). Если в базовом образе эти значения не установлены, werf сбрасывает их следующим образом:
+- `[]` для `CMD`;
+- `[""]` для `ENTRYPOINT`.
+
+Также werf сбрасывает (использует специальные пустые значения) значение `ENTRYPOINT` базового образа, если указано значение `CMD` в конфигурации (`docker.CMD`).
+
+В противном случае поведение werf аналогично [поведению Docker](https://docs.docker.com/engine/reference/builder/#understand-how-cmd-and-entrypoint-interact).
+
+<< Как это работает
+
+
+
+>> Закрытый контур (не важно)
+
+### Как использовать Stapel-сборщик в закрытом контуре
+
+При запуске _сборочного контейнера_ werf монтирует инструментарий из специального образа, имя и тег которого зашиты в коде.
+
+Для сборки со Stapel в закрытом контуре (без доступа к служебному образу) необходимо загрузить образ в доступный container registry и переопределить имя с помощью переменных окружения `WERF_STAPEL_IMAGE_NAME` и `WERF_STAPEL_IMAGE_VERSION` (например, `WERF_STAPEL_IMAGE_NAME=localhost:5000/stapel` и `WERF_STAPEL_IMAGE_VERSION=0.6.2`).
+
+<< Закрытый контур (не важно)
+
+
+
+
+>> Как это работает
+
+## Выборка стадий
+
+Алгоритм выборки стадии в werf можно представить следующим образом:
+
+1. Рассчитывается [дайджест стадии]({{ "internals/stages_and_storage.html#дайджест-стадии" | true_relative_url }}).
+2. Выбираются все стадии, подходящие под дайджест, т.к. с одним дайджестом может быть связанно несколько стадий в [хранилище]({{ "internals/stages_and_storage.html#хранилище" | true_relative_url }}).
+3. Выбирается старейший по времени `TIMESTAMP_MILLISEC` (подробнее про именование стадий [здесь]({{ "internals/stages_and_storage.html#именование-стадий" | true_relative_url }})).
+
+### Дополнение для Stapel-образов и Stapel-артефактов
+
+К основному алгоритму добавляется проверка родства git-коммитов. После шага **2** выполняется дополнительный отсев с использованием истории git: если текущая стадия связана с git (стадия git-архив, пользовательская стадия с git-патчами или стадия git latest patch), тогда выбираются только те стадии, которые связаны с коммитами, являющимися предками текущего коммита. Таким образом, коммиты соседних веток будут отброшены.
+
+Возможна ситуация когда существует несколько собранных образов с одинаковым дайджестом. Более того, стадии для разных git-веток могут иметь одинаковую дайджест. Однако werf гарантированно предотвращает переиспользование кеша между несвязанными ветками. Кеш в разных ветках может быть переиспользован только если этот кеш относится к коммиту, который является базовым, как для одной ветки, так и для другой.
+
+## Сохранение стадий в хранилище
+
+Множество процессов werf (на одном хосте или на нескольких хостах) могут инициировать сборку одной и той же стадии в один момент времени, потому что этой стадии еще нет в хранилище.
+
+werf использует алгоритм оптимистичных блокировок в процессе сохранения свежесобранного образа в хранилище. Когда сборка нового образа закончена, werf блокирует хранилище на любые операции с целевым дайджестом:
+- Если за время сборки подходящего образа не появилось в хранилище, то werf сохраняет новый образ, сгенерировав гарантированно уникальный идентификатор `TIMESTAMP_MILLISEC`.
+- Если за время сборки подходящий образ появился в хранилище, то werf отбрасывает свежесобранный образ, а вместо него использует появившийся в хранилище образ.
+
+Другими словами: первый процесс, который закончит сборку новой стадии (самый быстрый процесс) получит шанс сохранить собранный образ в хранилище. Медленный процесс сборки не будет блокировать более быстрые процессы в параллельной и распределенной среде.
+
+В процессе выборки и сохранения новых стадий в хранилище werf использует [менеджер блокировок]({{ "advanced/synchronization.html" | true_relative_url }}) для координации работы нескольких процессов werf.
+
+<< Как это работает
+
+
+
+
+
+>> Конфигурация сборщика
+
+
+<< Конфигурация сборщика
+
+
+>> Как это работает => перенести в конфигурацию
+
+# Git worktree
+
+Для корректной работы сборщика stapel werf-у требуется полная git-история проекта, чтобы работать в наиболее эффективном режиме. Поэтому по умолчанию werf выполняет fetch истории для текущего git проекта, когда это требуется. Это означает, что werf может автоматически сконвертировать shallow-clone репозитория в полный clone и скачать обновлённый список веток и тегов из origin в процессе очистки образов.
+
+Поведение по умолчанию описывается следующими настройками:
+
+```yaml
+gitWorktree:
+  forceShallowClone: false
+  allowUnshallow: true
+  allowFetchOriginBranchesAndTags: true
+```
+
+Чтобы, например, выключить автоматический unshallow рабочей директории git, необходимы следующие настройки:
+
+```yaml
+gitWorktree:
+  forceShallowClone: true
+  allowUnshallow: false
+```
+
+<< Как это работает
+
+
+>> Как это работает
+
+# Синхронизация в werf
+
+Синхронизация — это группа сервисных компонентов werf, предназначенных для координации нескольких процессов werf при выборке и сохранении стадий в хранилище, а также при публикации образов в репозиторий образов. Существует 2 таких компонента для синхронизации:
+
+1. _Кеш хранилища_ — это внутренний служебный кеш werf, который существенно повышает производительность фазы расчёта стадий в случае, если эти стадии уже есть в хранилище. Кеш хранилища содержит соответствие существующих в хранилище с дайджестом (или другими словами: содержит предварительно рассчитанный шаг алгоритма выборки стадий по дайджесту). Данный кеш является когерентным и werf автоматически сбрасывает его, если будет замечена несостыковка между хранилищем стадий и кешом хранилища.
+2. _Менеджер блокировок_. Блокировки требуются для корректной публикации новых стадий в хранилище, публикации новых образов в репозиторий образов и для организации параллельных процессов выката в Kubernetes (блокируется имя релиза).
+
+Все команды, использующие параметры хранилища (`--repo=...`) также требуют указания адреса менеджера блокировок, который задается опцией `--synchronization=...` или переменной окружения `WERF_SYNCHRONIZATION=...`.
+
+Существует 2 типа наборов компонентов для синхронизации:
+1. Локальный. Включается опцией `--synchronization=:local`.
+- Локальный _кеш хранилища_ располагается по умолчанию в файлах `~/.werf/shared_context/storage/stages_storage_cache/1/PROJECT_NAME/DIGEST`, каждый из которых хранит соответствие существующих в хранилище по некоторому дайджесту.
+- Локальный _менеджер блокировок_ использует файловые блокировки, предоставляемые операционной системой.
+2. Kubernetes. Включается опцией `--synchronization=kubernetes://NAMESPACE[:CONTEXT][@(base64:CONFIG_DATA)|CONFIG_PATH]`.
+- _Кеш хранилища_ в Kubernetes использует для каждого проекта отдельный ConfigMap `cm/PROJECT_NAME`, который создается в указанном `NAMESPACE`.
+- _Менеджер блокировок_ в Kubernetes использует ConfigMap по имени проекта `cm/PROJECT_NAME` (тот же самый что и для кеша хранилища) для хранения распределённых блокировок в аннотациях этого ConfigMap. werf использует [библиотека lockgate](https://github.com/werf/lockgate), которая реализует распределённые блокировки с помощью обновления аннотаций в ресурсах Kubernetes.
+3. Http. Включается опцией `--synchronization=http[s]://DOMAIN`.
+- Есть публичный сервер синхронизации доступный по домену `https://synchronization.werf.io`.
+- Собственный http сервер синхронизации может быть запущен командой `werf synchronization`.
+
+werf использует `--synchronization=:local` (локальный _кеш хранилища_ и локальный _менеджер блокировок_) по умолчанию, если используется локальное хранилище.
+
+werf использует `--synchronization=https://synchronization.werf.io` по умолчанию, если используется удалённое хранилище (`--repo=CONTAINER_REGISTRY_REPO`).
+
+Пользователь может принудительно указать произвольный адрес компонентов для синхронизации, если это необходимо, с помощью явного указания опции `--synchronization=:local|(kubernetes://NAMESPACE[:CONTEXT][@(base64:CONFIG_DATA)|CONFIG_PATH])|(http[s]://DOMAIN)`.
+
+**ЗАМЕЧАНИЕ:** Множество процессов werf, работающих с одним и тем же проектом обязаны использовать одинаковое хранилище и адрес набора компонентов синхронизации.
+
+<< Как это работает
+
+>> Дизайн стапеля
+
+
+
+
+
+## Артефакты
+
+### Что такое артефакты?
+
+***Артефакт*** — это специальный образ, используемый в других артефактах или отдельных образах, описанных в конфигурации. Артефакт предназначен преимущественно для отделения ресурсов инструментов сборки от процесса сборки образа приложения. Примерами таких ресурсов могут быть — программное обеспечение или данные, которые необходимы для сборки, но не нужны для запуска приложения, и т.п.
+
+Используя артефакты, вы можете собирать неограниченное количество компонентов, что позволяет решать, например, следующие задачи:
+- Если приложение состоит из набора компонент, каждый со своими зависимостями, то обычно вам приходится пересобирать все компоненты каждый раз. Вам бы хотелось пересобирать только те компоненты, которым это действительно нужно.
+- Компоненты должны быть собраны в разных окружениях.
+
+Импортирование _ресурсов_ из _артефактов_ указывается с помощью [директивы import]({{ "advanced/building_images_with_stapel/import_directive.html" | true_relative_url }}) в конфигурации в [_секции образа_]({{ "reference/werf_yaml.html#секция-image" | true_relative_url }}) или _секции артефакта_.
+
+### Конфигурация
+
+Конфигурация _артефакта_ похожа на конфигурацию обычного _образа_. Каждый _артефакт_ должен быть описан в своей секции конфигурации.
+
+Инструкции, связанные со стадией _from_ (инструкции указания [базового образа]({{ "advanced/building_images_with_stapel/base_image.html" | true_relative_url }}) и [монтирования]({{ "advanced/building_images_with_stapel/mount_directive.html" | true_relative_url }})), а также инструкции [импорта]({{ "advanced/building_images_with_stapel/import_directive.html" | true_relative_url }}) точно такие же как и при описании _образа_.
+
+Стадия добавления инструкций Docker (`docker_instructions`) и [соответствующие директивы]({{ "advanced/building_images_with_stapel/docker_directive.html" | true_relative_url }}) не доступны при описании _артефактов_. _Артефакт_ — это инструмент сборки, и все что от него требуется, это — только данные.
+
+Остальные _стадии_ и инструкции описания артефактов рассматриваются далее подробно.
+
+#### Именование
+
+<div class="summary" markdown="1">
+```yaml
+artifact: string
+```
+</div>
+
+_Образ артефакта_ объявляется с помощью директивы `artifact`. Синтаксис: `artifact: string`. Так как артефакты используются только самим werf, отсутствуют какие-либо ограничения на именование артефактов, в отличие от ограничений на [именование обычных _образов_]({{ "reference/werf_yaml.html#секция-image" | true_relative_url }}).
+
+Пример:
+```yaml
+artifact: "application assets"
+```
+
+#### Добавление исходного кода из git-репозиториев
+
+<div class="summary">
+
+<a class="google-drawings" href="{{ "images/configuration/stapel_artifact2.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/configuration/stapel_artifact2_preview.png" | true_relative_url }}">
+</a>
+
+</div>
+
+В отличие от обычных _образов_, у _конвейера стадий артефактов_ нет стадий _gitCache_ и _gitLatestPatch_.
+
+> В werf для _артефактов_ реализована необязательная зависимость от изменений в git-репозиториях. Таким образом, по умолчанию werf игнорирует какие-либо изменения в git-репозитории, кэшируя образ после первой сборки. Но вы можете определить зависимости от файлов и папок, при изменении в которых образ артефакта будет пересобираться
+
+Читайте подробнее про работу с _git-репозиториями_ в соответствующей [статье]({{ "advanced/building_images_with_stapel/git_directive.html" | true_relative_url }}).
+
+#### Запуск инструкций сборки
+
+<div class="summary">
+
+<a class="google-drawings" href="{{ "images/configuration/stapel_artifact3.png" | true_relative_url }}" data-featherlight="image">
+<img src="{{ "images/configuration/stapel_artifact3_preview.png" | true_relative_url }}">
+</a>
+
+</div>
+
+У артефактов точно такое же как и у обычных образов использование директив и пользовательских стадий — _beforeInstall_, _install_, _beforeSetup_ и _setup_.
+
+Если в директиве `stageDependencies` в блоке git для _пользовательской стадии_ не указана зависимость от каких-либо файлов, то образ кэшируется после первой сборки, и не будет повторно собираться пока соответствующая _стадия_ находится в _stages storage_.
+
+> Если необходимо повторно собирать артефакт при любых изменениях в git, нужно указать _stageDependency_ `**/*` для соответствующей _пользовательской_ стадии. Пример для стадии _install_:
+```yaml
+git:
+- to: /
+  stageDependencies:
+    install: "**/*"
+```
+
+Читайте подробнее про работу с _инструкциями сборки_ в соответствующей [статье]({{ "advanced/building_images_with_stapel/assembly_instructions.html" | true_relative_url }}).
+
+### Использование артефактов
+
+В отличие от [*обычного образа*]({{ "advanced/building_images_with_stapel/assembly_instructions.html" | true_relative_url }}), у *образа артефакта* нет стадии _git latest patch_. Это сделано намеренно, т.к. стадия _git latest patch_ выполняется обычно при каждом коммите, применяя появившиеся изменения к файлам. Однако *артефакт* рекомендуется использовать как образ с высокой вероятностью кэширования, который обновляется редко или нечасто (например, при изменении специальных файлов).
+
+Пример: нужно импортировать в артефакт данные из git, и пересобирать ассеты только тогда, когда изменяются влияющие на сборку ассетов файлы. Т.е. в случае, изменения каких-либо других файлов в git, ассеты пересобираться не должны.
+
+Конечно, существуют случаи когда необходимо включать изменения любых файлов git-репозитория в _образ артефакта_ (например, если в артефакте происходит сборка приложения на Go). В этом случае необходимо указать зависимость относительно стадии (сборку которой необходимо выполнять при изменениях в git) с помощью `git.stageDependencies` и `*` в качестве шаблона. Пример:
+
+```yaml
+git:
+- add: /
+  to: /app
+  stageDependencies:
+    setup:
+    - "*"
+```
+
+В этом случае любые изменения файлов в git-репозитории будут приводить к пересборке _образа артефакта_, и всех _образов_, в которых определен импорт этого артефакта.
+
+**Замечание:** Если вы используете какие-либо файлы и при сборке _артефакта_ и при сборке [*обычного образа*]({{ "advanced/building_images_with_stapel/assembly_instructions.html" | true_relative_url }}), правильный путь — использовать директиву `git.add` при описании каждого образа, где это необходимо, т.е. несколько раз. **Не рекомендуемый** вариант — добавить файлы при сборке артефакта, а потом импортировать их используя директиву `import` в другой образ.
+
+
+# Интеграция с SSH-агентом
+
+werf необходим ssh-ключ пользователя в следующих случаях:
+
+1. Клонирование удаленного git-репозитория, указанного в файле конфигурации `werf.yaml`.
+1. Инструкции сборки образа требуют доступа к внешним данным по ssh.
+
+По умолчанию (без указания каких-либо параметров) werf пытается использовать ssh-agent запущенный в системе, проверяя его доступность с помощью переменной окружения `SSH_AUTH_SOCK`.
+
+В случае отсутствия в системе запущенного ssh-агента, werf пытается выступать в качестве ssh-клиента, для чего использует ssh-ключ пользователя по умолчанию, т.е. (`~/.ssh/id_rsa|id_dsa`). Если werf обнаруживает один из этих файлов, то выполняется запуск временного ssh-агента с добавлением найденных ключей.
+
+Для использования только конкретных ssh-ключей, необходимо указывать опцию запуска `--ssh-key PRIVATE_KEY_FILE_PATH` (может быть указана несколько раз, для указания нескольких ssh-ключей). В этом случае werf выполняет запуск временного ssh-агента и добавляет ему только указанные ssh-ключи.
+
+## Как werf работает с ssh-агентом
+
+При работе с удаленными git-репозиториями используется UNIX-сокет `SSH_AUTH_SOCK`, который монтируется во все сборочные контейнеры. Таким образом, сборочные инструкции могут использовать ssh-агент через указанный UNIX-сокет.
+
+**ЗАМЕЧАНИЕ** Существует ограничение, из-за которого только пользователь `root` внутри сборочного контейнера имеет доступ к UNIX-сокету из переменной окружения `SSH_AUTH_SOCK`.
+
+## Временный ssh-агент
+
+werf может запускать временный ssh-агент для работы некоторых команд. Такой ssh-агент завершает работу при завершении работы соответствующей команды werf.
+В случае если в системе есть запущенный ssh-агент, то запускаемый werf временный ssh-агент не конфликтует с запущенным в системе ssh-агентом. -->