Publishing to Amazon S3

aptly can publish repositories directly to Amazon S3.

First, create new S3 bucket using AWS console. Let it be aptly-repo. Remember Amazon region you have used to create, I'll be using us-west-1 in this example. If you're going to have public repository, enable website hosting for that bucket.

Go to IAM page, create new user, save access key ID and secret access key and create bash script aws.creds.sh:

# Access Key ID:
# AKIAISHG7G3H8AWBCFG
# Secret Access Key:
# E7aujXChaMZwp3ghfk45+Zabd55

export AWS_ACCESS_KEY_ID="AKIAISHG7G3H8AWBCFG" AWS_SECRET_ACCESS_KEY="E7aujXChaMZwp3ghfk45+Zabd55"

In IAM console, attach new custom policy for that user:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1405592139000",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:ListBucket",
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::aptly-repo/*", "arn:aws:s3:::aptly-repo"
      ]
    }
  ]
}

This user would have limited access only to the bucket you've created.

Now, configure aptly, edit configuration file ~/.aptly.conf and add key S3PublishEndpoints:

"S3PublishEndpoints": {
  "aptly-repo": {
    "region": "us-west-1",
    "bucket": "aptly-repo",
    "acl": "public-read"
  }
}

If you're going to have public repository, set acl to public-read, otherwise set acl to private. Now you're ready to do your first publish. For example, to publish snapshot my-snapshot to the mentioned bucket, run:

aptly publish snapshot my-snapshot s3:aptly-repo:

As with publishes to local filesystem, you can publish under prefix:

aptly publish snapshot my-snapshot s3:aptly-repo:debian/

All regular publish commands are supported: you can switch between snapshots (atomically), update published local repositories, drop published repos, etc. aptly would do its best to upload package files only once to package pool in S3.

In order to use published repository, for public repositories use regular HTTP protocol in /etc/apt/sources.list:

deb http://s3-us-west-1.amazonaws.com/aptly-repo wheezy main

For private repositories you would need special apt s3 transport, after installing transport you can use it like that:

deb s3://AWS_ACCESS_ID:[AWS_SECRET_KEY_IN_BRACKETS]@s3-us-west-1.amazonaws.com/aptly-repo wheezy main

Package Queries

Before 0.7, aptly supported only Debian dependency-like package queries. In version 0.7, complex queries were introduced. Query syntax matches reprepro query language, reference could be found in the docs. I'll give some examples.

Now you can filter mirrors to include only packages with limited priorities:

aptly mirror create -filter="Priority (required)" wheezy-required http://mirror.yandex.ru/debian/ wheezy main

Or download single packages and all its dependencies:

aptly mirror create -filter="nginx" -filter-with-deps wheezy-required http://mirror.yandex.ru/debian/ wheezy main

Pull packages with complex conditions:

aptly snapshot pull snapshot1 source snapshot2 '!Name (% *-dev), $Version (>= 3.5)'

Or remove packages based on query:

aptly repo remove local-repo 'Name (% http-*) | $Source (webserver)'

In the next version, package queries would be used to filter snapshots, search for packages in repos/snapshots and local repos, and do whole "world" package searching.

Other Features

aptly can now pull all matching packages with aptly snapshot pull command using flag -all-matches, e.g. one can pull subset of versions from 0.7 to 0.9:

aptly snapshot pull stable1 foo-snapsot stable2 'foo (>= 0.7), foo (<= 0.9)'

Download speed could be limited while mirroring using config option downloadSpeedLimit, so that aptly won't consume all bandwidth.

All Changes

Full ist of changes since 0.7:

• direct publishing to Amazon S3 (#15)
• support for new, powerful query language in many commands: aptly snapshot pull, aptly repo move, aptly repo copy, aptly repo import and aptly repo remove
• bug fix: files from conflicting packages might override each other while publishing (#65)
• partial mirrors: filter package lists when mirroring (#64)
• new commands: mirrors, local repositories and snapshots can be renamed (#63)
• new command: aptly mirror edit allows to change mirror filtering (#63)
• download transfer rate could be limited either via configuration file parameter downloadSpeedLimit or with flag -download-limit for command aptly mirror update (#62)
• new flag: -all-matches for aptly snapshot pull enables pulling of all matching packages (#70), thanks to Simon Aquino
• when matching single package in aptly snapshot pull latest version would be pulled (#67), thanks to Simon Aquino
• new flag: -sort for aptly snapshot list allows to change order of snapshots in the list (#73), thanks to Simon Aquino
• bug fix: publish update fails on empty multi-component repo (#66)
• bug fix: aptly snapshot pull might remove already pulled packages (#78)
• bug fix: aptly package was missing bzip2 dependency (#84)
• aptly binary packages are built with go1.3

Публикация репозиториев из нескольких компонентов

Одной из основных идей aptly является список пакетов: snapshotы, зеркала и локальные репозитории - это списки пакетов (если быть более точным, списки ссылок на пакетов). Когда происходит операции слияния, перетаскивания, копирования или перемещения пакетов - пакеты перемещаются между списками. Компоненты - это способ разбить список пакетов на группы, обычно эти группы имеют смысл только для опубликованных репозиториев. В то же самое время сопоставление пакета и компонента не является универсальным: Debian группирует пакеты в компоненты main, contrib и non-free, Ubuntu использует другое разделение на компоненты, а сторонние репозитории используют компоненты для разделения пакетов для разных версий Debian (например, squeeze, wheezy и т.п.) или для обозначения стабильных и тестовый версий пакетов.

Чтобы не переусложнять aptly, я решил, что не стоит создавать отображение пакетов на компоненты и не разбивать списки пакетов на компоненты. Каждый список (snapshot, зеркало или локальный репозиторий) состоит из "одного компонента" (на самом деле в нем нет компонентов вообще). Во время публикация репозитория несколько таких списков могут быть опубликованы как отдельные компоненты.

По умолчанию при создании зеркала aptly объединяет все компоненты в единый список. Если мы хотим сохранить разделения, для каждого исходного комопонента необходимо создать зеркало:

aptly mirror create wheezy-main http://ftp.ru.debian.org/debian/ wheezy main
aptly mirror create wheezy-contrib http://ftp.ru.debian.org/debian/ wheezy main
aptly mirror create wheezy-non-free http://ftp.ru.debian.org/debian/ wheezy non-free

aptly mirror list -raw | xargs -n 1 aptly mirror update

Затем мы создадим snapshot для каждого зеркала:

aptly snapshot create wheezy-main-7.5 from mirror wheezy-main
aptly snapshot create wheezy-contrib-7.5 from mirror wheezy-contrib
aptly snapshot create wheezy-non-free-7.5 from mirror wheezy-non-free

И опубликуем все snapshotы в едином репозитории, сохраняя исходную структуру компонентов (мы публикуем distribution wheezy в префикс upstream):

aptly publish snapshot -component=main,contrib,non-free -distrubtion=wheezy wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5  upstream

aptly достаточно умен, чтобы самостоятельно определить имена компонентов и название дистрибутива, так что можно опустить их имена (запятые необходимы, чтобы aptly знал количество компонентов):

aptly publish snapshot -component=,, wheezy-main-7.5 wheezy-contrib-7.5 wheezy-non-free-7.5 upstream

Конечно, мы могли выполнять все обычные операции, которые поддерживает aptly: объединение snapshotов, перетаскивание пакетов и т.п.

Обработка конфликтов пакетов

Пакет во вселенной пакетов Debian идентифицируется тройкой (architecture, name, version). Если у двух пакетов одинаковые (architecture, name, version), но разное содержимое, такую ситуацию называют конфликтом пакетов. Руководство Debian запрещение включение конфликтующих пакетов в репозитории, которые могут использоваться совместно на одной машине (такие репозитории, которые могут быть включены в один файл apt.sources). К сожалению, в действительности такие конфликты встречаются не так уж редко: один такой пакет существует в репозиториях squeeze + security updates, другая такая же ситуация в репозитории puppet, где собраны одни и те же версии пакетов для разных дистрибутивов Debian в одном репозитории и разных компонентах.

До версии 0.6 при обнаружении конфликта aptly останавливался и не позволял продолжать операцию. В новой версии aptly умеет обрабатывать такие конфликты, есть только одно ограничение: конфликт не должен произойти в рамках одного списка (в одном snapshot, одном зеркале или локальном репозитории). Но это ограничение вполне естественно, иначе конфликт может опубликован в одном репозитории, что точно недопустимо.

Это изменение незаметно для пользователей, обновившихся до версии 0.6: aptly в фоновом режиме по мере обновления зеркал или создания новых snapshot обновляет способ хранения ссылок на пакеты.

Публикация пустых репозиториев

Многие люди используют aptly для автоматизации каких-то процессов, в том числе и с использованием систем управления конфигурацией. Для таких сценариев использования удобно создать локальный репозиторий (пустой), сразу его опубликовать, чтобы создать точку для apt.sources, а потом добавлять пакеты и обновлять опубликованный репозиторий.

До версии 0.6 aptly не позволял публиковать пустые репозитории, теперь это ограничение снято. При публикации пустого репозитория необходимо сразу корректно задать список архитектур (обычно aptly автоматически определяет список архитектур по списку пакетов, в случае пустого списка это невозможно). После публикации изменить список архитектур уже неовзможно, для его изменения потребуется удалить опубликованный репозиторий и опубликовать заново.

Объединение snapshotов: новая стратегия

aptly поддерживает слияние snapshotов - это может быть полезно для объединения основного репозитория с обновлениями безопасности или со сторонним репозиторием. В версии 0.6 доступно три стратегии объединения:

• из пакетов с одинаковой парой (architecture, name) остается тот, который принадлежит snapshotу, который расположен "правее" в командной строке (по умолчанию);
• из пакетов с одинаковой парой (architecture, name) остается тот, версия которого больше (-latest);
• все версии пакетов сохраняются (-no-remove, новое в 0.6).

Полный список изменений

Вот полный список изменений в версии 0.5:

• support for multi-component published repositories (#36)
• handling duplicate packages with different content gracefully (#60)
• repositories published by aptly now can be consumed by debian-installer (#61)
• new flag: -no-remove for aptly snapshot merge to merge snapshots with all package versions preserved (#57)
• publishing of empty snapshots/repositories is possible (#55)
• aptly repo add now exists with 1 if any of files failed to add (#53)
• bug fix: Package: line comes first in package metadata (#49)
• bug fix: when command parsing fails, aptly returns exit code 2 (#52)
• bug fix: pulling more than 128 packates at once (#53)
• bug fix: aptly graph may get confused with package pull requests (#58)