Alauda DevOps Pipelines Docs
  • 简体中文

    • Chains 的认证

    目录

    概述OCI Registry 认证创建 registry 凭据基于现有凭据创建 Secret通过命令行提供凭据创建 Secret使用 Pod 设置凭据使用 Pod Template使用 ServiceAccount用于 Keyless 签名的 Fulcio 认证基本配置自定义 Fulcio Endpoint参考资料

    概述

    必须完成认证设置,才能利用 Chains 中的以下功能:

    • 在签名镜像后,将签名推送到 OCI registry
    • 在使用 Keyless 签名时,使用 Fulcio 获取 Signing Certificates

    OCI Registry 认证

    要推送到 OCI registry,Chains controller 会在两个位置查找凭据:

    1. 运行你的 Task 的 Pod 中
    2. 配置为运行你的 Task 的 ServiceAccount 中

    创建 registry 凭据

    基于现有凭据创建 Secret

    如果你已经运行过 podman login,可以将存储在 config.json 中的凭据复制到 Kubernetes 中。

    NOTE

    请确保没有使用任何外部凭据存储,例如操作系统的原生 keychain,并且 config.json 的格式如下:

    {
 "auths": {
   "<registry>": {
     "auth": "redacted"
   }
 }
}

    使用 config.json 创建 Secret:

    kubectl create secret generic registry-credentials \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson \
    -n $NAMESPACE

    通过命令行提供凭据创建 Secret

    首先,你需要获取 registry 的凭据(在本示例中,它们位于名为 credentials.json 的文件中)。然后,创建一个 kubernetes.io/dockerconfigjson 类型的 Kubernetes Secret:

    kubectl create secret docker-registry registry-credentials \
  --docker-server=<gcr.io> \
  --docker-username=<username> \
  --docker-email=<email> \
  --docker-password=<password> \
  -n $NAMESPACE

    设置 config.json

    $ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
$ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

    使用 Pod 设置凭据

    使用 Pod Template

    Tekton 支持指定 Pod template 来自定义运行 Task 的 Pod。你必须在使用 CLI 启动 Task 时提供 Pod template,或者将其嵌入到 TaskRun 中。

    以下是一个配置了 registry-credentials Secret 的 TaskRun 示例:

    apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: mytaskrun
  namespace: default
spec:
  taskRef:
    name: mytask
  podTemplate:
    imagePullSecrets:
    - name: registry-credentials

    使用 ServiceAccount

    为 ServiceAccount 授予对该 Secret 的访问权限:

    kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
  -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

    现在,Chains 对使用 ServiceAccount $SERVICE_ACCOUNT_NAME 运行的任何 TaskRun 都拥有推送权限。

    TIP

    ServiceAccount 的 imagePullSecrets 属性中的 Secret 也会被考虑在内。不过,其他 Tekton 组件可能不会这样做。推荐使用 secrets 属性。

    用于 Keyless 签名的 Fulcio 认证

    NOTE
    • 此方法要求环境能够访问 Internet。
    • 如果你部署了私有 Fulcio 服务,也可以通过调整相关配置来使用这些功能。
    • 关于部署私有 Fulcio 服务不在本文档范围内,请参阅相关文档。

    基本配置

    默认部署在安装于 EKS 或 GKE 集群中的情况下,可用于公共 Fulcio。你只需将以下内容添加到 tekton-chains 命名空间中 chains-config ConfigMap 的 data 部分:

    signers.x509.fulcio.enabled: "true"

    自定义 Fulcio Endpoint

    如果你运行的是自己的 Fulcio 实例,则需要进行相应配置。你还需要通过在 chains-config 中添加以下内容,将 Chains 指向你的 fulcio 实例:

    signers.x509.fulcio.address: <"http://fulcio.fulcio-system.svc">

    参考资料