Alauda DevOps Pipelines Docs
  • 简体中文

    • Chains 配置

    目录

    概述配置chains-config ConfigMap 中配置在 TektonConfig 中配置TaskRun 配置PipelineRun 配置OCI 配置存储配置Sigstore 功能配置透明日志使用 Fulcio 的无密钥签名参考资料

    概述

    Tekton Chains 是一个 Kubernetes 自定义资源定义(CRD)控制器,可让你在 Tekton 中管理供应链安全性。本文档介绍如何配置 Tekton Chains。

    配置

    Chains 配置存储在 tekton-pipelinestekton-chains 命名空间中名为 chains-config 的 ConfigMap 里。你可以修改此 ConfigMap 来更改 Chains 的行为。

    默认情况下,Tekton Chains 会通过 TektonConfig 资源自动部署。你可以修改 TektonConfig 资源来配置 Chains。

    本质上,Tekton Operator 会将 TektonConfig 资源中的 Chains 配置同步到 TektonChains 资源,最终反映到 chains-config ConfigMap 中。

    WARNING

    如果你通过 TektonConfig 部署 Chains,就必须通过 TektonConfig 来配置 Chains

    如果你只修改 chains-config ConfigMap 中的配置,而它没有同步到 TektonChains 资源,那么该配置可能会丢失。

    TektonConfig 中的配置发生变化,或者其他原因触发 reconciliation 时,chains-config ConfigMap 中的配置会被覆盖。

    TIP

    不过,某些高级配置只支持在 chains-config ConfigMap 中设置,由于 validation webhook 的限制,无法在 TektonConfig 中配置。

    如果你遇到这个问题,需要禁用 TektonConfigChains 的自动部署,并手动创建一个 TektonHub 资源。

    下面简单演示配置 Chains 的不同方式。

    chains-config ConfigMap 中配置

    以下是 chains-config ConfigMap 的一个示例:

    apiVersion: v1
data:
  artifacts.oci.format: simplesigning
  artifacts.oci.storage: oci
  artifacts.pipelinerun.format: in-toto
  artifacts.pipelinerun.storage: oci
  artifacts.taskrun.format: in-toto
  artifacts.taskrun.storage: oci
  transparency.enabled: "false"
kind: ConfigMap
metadata:
  name: chains-config

    提示: 布尔值是字符串类型,例如 "true""false"

    YAML 字段说明:

    • artifacts.oci.format:证明的格式。
    • artifacts.oci.storage:证明的存储后端。
    • artifacts.pipelinerun.format:PipelineRun 证明的格式。
    • artifacts.pipelinerun.storage:PipelineRun 证明的存储后端。
    • artifacts.taskrun.format:TaskRun 证明的格式。
    • artifacts.taskrun.storage:TaskRun 证明的存储后端。

    在 TektonConfig 中配置

    TektonConfig 资源中,Chains 的配置大致如下:

    apiVersion: operator.tekton.dev/v1alpha1
kind: TektonConfig
metadata:
  name: config
spec:
  chain:
    disabled: false
    generateSigningSecret: false
    controllerEnvs:
      - name: SIGSTORE_ID_TOKEN
        value: "<your-id-token>"

    artifacts.oci.format: simplesigning
    artifacts.oci.storage: oci
    artifacts.pipelinerun.format: in-toto
    artifacts.pipelinerun.storage: oci
    artifacts.taskrun.format: in-toto
    artifacts.taskrun.storage: oci

    signers.x509.fulcio.enabled: <false>
    signers.x509.fulcio.address: <ttps://fulcio.sigstore.dev>
    signers.x509.fulcio.issuer: <https://oauth2.sigstore.dev/auth>
    transparency.enabled: <false>
    transparency.url: <https://rekor.sigstore.dev>

    storage.oci.repository.insecure: true

    options:
      deployments:
        tekton-chains-controller:
          spec:
            template:
              spec:
                containers:
                - name: tekton-chains-controller
                  env:
                    - name: SIGSTORE_ID_TOKEN
                      value: "<your-id-token>"
                  resources: {}

    提示: 布尔值使用原始类型,例如 truefalse

    YAML 字段说明:

    • spec.chain:此部分包含 Chains 的配置。
      • disabled:是否禁用 Chains。
        • 此配置是 TektonConfig 独有的,在 TektonChains 中不存在。
      • generateSigningSecret:是否生成 signing secret。
        • 此配置是 TektonConfig 独有的,在 TektonChains 中不存在。
      • controllerEnvs:Tekton Chains controller 的环境变量。
        • 此配置是 TektonConfig 独有的,在 TektonChains 中不存在。
        • name:环境变量名。
        • value:环境变量值。
      • options:Tekton Chains controller 的选项。
        • 此配置是 TektonConfig 独有的,在 TektonChains 中不存在。
        • deployments.tekton-chains-controller:Tekton Chains controller 的部署选项。
          • spec.template.spec.containers.env.SIGSTORE_ID_TOKEN:Tekton Chains controller 的 ID 令牌。
        • 更多详细支持请参见 附加字段作为选项
      • 以下配置也存在于 TektonChains 中,并且最终会同步到 chains-config ConfigMap。
        • artifacts.oci.format
        • artifacts.oci.storage
        • artifacts.pipelinerun.format
        • artifacts.pipelinerun.storage
        • artifacts.taskrun.format
        • artifacts.taskrun.storage
        • storage.oci.repository.insecure
        • signers.x509.fulcio.address
        • signers.x509.fulcio.issuer
        • transparency.enabled
        • transparency.url

    TaskRun 配置

    描述支持的值默认值
    artifacts.taskrun.format用于存储 TaskRun 载荷的格式。in-toto, slsa/v1, slsa/v2alpha3, slsa/v2alpha4in-toto
    artifacts.taskrun.storage用于存储 TaskRun 签名的存储后端。可以使用逗号分隔列表指定多个后端("tekton,oci")。要禁用 TaskRun 产物输入,请输入空字符串("")。tekton, oci, gcs, docdb, grafeas, archivistatekton
    artifacts.taskrun.signer用于对 TaskRun 载荷进行签名的签名后端。x509, kmsx509

    说明

    • slsa/v1in-toto 的别名,用于向后兼容。
    • 如果存储为 oci,证明会与已存储的 OCI 产物本身一起存储。更多信息请参见 cosign 文档
    • 如果存储为 tekton,证明会存储在 Tekton TaskRun 的 annotations 中。

    PipelineRun 配置

    与 TaskRun 类似,你可以配置 PipelineRun 的签名和存储。

    描述支持的值默认值
    artifacts.pipelinerun.format用于存储 PipelineRun 载荷的格式。in-toto, slsa/v1, slsa/v2alpha3, slsa/v2alpha4in-toto
    artifacts.pipelinerun.storage用于存储 PipelineRun 签名的存储后端。可以使用逗号分隔列表指定多个后端("tekton,oci")。要禁用 PipelineRun 产物输入,请输入空字符串("")。tekton, oci, gcs, docdb, grafeas, archivistatekton
    artifacts.pipelinerun.signer用于对 PipelineRun 载荷进行签名的签名后端。x509, kmsx509
    artifacts.pipelinerun.enable-deep-inspection此布尔选项用于配置 Chains 是否应检查子 taskruns,以便捕获 pipelinerun 中的输入/输出。"false" 表示 Chains 仅检查 pipeline 级别的结果,而 "true" 表示 Chains 会同时检查 pipeline 级别和 task 级别的结果。"true", "false""false"
    • 如果存储为 oci,证明会与已存储的 OCI 产物本身一起存储。更多信息请参见 cosign 文档
    • 如果存储为 tekton,证明会存储在 Tekton PipelineRun 的 annotations 中。

    OCI 配置

    描述支持的值默认值
    artifacts.oci.format用于存储 OCI 载荷的格式。simplesigningsimplesigning
    artifacts.oci.storage用于存储 OCI 签名的存储后端。可以使用逗号分隔列表指定多个后端("oci,tekton")。要禁用 OCI 产物输入,请输入空字符串("")。tekton, ocioci
    artifacts.oci.signer用于对 OCI 载荷进行签名的签名后端。x509, kmsx509
    • 如果存储为 oci,证明会与已存储的 OCI 产物本身一起存储。更多信息请参见 cosign 文档
    • 如果存储为 tekton,证明会存储在 Tekton TaskRunPipelineRun 的 annotations 中。

    存储配置

    Chains 支持多个存储后端用于存储证明和签名。 下面列出了一些更常见的选项,如需更详细的配置,请参见 存储配置

    描述支持的值默认值
    storage.oci.repository用于存储 OCI 签名和证明的 OCI 仓库如果未定义该值,并且 artifacts.\{oci,taskrun}.storage 之一包含 oci 存储,则证明会与已存储的 OCI 产物本身一起存储。(GCP 示例)定义此值后,OCI bundle 将存储在指定位置,而不是与镜像一起存储。更多信息请参见 cosign 文档。
    storage.oci.repository.insecure连接 OCI 仓库时是否使用不安全连接true, falsefalse

    说明

    • 如果你的 OCI 仓库使用自签名证书,则需要将 storage.oci.repository.insecure 设置为 true,以允许不安全连接。

    Sigstore 功能配置

    透明日志

    描述支持的值默认值
    transparency.enabled是否启用透明性。"true", "false""false"
    transparency.url透明日志的 URL。"https://rekor.sigstore.dev"

    注意: 如果 transparency.enabled 设置为 manual,则只有带有以下 annotation 的 TaskRun 和 PipelineRun 才会上传到透明日志:

    chains.tekton.dev/transparency-upload: "true"

    使用 Fulcio 的无密钥签名

    描述支持的值默认值
    signers.x509.fulcio.enabled是否启用来自 fulcio 的自动证书。"true", "false""false"
    signers.x509.fulcio.address若启用,则用于请求证书的 Fulcio 地址。"https://fulcio.sigstore.dev"
    signers.x509.fulcio.issuer预期的 OIDC issuer。"https://oauth2.sigstore.dev/auth"
    signers.x509.fulcio.provider用于请求 ID Token 的 provider。"google", "spiffe", "github", "filesystem"未设置,将依次尝试每个 provider。
    signers.x509.identity.token.file包含 ID Token 的文件路径。
    signers.x509.tuf.mirror.urlTUF server URL。预期存在 $TUF_URL/root.json"https://sigstore-tuf-root.storage.googleapis.com"

    参考资料