Chains 配置

概述

Tekton Chains 是一个 Kubernetes Custom Resource Definition (CRD) 控制器，可用于在 Tekton 中管理供应链安全。本文档介绍如何配置 Tekton Chains。

配置

Chains 配置存储在 tekton-pipelines 或 tekton-chains 命名空间中名为 chains-config 的 ConfigMap 里。你可以修改此 ConfigMap 来更改 Chains 的行为。

默认情况下，Tekton Chains 会通过 TektonConfig 资源自动部署。你可以修改 TektonConfig 资源来配置 Chains。

本质上，Tekton Operator 会将 TektonConfig 资源中的 Chains 配置同步到 TektonChains 资源，最终反映到 chains-config ConfigMap 中。

WARNING

如果你通过 TektonConfig 部署 Chains，则必须通过 TektonConfig 配置 Chains。

如果你只修改 chains-config ConfigMap 中的配置，而它没有同步到 TektonChains 资源，配置可能会丢失。

当 TektonConfig 中的配置发生变化，或者由于其他原因触发了 reconciliation 时，chains-config ConfigMap 中的配置将被覆盖。

TIP

但是，某些高级配置仅支持在 chains-config ConfigMap 中设置，且由于 validation webhook 的限制，无法在 TektonConfig 中配置。

如果遇到此问题，你需要禁用 TektonConfig 对 Chains 的自动部署，并手动创建 TektonHub 资源。

下面演示配置 Chains 的不同方式。

在 `chains-config` ConfigMap 中配置

以下是 chains-config ConfigMap 的示例：

apiVersion: v1
data:
  artifacts.oci.format: simplesigning
  artifacts.oci.storage: oci
  artifacts.pipelinerun.format: in-toto
  artifacts.pipelinerun.storage: oci
  artifacts.taskrun.format: in-toto
  artifacts.taskrun.storage: oci
  transparency.enabled: "false"
kind: ConfigMap
metadata:
  name: chains-config

TIP

布尔值是字符串，例如 "true" 或 "false"。

YAML 字段说明

artifacts.oci.format：attestations 的格式。
artifacts.oci.storage：attestations 的存储后端。
artifacts.pipelinerun.format：PipelineRuns 的 attestations 格式。
artifacts.pipelinerun.storage：PipelineRuns 的 attestations 存储后端。
artifacts.taskrun.format：TaskRuns 的 attestations 格式。
artifacts.taskrun.storage：TaskRuns 的 attestations 存储后端。

在 TektonConfig 中配置

在 TektonConfig 资源中，Chains 的配置大致如下：

apiVersion: operator.tekton.dev/v1alpha1
kind: TektonConfig
metadata:
  name: config
spec:
  chain:
    disabled: false
    generateSigningSecret: false
    controllerEnvs:
      - name: SIGSTORE_ID_TOKEN
        value: "<your-id-token>"

    artifacts.oci.format: simplesigning
    artifacts.oci.storage: oci
    artifacts.pipelinerun.format: in-toto
    artifacts.pipelinerun.storage: oci
    artifacts.taskrun.format: in-toto
    artifacts.taskrun.storage: oci

    signers.x509.fulcio.enabled: <false>
    signers.x509.fulcio.address: <ttps://fulcio.sigstore.dev>
    signers.x509.fulcio.issuer: <https://oauth2.sigstore.dev/auth>
    transparency.enabled: <false>
    transparency.url: <https://rekor.sigstore.dev>

    storage.oci.repository.insecure: true

    options:
      deployments:
        tekton-chains-controller:
          spec:
            template:
              spec:
                containers:
                - name: tekton-chains-controller
                  env:
                    - name: SIGSTORE_ID_TOKEN
                      value: "<your-id-token>"
                  resources: {}

TIP

布尔值使用原始类型，例如 true 或 false。

YAML 字段说明

spec.chain：此部分包含 Chains 的配置。
- disabled：是否禁用 Chains。
  - 此配置是 TektonConfig 独有的，在 TektonChains 中不存在。
- generateSigningSecret：是否生成 signing secret。
  - 此配置是 TektonConfig 独有的，在 TektonChains 中不存在。
- controllerEnvs：Tekton Chains controller 的环境变量。
  - 此配置是 TektonConfig 独有的，在 TektonChains 中不存在。
  - name：环境变量名称。
  - value：环境变量值。
- options：Tekton Chains controller 的选项。
  - 此配置是 TektonConfig 独有的，在 TektonChains 中不存在。
  - deployments.tekton-chains-controller：Tekton Chains controller 的部署选项。
    - spec.template.spec.containers.env.SIGSTORE_ID_TOKEN：Tekton Chains controller 的 ID token。
  - 更详细的支持信息请参见 Additional fields as options
- 以下配置也存在于 TektonChains 中，并且最终会同步到 chains-config ConfigMap。
  - artifacts.oci.format
  - artifacts.oci.storage
  - artifacts.pipelinerun.format
  - artifacts.pipelinerun.storage
  - artifacts.taskrun.format
  - artifacts.taskrun.storage
  - storage.oci.repository.insecure
  - signers.x509.fulcio.address
  - signers.x509.fulcio.issuer
  - transparency.enabled
  - transparency.url

TaskRun 配置

Key	Description	Supported Values	Default
artifacts.taskrun.format	存储 TaskRun payload 的格式。	in-toto, slsa/v1, slsa/v2alpha3, slsa/v2alpha4	in-toto
artifacts.taskrun.storage	存储 TaskRun signatures 的后端。可以使用逗号分隔列表指定多个后端（"tekton,oci"）。若要禁用 TaskRun artifact input，请输入空字符串（""）。	tekton, oci, gcs, docdb, grafeas, archivista	tekton
artifacts.taskrun.signer	用于对 TaskRun payload 进行签名的签名后端。	x509, kms	x509

说明

slsa/v1 是 in-toto 的别名，用于向后兼容。
如果 storage 为 oci，attestations 将与已存储的 OCI artifact 本身一起存储。更多信息请参见 cosign documentation。
如果 storage 为 tekton，attestations 将存储在 Tekton TaskRun 的 annotations 中。

PipelineRun 配置

与 TaskRuns 类似，你可以配置 PipelineRun 的签名和存储。

Key	Description	Supported Values	Default
artifacts.pipelinerun.format	存储 PipelineRun payload 的格式。	in-toto, slsa/v1, slsa/v2alpha3, slsa/v2alpha4	in-toto
artifacts.pipelinerun.storage	存储 PipelineRun signatures 的后端。可以使用逗号分隔列表指定多个后端（"tekton,oci"）。若要禁用 PipelineRun artifact input，请输入空字符串（""）。	tekton, oci, gcs, docdb, grafeas, archivista	tekton
artifacts.pipelinerun.signer	用于对 PipelineRun payload 进行签名的签名后端。	x509, kms	x509
artifacts.pipelinerun.enable-deep-inspection	此布尔选项用于配置 Chains 是否应检查子 taskruns，以便在 pipelinerun 中捕获输入/输出。`"false"` 表示 Chains 仅检查 pipeline 级别的结果，而 `"true"` 表示 Chains 同时检查 pipeline 级别和 task 级别的结果。	"true", "false"	"false"

如果 storage 为 oci，attestations 将与已存储的 OCI artifact 本身一起存储。更多信息请参见 cosign documentation。
如果 storage 为 tekton，attestations 将存储在 Tekton PipelineRun 的 annotations 中。

OCI 配置

Key	Description	Supported Values	Default
artifacts.oci.format	存储 OCI payload 的格式。	simplesigning	simplesigning
artifacts.oci.storage	存储 OCI signatures 的后端。可以使用逗号分隔列表指定多个后端（"oci,tekton"）。若要禁用 OCI artifact input，请输入空字符串（""）。	tekton, oci	oci
artifacts.oci.signer	用于对 OCI payload 进行签名的签名后端。	x509, kms	x509

如果 storage 为 oci，attestations 将与已存储的 OCI artifact 本身一起存储。更多信息请参见 cosign documentation。
如果 storage 为 tekton，attestations 将存储在 Tekton TaskRun 或 PipelineRun 的 annotations 中。

存储配置

Chains 支持多种用于存储 attestations 和 signatures 的后端。下面列出了一些更常见的后端；如需更详细的配置，请参见 Storage Configuration

Key	Description	Supported Values	Default
storage.oci.repository	用于存储 OCI signatures 和 attestations 的 OCI repo	如果未定义，并且 `artifacts.\{oci,taskrun}.storage` 中的某一项包含 oci storage，则 attestations 将与已存储的 OCI artifact 本身一起存储。（GCP 示例）定义此值后，OCI bundle 将存储在指定位置，而不是与 image 并排存储。更多信息请参见 cosign documentation。
storage.oci.repository.insecure	连接到 OCI repository 时是否使用不安全连接	`true`, `false`	`false`

说明

如果你的 OCI repository 使用自签名证书，你需要将 storage.oci.repository.insecure 设置为 true，以允许不安全连接。

Sigstore 功能配置

透明日志

Key	Description	Supported Values	Default
transparency.enabled	是否启用透明日志。	"true", "false"	"false"
transparency.url	透明日志的 URL。		"https://rekor.sigstore.dev"

注意： 如果 transparency.enabled 设置为 manual，那么只有带有以下 annotation 的 TaskRuns 和 PipelineRuns 才会上传到透明日志：

chains.tekton.dev/transparency-upload: "true"

使用 Fulcio 的无密钥签名

Key	Description	Supported Values	Default
signers.x509.fulcio.enabled	是否启用来自 fulcio 的自动证书。	"true", "false"	"false"
signers.x509.fulcio.address	如果启用，则请求证书的 Fulcio 地址。		"https://fulcio.sigstore.dev"
signers.x509.fulcio.issuer	期望的 OIDC issuer。		"https://oauth2.sigstore.dev/auth"
signers.x509.fulcio.provider	用于请求 ID Token 的 provider	"google", "spiffe", "github", "filesystem"	Unset，将依次尝试每个 provider。
signers.x509.identity.token.file	包含 ID Token 的文件路径。
signers.x509.tuf.mirror.url	TUF server URL。期望存在 $TUF_URL/root.json。		"https://sigstore-tuf-root.storage.googleapis.com"

Chains 配置

目录

概述

配置

在 `chains-config` ConfigMap 中配置

在 TektonConfig 中配置

TaskRun 配置

PipelineRun 配置

OCI 配置

存储配置

Sigstore 功能配置

透明日志

使用 Fulcio 的无密钥签名

参考

#Chains 配置

#目录

#概述

#配置

#在 chains-config ConfigMap 中配置

#在 TektonConfig 中配置

#TaskRun 配置

#PipelineRun 配置

#OCI 配置

#存储配置

#Sigstore 功能配置

#透明日志

#使用 Fulcio 的无密钥签名

#参考

Chains 配置

目录

概述

配置

在 `chains-config` ConfigMap 中配置

在 TektonConfig 中配置

TaskRun 配置

PipelineRun 配置

OCI 配置

存储配置

Sigstore 功能配置

透明日志

使用 Fulcio 的无密钥签名

参考