Alauda DevOps Pipelines Docs
  • 简体中文

    • 签名密钥配置

    目录

    概述生成签名密钥使用 Cosign获取签名公钥获取签名 Secret重启 Tekton Chains参考资料

    概述

    要在 Tekton Chains 中启用 artifact 签名,您需要生成并配置签名密钥。本文档介绍了如何为不同的签名方法生成和配置签名密钥。

    生成签名密钥

    WARNING

    签名密钥用于为 artifact 生成签名信息。请妥善保管。

    使用 Cosign

    您可以使用 cosign 工具生成一对签名密钥:

    $ COSIGN_PASSWORD={password} cosign generate-key-pair k8s://tekton-pipelines/signing-secrets

    注意:

    • 您需要安装 cosign CLI 并能够访问 Kubernetes 集群
    • COSIGN_PASSWORD 是用于加密签名密钥的密码
    • tekton-pipelines 是 Chains 组件部署所在的命名空间(默认值为 tekton-pipelines
    • signing-secrets 是用于存储签名密钥的 Secret 名称

    执行后,您可以查看对应的 Secret 资源:

    $ kubectl get secret signing-secrets -n tekton-pipelines -o yaml

apiVersion: v1
data:
  cosign.key: <base64-encoded-private-key>
  cosign.password: <base64-encoded-password>
  cosign.pub: <base64-encoded-public-key>
immutable: true
kind: Secret
metadata:
  name: signing-secrets
  namespace: tekton-pipelines
type: Opaque

    获取签名公钥

    TIP

    如果您没有权限,可以请管理员获取公钥。

    $ export NAMESPACE=<tekton-pipelines>
$ kubectl get secret -n $NAMESPACE signing-secrets -o jsonpath='{.data.cosign\.pub}' | base64 -d > cosign.pub

    获取签名 Secret

    $ export NAMESPACE=<tekton-pipelines>
$ kubectl get secret -n $NAMESPACE signing-secrets -o yaml > signing-secrets.yaml

    重启 Tekton Chains

    配置签名密钥后,重启 Tekton Chains 组件使其生效:

    $ kubectl delete pods -n tekton-pipelines -l app=tekton-chains-controller

    等待组件启动:

    $ kubectl get pods -n tekton-pipelines -l app=tekton-chains-controller -w

NAME                                        READY   STATUS    RESTARTS   AGE
tekton-chains-controller-55876dfbbd-5wv5z   1/1     Running   0          1m30s

    参考资料