Alauda DevOps Pipelines Docs
  • 简体中文

    • Tekton PipelinesManual Approval Gate

    目录

    功能概述使用场景前提条件操作步骤1. 在流水线中声明审批步骤2. 监控审批状态3. 审批或拒绝用户审批组审批4. 延长 PipelineRun 超时时间以适应长时间审批操作结果故障排查用户和组标识符了解更多

    功能概述

    Manual Approval Gate 允许流水线作者暂停一个 PipelineRun,直到指定的审批人审核并批准该操作。背后由 Operator 提供的控制器为每个审批步骤创建一个 ApprovalTask 资源,跟踪审批人的响应,并将结果写回到发起的 CustomRun

    使用场景

    • 在部署到生产环境或执行破坏性维护之前强制设置人工检查点。
    • 通过结合个人和组以及 numberOfApprovalsRequired 实现多人审批策略。
    • 通过查询 ApprovalTask 的状态字段或 CLI 输出审计谁批准或拒绝了变更。

    前提条件

    • 集群管理员已部署 Manual Approval Gate。如果未部署,请参阅部署指南
    • 你可以在目标命名空间中创建或编辑 Pipeline/PipelineRun 对象。
    • 审批人可以在目标命名空间中对 approvaltasks.openshift-pipelines.org 资源进行 patch(通常通过 kubectl)。例如 Alauda Container Platform 默认授予此权限;仅当你显式移除内置权限时才需自定义 RBAC。

    操作步骤

    1. 在流水线中声明审批步骤

    apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: deploy-with-approval
spec:
  tasks:
    - name: build
      taskRef:
        name: build-bundle     # 占位 Task;请替换为你的构建逻辑
    - name: wait-for-approval
      runAfter:
        - build
      taskRef:
        apiVersion: openshift-pipelines.org/v1alpha1
        kind: ApprovalTask
      timeout: "24h"
      params:
        - name: approvers
          value:
            - alice
            - group:release-managers
        - name: numberOfApprovalsRequired
          value: "1"
        - name: description
          value: "Approve promotion into production"
    - name: deploy
      runAfter:
        - wait-for-approval
      taskRef:
        name: deploy-prod     # 占位 Task;请替换为你的部署逻辑

    当流水线执行到 wait-for-approval 时,Tekton 会发出一个 CustomRun。审批控制器根据你的参数创建一个 ApprovalTask,并保持 PipelineRun 处于挂起状态,直到达到法定人数或发生拒绝。

    2. 监控审批状态

    $ kubectl get approvaltasks.openshift-pipelines.org

NAME                                         AGE
deploy-with-approval-run-wait-for-approval   4m16s
    $ kubectl describe approvaltask deploy-with-approval-run-wait-for-approval
Name:         deploy-with-approval-run-wait-for-approval
Status:
  Approvals Received:  1
  Approvals Required:  1
  Approvers:
    alice
    release-managers
  Approvers Response:
    Name:      alice
    Response:  approved
    Type:      User
  Start Time:  2025-11-17T10:37:01Z
  State:       approved
Events:        <none>

    重要状态字段:

    • status.state:整体关卡状态,如 pendingapprovedrejected
    • status.approvalsRequired / status.approvalsReceived:法定人数跟踪(收到的计数仅在至少一名审批人响应后出现)。
    • status.approversResponse:每个用户/组的结果及消息,便于审计。

    3. 审批或拒绝

    用户审批

    首先查看审批人列表以确定正确的索引:

    $ kubectl get approvaltask deploy-with-approval-run-wait-for-approval -o json | jq '.spec.approvers'
[
  {
    "name": "alice",
    "type": "User",
    "input": "pending",
  },
  {
    "name": "release-managers",
    "type": "Group",
    "input": "pending",
    "users": []
  }
]

    以用户身份批准:

    $ kubectl patch approvaltask deploy-with-approval-run-wait-for-approval \
    --type='json' \
    --as alice \
    -p='[
      {"op":"replace","path":"/spec/approvers/0/input","value":"approve"},
      {"op":"replace","path":"/spec/approvers/0/message","value":"QA complete"}
    ]'

    以用户身份拒绝:

    $ kubectl patch approvaltask deploy-with-approval-run-wait-for-approval \
    --type='json' \
    --as alice \
    -p='[
      {"op":"replace","path":"/spec/approvers/0/input","value":"reject"},
      {"op":"replace","path":"/spec/approvers/0/message","value":"Found regression"}
    ]'

    组审批

    当组被配置为审批人时,该组的成员可以通过向组条目下的 users 数组添加自己的响应来提交审批。多个组成员可以独立批准,每个批准都会计入 approvalsReceived 总数。

    最初,组审批人条目没有 users 字段:

    spec:
  approvers:
  - name: alice
    type: User
    input: pending
    message: ""
  - name: release-managers
    type: Group
    input: pending
    message: ""
  numberOfApprovalsRequired: 2

    第一个组成员创建 users 数组并将组的 input 设置为 approve:

    # release-managers 组的第一位成员 (bob) 批准
$ kubectl patch approvaltask deploy-with-approval-run-wait-for-approval \
    --type='json' \
    --as bob \
    --as-group release-managers \
    -p='[
      {"op":"add","path":"/spec/approvers/1/users","value":[{"name":"bob","input":"approve"}]},
      {"op":"replace","path":"/spec/approvers/1/input","value":"approve"},
      {"op":"replace","path":"/spec/approvers/1/message","value":"Approved by bob"}
    ]'

    后续组成员追加到已有的 users 数组并更新组的 input

    # release-managers 组的第二位成员 (carol) 也批准
$ kubectl patch approvaltask deploy-with-approval-run-wait-for-approval \
    --type='json' \
    --as carol \
    --as-group release-managers \
    -p='[
      {"op":"add","path":"/spec/approvers/1/users/-","value":{"name":"carol","input":"approve"}},
      {"op":"replace","path":"/spec/approvers/1/input","value":"approve"},
      {"op":"replace","path":"/spec/approvers/1/message","value":"Approved by carol"}
    ]'

    以组成员身份拒绝:

    # release-managers 组的一位成员 (david) 拒绝
$ kubectl patch approvaltask deploy-with-approval-run-wait-for-approval \
    --type='json' \
    --as david \
    --as-group release-managers \
    -p='[
      {"op":"add","path":"/spec/approvers/1/users/-","value":{"name":"david","input":"reject"}},
      {"op":"replace","path":"/spec/approvers/1/input","value":"reject"},
      {"op":"replace","path":"/spec/approvers/1/message","value":"Security concerns found"}
    ]'

    应用这些 patch 后,检查组条目和状态以查看所有成员的响应:

    $ kubectl get approvaltask deploy-with-approval-run-wait-for-approval -o json | jq '{spec: .spec.approvers[1], status: .status}'
{
  "spec": {
    "input": "approve",
    "message": "Approved by carol",
    "name": "release-managers",
    "type": "Group",
    "users": [
      {
        "input": "approve",
        "name": "bob"
      },
      {
        "input": "approve",
        "name": "carol"
      }
    ]
  },
  "status": {
    "approvalsReceived": 2,
    "approvalsRequired": 2,
    "approvers": [
      "alice",
      "release-managers"
    ],
    "approversResponse": [
      {
        "groupMembers": [
          {
            "message": "Approved by carol",
            "name": "bob",
            "response": "approved"
          },
          {
            "message": "Approved by carol",
            "name": "carol",
            "response": "approved"
          }
        ],
        "message": "Approved by carol",
        "name": "release-managers",
        "response": "approved",
        "type": "Group"
      }
    ],
    "startTime": "2025-11-18T14:07:48Z",
    "state": "approved"
  }
}

    在此示例中,release-managers 组的 bobcarol 都已批准。每个组成员的批准都会单独增加 approvalsReceived,因此两个组成员的批准计为两个审批数,计入所需总数。status.approversResponse 显示了详细的审批信息,包括各个组成员的响应。

    组审批关键点:

    • 每个组成员必须执行 两个必需操作:向 users 数组添加自己的条目,且设置组的 inputapprovereject)。可选地,也可以设置组的 message
    • 第一个组成员通过路径 /spec/approvers/<index>/users 创建 users 数组,值为数组。
    • 后续成员通过路径 /spec/approvers/<index>/users/- 追加到数组末尾。
    • users 数组中的每个用户条目仅包含 nameinput 字段(不包含用户条目内的 message 字段)。
    • 组级别的 message 字段是可选且共享的;后续响应若提供新消息会覆盖该字段。
    • 每个组成员的批准都会独立增加 approvalsReceived
    • 同一组的多个成员可以批准,每个都计入所需总数。
    • status.approversResponse 字段跟踪详细的审批信息,包括各个组成员。
    • 使用 --as <username> --as-group <groupname> 来以组成员身份进行 patch。

    控制器会相应地将对应的 CustomRunPipelineRun 设置为 SucceededFailed:审批累计直到满足 numberOfApprovalsRequired,任何拒绝都会立即使该流水线段失败。

    提示: 当你需要以特定身份审批时,使用 --as <username>(必需)和 --as-group <group>。验证 webhook 只允许你修改与该模拟用户和组匹配的条目。RBAC 必须授予你模拟权限。例如,kubectl patch ... --as bob --as-group release-managers 表示你以用户 bob 身份,属于 release-managers 组。

    4. 延长 PipelineRun 超时时间以适应长时间审批

    如果审批可能耗时数小时或数天,请配置 PipelineRun.spec.timeouts.pipelinePipelineRun.spec.timeouts.tasks,使其超过审批窗口,避免在审批人响应前运行终止。一个简单的用于测试审批关卡的 PipelineRun 如下:

    apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  name: deploy-with-approval-run
spec:
  pipelineRef:
    name: deploy-with-approval
  timeouts:
    pipeline: 72h
    tasks: 72h

    确保审批任务的 timeout 参数短于流水线超时,否则 PipelineRun 可能先过期,导致审批未解决。

    操作结果

    • kubectl get approvaltasks -o yaml 显示每个审批关卡的 state 和法定人数相关字段(approvalsReceived 列在有人响应后出现)。
    • PipelineRun 状态反映审批结果:批准后下游任务继续执行;拒绝则运行失败,失败原因从 ApprovalTask 传递。
    • 调度日志或 kubectl get approvaltask -o yaml 输出提供审批历史,便于审计。

    故障排查

    • 审批任务从未出现: 确认管理员安装的 ManualApprovalGate CR 是否处于 READY 状态。没有控制器,CustomRun 对象会一直挂起。
    • 审批人缺少权限: 授予他们在相关命名空间对 approvaltasks.openshift-pipelines.orggetlistupdatepatch 权限。
    • 流水线在审批完成前结束: 设置 PipelineRun.spec.timeouts.pipelinePipelineRun.spec.timeouts.tasks 覆盖预期审批时间窗口,且确保审批 timeout 合理。否则即使审批人未响应,运行也可能超时。
    • 审批后仍卡在 pending 状态: 检查 status.approversResponse,查看是否有用户更改投票或拒绝。你可能需要更新审批人列表并重新运行流水线。

    用户和组标识符

    Manual Approval Gate 依赖平台的 Identity Provider 来匹配审批人名称。始终使用提供者暴露的规范标识符,而非 UI 显示名。例如,在 Alauda Container Platform

    $ kubectl get users.auth.alauda.io
NAME                               TYPE    USERNAME   AGE
21232f297a57a5a743894a0e4a801fc3   local   admin      19d

    添加用户审批人时使用 USERNAME 列(如 admin)。

    $ kubectl get groups.auth.alauda.io
NAME      DISPLAYNAME   CONNTYPE   CONNID   AGE
g-v9mfs   test-group    local      local    19d

    引用组审批人时使用 NAME 列(如 g-v9mfs,例如 group:g-v9mfs)。其他平台也会暴露类似资源——请查阅身份服务文档以获取准确字段名。

    了解更多