Red Hat Summit認証
第1章 ランタイム時の認証について
イメージを構築するとき、次のシナリオで認証を定義する必要が生じる場合があります。
- コンテナーレジストリーに対する認証
- Git からのソースコードの取得
認証は、必要な機密データが保存されるシークレットの定義を通じて行われます。
1.1. ビルドシークレットアノテーション
アノテーション build.shipwright.io/referenced.secret: "true" をビルドシークレットに追加できます。このアノテーションに基づいて、ビルドコントローラーは、ビルドシークレットの作成、更新、削除などのイベントがトリガーされたときに調整アクションを実行します。以下の例は、シークレットでのアノテーションの使用方法を示しています。
このアノテーションは、ビルドインスタンスで参照されないシークレットにフィルターを設定します。たとえば、シークレットにこのアノテーションがない場合は、そのシークレットに対してイベントがトリガーされても、ビルドコントローラーによる調整はありません。イベントのトリガーを調整して、ビルドコントローラーがビルド設定の検証を再トリガーできるようになり、依存関係が欠落しているかどうかが理解しやすくなります。
1.2. Git リポジトリーへの認証
Git リポジトリーに対して次のタイプの認証を定義できます。
- Basic 認証
- セキュアシェル (SSH) 認証
Build CR で両方のタイプの認証を使用して Git シークレットを設定することもできます。
1.2.1. Basic 認証
Basic 認証では、Git リポジトリーのユーザー名とパスワードを設定する必要があります。以下の例は、Git の Basic 認証の使用方法を示しています。
1.2.2. SSH 認証
SSH 認証では、使用する Git リポジトリープロバイダーのホスト名を指定するように Tekton アノテーションを設定する必要があります。たとえば、GitHub の場合は github.com、GitLab の場合は gitlab.com です。
以下の例は、Git での SSH 認証の使用方法を示しています。
1.2.3. Git シークレットの使用
関連する namespace でシークレットを作成したら、そのシークレットを Build カスタムリソース (CR) で参照できます。両方のタイプの認証で Git シークレットを設定できます。
次の例は、SSH 認証タイプでの Git シークレットの使用法を示しています。
以下の例は、Basic 認証タイプでの Git シークレットの使用法を示しています。
1.3. コンテナーレジストリーへの認証
イメージをプライベートコンテナーレジストリーにプッシュするには、それぞれの namespace でシークレットを定義し、Build カスタムリソース (CR) で参照する必要があります。
手順
以下のコマンドを実行してシークレットを生成します。
oc --namespace <namespace> create secret docker-registry <container_registry_secret_name> \ --docker-server=<registry_host> \ --docker-username=<username> \ --docker-password=<password> \ --docker-email=<email_address>
$ oc --namespace <namespace> create secret docker-registry <container_registry_secret_name> \ --docker-server=<registry_host> \1 --docker-username=<username> \2 --docker-password=<password> \3 --docker-email=<email_address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、シークレットにアノテーションを付けます。
oc --namespace <namespace> annotate secrets <container_registry_secret_name> build.shipwright.io/referenced.secret='true'
$ oc --namespace <namespace> annotate secrets <container_registry_secret_name> build.shipwright.io/referenced.secret='true'Copy to Clipboard Copied! Toggle word wrap Toggle overflow spec.output.pushSecretフィールドの値をBuildCR のシークレット名に設定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4. ロールベースのアクセス制御
リリースデプロイメント YAML ファイルには、Builds オブジェクトを使用するための 2 つのクラスター全体のロールが含まれています。次のロールがデフォルトでインストールされます。
-
shpwright-build-aggregate-view:BuildStrategy、ClusterBuildStrategy、Build、BuildRunなどの Build リソースへの読み取りアクセスを許可します。このロールは Kubernetesviewロールに集約されます。 -
shipwright-build-aggregate-edit: namespace レベルで設定されたビルドリソースへの書き込みアクセスを許可します。ビルドリソースには、BuildStrategy、Build、およびBuildRunが含まれます。すべてのClusterBuildStrategyリソースに読み取りアクセスが付与されます。このロールは、Kubernetes のeditおよびadminロールに集約されます。
ClusterBuildStrategy リソースへの書き込みアクセス権が割り当てられているのはクラスター管理者のみです。この設定を変更するには、これらの権限を持つ別の Kubernetes ClusterRole ロールを作成し、そのロールを適切なユーザーにバインドします。
Legal Notice
Copyright © 2025 Red Hat
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}