红帽全球峰会第 1 章 在 GitHub Actions 中添加用于与外部工具集成的 secret 和变量
先决条件
在配置 GitHub Actions 前,请确定您有以下内容:
- 对 GitHub 存储库和 CI/CD 设置的管理员访问权限。
- 用于从 Quay.io、JFrog Artifactory 或 Sonatype Nexus 中拉取容器镜像的 容器注册表凭证。
特定 GitHub Actions 任务的 身份验证详情 :
对于 ACS 安全任务 :
- ROX Central 服务器端点
- ROX API 令牌
对于 SBOM 和工件签名任务 :
- Cosign 签名密钥密码、私钥和公钥
- Trustification API 和 issuer URL, client ID, client secret, and supported CycloneDX version
注意凭证和其他详情已经经过 Base64 编码,因此您不需要再次编码它们。您可以在您的
private.env文件中找到这些凭证,该文件在 RHTAP 安装过程中创建。
1.1. 选项 1:使用 UI 将 secret 和变量添加到 GitHub Actions
流程
- 登录 GitHub 并导航到您的源存储库。
- 转至 Settings 选项卡。
- 在左侧导航窗格中,选择 Secrets 和 variables,然后选择 Actions。
在 Actions secret 和 variables 页面中,选择 Secrets 选项卡。
- 选择 New repository secret。
- 在 Name 字段中输入 MY_GITHUB_TOKEN。
- 在 Secret 字段中,输入与您的 GitHub 帐户关联 的令牌。
- 选择 Add secret。
重复步骤 4 以添加所需的 secret:
Expand 表 1.1. 镜像 registry 和 GitOps secret 变量 描述 IMAGE_REGISTRY_PASSWORD用于访问容器镜像 registry 的密码。
GITOPS_AUTH_PASSWORD系统用来为新构建镜像更新 GitOps 存储库的令牌。
Expand 表 1.2. ACS 和 SBOM 任务所需的 secret 变量 描述 ROX_API_TOKEN用于访问 ROX 服务器的 API 令牌。
COSIGN_SECRET_PASSWORDCosign 签名密钥的密码。
COSIGN_SECRET_KEYCosign 的私钥。
TRUSTIFICATION_OIDC_CLIENT_SECRET与客户端 ID 一起使用的客户端 secret,以向 Trustification Bombastic API 进行身份验证。
在 Actions secret 和 variables 页面中,切换到 Variables 选项卡。
- 选择 New repository variable。
- 在 Name 字段中,输入 IMAGE_REGISTRY_USER。
- 在 Value 字段中输入用于访问容器镜像 registry 的用户名。
- 选择 添加变量。
重复步骤 6 以添加所需的变量:
Expand 表 1.3. 镜像 registry 变量 变量 描述 IMAGE_REGISTRY_USER用于访问容器镜像 registry 的用户名。
Expand 表 1.4. ACS 和 SBOM 任务所需的变量 变量 描述 ROX_CENTRAL_ENDPOINTROX Central 服务器的端点。
COSIGN_PUBLIC_KEYCosign 的公钥。
TRUSTIFICATION_BOMBASTIC_API_URLSBOM 生成中使用的 Trustification Bombastic API 的 URL。
TRUSTIFICATION_OIDC_ISSUER_URL与 Trustification Bombastic API 交互时用于身份验证的 OIDC 签发者 URL。
TRUSTIFICATION_OIDC_CLIENT_ID用于使用 OIDC 向 Trustification Bombastic API 进行身份验证的客户端 ID。
TRUSTIFICATION_SUPPORTED_CYCLONEDX_VERSION指定系统支持并生成的 CycloneDX SBOM 版本。
可选 :如果您的 CI 供应商运行程序没有在与 RHTAP 实例相同的集群中运行,则设置 Rekor 和 TUF 变量。
Expand 表 1.5. Rekor 和 TUF 变量 变量 描述 REKOR_HOST您的 Rekor 服务器的 URL。
TUF_MIRROR您的 TUF 服务的 URL。
重新运行最后的管道运行,以验证 secret 是否已正确应用。
- 或者,切换到 GitHub 中应用的源存储库,进行次要更改,并提交它以触发新的管道运行。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}