Red Hat SummitChapitre 1. Configuration des images Jenkins
Le logiciel OpenShift Dedicated fournit une image de conteneur pour exécuter Jenkins. Cette image fournit une instance de serveur Jenkins, qui peut être utilisée pour configurer un flux de base pour les tests, l’intégration et la livraison en continu.
L’image est basée sur le Red Hat Universal Base Images (UBI).
L’OpenShift Dedicated suit la sortie du LTS de Jenkins. Le logiciel OpenShift Dedicated fournit une image contenant Jenkins 2.x.
Les images OpenShift Dedicated Jenkins sont disponibles sur Quay.io ou Registry.redhat.io.
À titre d’exemple:
podman pull registry.redhat.io/ocp-tools-4/jenkins-rhel8:<image_tag>
$ podman pull registry.redhat.io/ocp-tools-4/jenkins-rhel8:<image_tag>Afin d’utiliser ces images, vous pouvez y accéder directement à partir de ces registres ou les pousser dans votre registre d’images de conteneur OpenShift Dedicated. En outre, vous pouvez créer un flux d’images qui pointe vers l’image, que ce soit dans votre registre d’images conteneur ou à l’emplacement externe. Les ressources dédiées à OpenShift peuvent ensuite faire référence au flux d’images.
Cependant, pour plus de commodité, OpenShift Dedicated fournit des flux d’images dans l’espace de noms openshift pour l’image principale de Jenkins ainsi que l’exemple des images Agent fournies pour l’intégration OpenShift Dedicated avec Jenkins.
1.1. Configuration et personnalisation
Il est possible de gérer l’authentification Jenkins de deux manières:
- Authentification OAuth dédiée OpenShift fournie par le plugin OpenShift Dedicated Login.
- Authentification standard fournie par Jenkins.
1.1.1. Authentification OAuth dédiée à OpenShift
L’authentification OAuth est activée en configurant des options sur le panneau Configurer la sécurité globale dans l’interface utilisateur de Jenkins, ou en définissant la variable d’environnement OPENSHIFT_ENABLE_OAUTH sur la configuration de déploiement Jenkins à autre chose que fausse. Cela active le plugin OpenShift Dedicated Login, qui récupère les informations de configuration des données de pod ou en interagissant avec le serveur API dédié OpenShift.
Les informations d’identification valides sont contrôlées par le fournisseur d’identité dédié OpenShift.
Jenkins prend en charge l’accès navigateur et non navigateur.
Les utilisateurs valides sont automatiquement ajoutés à la matrice d’autorisation Jenkins lors de la connexion, où les rôles dédiés OpenShift dictent les autorisations spécifiques Jenkins que les utilisateurs ont. Les rôles utilisés par défaut sont l’administrateur, l’édition et la vue prédéfinis. Le plugin de connexion exécute des requêtes auto-SAR contre ces rôles dans le projet ou l’espace de noms dans lesquels Jenkins est en cours d’exécution.
Les utilisateurs ayant le rôle d’administrateur ont les autorisations administratives traditionnelles d’utilisateur Jenkins. Les utilisateurs avec le rôle d’édition ou de vue ont progressivement moins d’autorisations.
Les rôles par défaut OpenShift Dedicated admin, edit et view et les autorisations Jenkins que ces rôles sont assignés dans l’instance Jenkins sont configurables.
Lors de l’exécution de Jenkins dans un pod dédié OpenShift, le plugin de connexion recherche une carte de configuration nommée openshift-jenkins-login-plugin-config dans l’espace de noms dans lequel Jenkins est en cours d’exécution.
Lorsque ce plugin trouve et peut lire dans cette carte de configuration, vous pouvez définir le rôle à Jenkins Permission mappings. En particulier:
- Le plugin de connexion traite les paires de clés et de valeur dans la carte de configuration comme l’autorisation Jenkins pour OpenShift Dedicated role mappings.
- La clé est l’ID court du groupe d’autorisations Jenkins et l’ID court d’autorisation Jenkins, les deux étant séparés par un caractère de trait d’union.
- Dans le cas où vous souhaitez ajouter l’autorisation générale d’administration Jenkins à un rôle dédié à OpenShift, la clé devrait être l’administrateur général.
- Afin d’obtenir une idée des groupes d’autorisation et des identifiants d’autorisation disponibles, accédez à la page d’autorisation de matrice de la console Jenkins et des ID pour les groupes et les autorisations individuelles dans la table qu’ils fournissent.
- La valeur de la paire de clés et de valeur est la liste des rôles OpenShift Dédiés auxquels l’autorisation doit s’appliquer, chaque rôle étant séparé par une virgule.
- Dans le cas où vous souhaitez ajouter l’autorisation d’administration globale Jenkins aux rôles d’administrateur et d’édition par défaut, ainsi qu’à un nouveau rôle Jenkins que vous avez créé, la valeur de la clé Administrateur général serait admin,edit,jenkins.
L’utilisateur admin qui est pré-remplé dans l’image OpenShift Dedicated Jenkins avec des privilèges administratifs ne reçoit pas ces privilèges lorsque OpenShift Dedicated OAuth est utilisé. Afin d’accorder ces autorisations, l’administrateur du cluster dédié OpenShift doit définir explicitement cet utilisateur dans le fournisseur d’identité dédié OpenShift et attribuer le rôle d’administrateur à l’utilisateur.
Les autorisations des utilisateurs de Jenkins qui sont stockées peuvent être modifiées après que les utilisateurs ont été initialement établis. Le plugin OpenShift Dedicated Login sonde le serveur API dédié OpenShift pour les autorisations et met à jour les autorisations stockées dans Jenkins pour chaque utilisateur avec les autorisations récupérées à partir d’OpenShift Dedicated. Lorsque l’interface utilisateur de Jenkins est utilisée pour mettre à jour les autorisations d’un utilisateur Jenkins, les modifications d’autorisation sont annulées la prochaine fois que le plugin sonde OpenShift Dedicated.
Contrôlez la fréquence à laquelle le sondage se produit avec la variable d’environnement OPENSHIFT_PERMISSIONS_POLL_INTERVAL. L’intervalle de sondage par défaut est de cinq minutes.
La façon la plus simple de créer un nouveau service Jenkins en utilisant l’authentification OAuth est d’utiliser un modèle.
1.1.2. Authentification Jenkins
L’authentification Jenkins est utilisée par défaut si l’image est exécutée directement, sans utiliser de modèle.
La première fois que Jenkins démarre, la configuration est créée avec l’utilisateur administrateur et le mot de passe. Les identifiants d’utilisateur par défaut sont admin et mot de passe. Configurez le mot de passe par défaut en définissant la variable d’environnement JENKINS_PASSWORD lorsque vous utilisez et uniquement lorsque vous utilisez l’authentification Jenkins standard.
Procédure
Créez une application Jenkins qui utilise l’authentification standard Jenkins en entrant la commande suivante:
oc new-app -e \ JENKINS_PASSWORD=<password> \ ocp-tools-4/jenkins-rhel8$ oc new-app -e \ JENKINS_PASSWORD=<password> \ ocp-tools-4/jenkins-rhel8Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}