第1章 Jenkins イメージの設定
OpenShift Container Platform には、Jenkins 実行用のコンテナーイメージがあります。このイメージには Jenkins サーバーインスタンスが含まれており、このインスタンスを使用して継続的なテスト、統合、デリバリーの基本フローを設定できます。
イメージは、Red Hat Universal Base Images (UBI) に基づいています。
OpenShift Container Platform は、Jenkins の LTS リリースに従います。OpenShift Container Platform は、Jenkins 2.x を含むイメージを提供します。
OpenShift Container Platform Jenkins イメージは Quay.io または registry.redhat.io で利用できます。
以下に例を示します。
$ podman pull registry.redhat.io/ocp-tools-4/jenkins-rhel8:<image_tag>
これらのイメージを使用するには、これらのレジストリーから直接アクセスするか、これらを OpenShift Container Platform コンテナーイメージレジストリーにプッシュできます。さらに、コンテナーイメージレジストリーまたは外部の場所で、対象イメージを参照するイメージストリームを作成することもできます。その後、OpenShift Container Platform リソースがイメージストリームを参照できます。
ただし便宜上、OpenShift Container Platform はコア Jenkins イメージの openshift
namespace にイメージストリームを提供するほか、OpenShift Container Platform を Jenkins と統合するために提供されるエージェントイメージのサンプルも提供します。
1.1. 設定とカスタマイズ
Jenkins 認証は、以下の 2 つの方法で管理できます。
- OpenShift Container Platform ログインプラグインが提供する OpenShift Container Platform OAuth 認証。
- Jenkins が提供する標準認証。
1.1.1. OpenShift Container Platform OAuth 認証
OAuth 認証をアクティブ化するには、Jenkins UI の Configure Global Security パネルでオプションを設定するか、Jenkins の Deployment configuration の OPENSHIFT_ENABLE_OAUTH
環境変数を false
以外に設定します。これにより、OpenShift Container Platform ログインプラグインが有効になり、Pod データからか、OpenShift Container Platform API サーバーと対話して設定情報を取得します。
有効な認証情報は、OpenShift Container Platform アイデンティティープロバイダーが制御します。
Jenkins はブラウザーおよびブラウザー以外のアクセスの両方をサポートします。
OpenShift Container Platform ロールでユーザーに割り当てられる固有の Jenkins パーミッションが指定されていると、有効なユーザーは、ログイン時に自動的に Jenkins 認証マトリックスに追加されます。デフォルトで使用されるロールは、事前に定義される admin
、edit
、および view
です。ログインプラグインは、Jenkins が実行しているプロジェクトまたは namespace のそれらのロールに対して自己 SAR 要求 (self-SAR request) を実行します。
admin
ロールを持つユーザーには、従来の Jenkins 管理ユーザーパーミッションがあります。ユーザーのパーミッションは、ロールが edit
、view
になるほど少なくなります。
OpenShift Container Platform のデフォルトの admin
、edit
、view
のロール、これらのロールが Jenkins インスタンスに割り当てられている Jenkins パーミッションは設定可能です。
OpenShift Container Platform Pod で Jenkins を実行する場合、ログインプラグインは、Jenkins を実行している namespace で openshift-jenkins-login-plugin-config
という名前の config map を検索します。
ログインプラグインがその config map を検出して読み取ることができる場合は、Jenkins パーミッションマッピングにロールを定義できます。具体的には以下を実行します。
- ログインプラグインは、config map のキーと値のペアを OpenShift Container Platform のロールのマッピングに対する Jenkins パーミッションとして処理します。
- キーは Jenkins パーミッショングループの短い ID と Jenkins パーミッションの短い ID で、この 2 つはハイフンで区切られています。
-
OpenShift Container Platform ロールに
Overall Jenkins Administer
パーミッションを追加する場合、キーはOverall-Administer
である必要があります。 - パーミッショングループおよびパーミッション ID が利用可能であるかどうかを把握するには、Jenkins コンソールのマトリックス認証ページに移動し、グループの ID とグループが提供するテーブルの個々のパーミッションを確認します。
- キーと値ペアの値は、パーミッションが適用される必要がある OpenShift Container Platform ロールのリストで、各ロールはコンマで区切られています。
-
Overall Jenkins Administer
パーミッションをデフォルトのadmin
およびedit
ロールの両方に追加し、作成した新規の jenkins ロールも追加する場合は、キーのOverall-Administer
の値がadmin,edit,jenkins
になります。
OpenShift Container Platform OAuth が使用されている場合、管理者権限で OpenShift Container Platform Jenkins イメージに事前に設定されている admin
ユーザーには、これらの権限は割り当てられません。これらのパーミッションを付与するには、OpenShift Container Platform クラスター管理者は OpenShift Container Platform アイデンティティープロバイダーでそのユーザーを明示的に定義し、admin
ロールをユーザーに割り当てる必要があります。
保存される Jenkins ユーザーのパーミッションは、初回のユーザー作成後に変更できます。OpenShift Container Platform ログインプラグインは、OpenShift Container Platform API サーバーをポーリングしてパーミッションを取得し、ユーザーごとに Jenkins に保存されているパーミッションを、OpenShift Container Platform から取得したパーミッションに更新します。Jenkins UI を使用して Jenkins ユーザーのパーミッションを更新する場合は、プラグインが次回に OpenShift Container Platform をポーリングするタイミングで、パーミッションの変更が上書きされます。
ポーリングの頻度は OPENSHIFT_PERMISSIONS_POLL_INTERVAL
環境変数で制御できます。デフォルトのポーリングの間隔は 5 分です。
OAuth 認証を使用して新しい Jenkins サービスを作成するには、テンプレートを使用するのが最も簡単な方法です。
1.1.2. Jenkins 認証
テンプレートを使用せず、イメージが直接実行される場合は、デフォルトで Jenkins 認証が使用されます。
Jenkins の初回起動時には、設定、管理ユーザーおよびパスワードが作成されます。デフォルトのユーザー認証情報は、admin
と password
です。標準の Jenkins 認証を使用する場合に限り、JENKINS_PASSWORD
環境変数を設定してデフォルトのパスワードを設定します。
手順
標準の Jenkins 認証を使用する Jenkins アプリケーションを作成します。
$ oc new-app -e \ JENKINS_PASSWORD=<password> \ ocp-tools-4/jenkins-rhel8