Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

Azure Pipelines の設定

Red Hat Trusted Application Pipeline 1.5

安全な CI/CD ワークフローのために Azure CI を設定する方法を学習します。

Red Hat Trusted Application Pipeline Documentation Team

概要

このドキュメントでは、脆弱性スキャン、イメージ署名、アテステーション生成などの重要なセキュリティータスクを実行するために Azure CI を設定する手順を説明します。

はじめに
リンクのコピー

アプリケーションに Azure Pipelines を使用している場合、シークレットと環境変数が不足しているためにパイプラインの実行が失敗する可能性があります。シークレットがないと、Quay、JFrog Artifactory、Red Hat Advanced Cluster Security (ACS) との統合が機能せず、脆弱性スキャン、イメージ署名、コンプライアンスのための SBOM 生成などのセキュリティータスクが機能しなくなります。

これを防ぐには、シークレットと環境変数を Azure に安全に保存する必要があります。このガイドでは、パイプラインをスムーズかつセキュアに実行するためのプロセスを順を追って説明します。

第1章 外部ツールとの統合のために Azure Pipelines にシークレットと変数を追加する
リンクのコピー

この手順では、Azure Pipelines にシークレットと環境変数を追加する方法と、必要な変数のリストを示します。Azure Pipelines が RHTAP および関連する Red Hat 製品で正しく動作するようにするには、リストされているすべての変数を追加する必要があります。

前提条件

Azure Pipelines を設定する前に、次のものがあることを確認してください。

  • Bitbucket または GitHub のリポジトリーへの管理者アクセス。
  • Azure DevOps プロジェクトとパイプライン設定への管理者アクセス。
  • Quay.io、JFrog Artifactory、または Sonatype Nexus からコンテナーイメージをプルするための コンテナーレジストリー認証情報

  • 特定の Azure Pipelines タスクの 認証の詳細:

    • ACS セキュリティータスクの場合:

      • ROX Central サーバーエンドポイント
      • ROX API トークン

    • SBOM およびアーティファクト署名タスクの場合:

      • 署名鍵のパスワード、秘密鍵、公開鍵に署名する
      • Trustification API と発行者 URL、クライアント ID、クライアントシークレット、サポートされている CycloneDX バージョン
    注記

    認証情報やその他の詳細は、すでに Base64 でエンコードされているため、再度エンコードする必要はありません。これらの認証情報は、RHTAP のインストール中に作成した private.env ファイルにあります。

手順

  1. https://dev.azure.com にログインし、Azure DevOps プロジェクトを開きます。
  2. 左側のナビゲーションパネルで Pipelines を選択し、Library を選択します。
  3. Variable group を選択して、新しい変数グループを作成します。
  4. 変数グループの名前を入力します (例: rhtap)。

  5. 変数グループエディターで、以下を行います。

    1. Add を選択して、新しい変数を追加します。
    2. Name フィールドにキーを入力します。たとえば、GITOPS_AUTH_PASSWORD です。
    3. Value フィールドに、更新されたイメージ情報をプッシュするために GitOps リポジトリーで認証するために使用される値を入力します。
    4. UI とログで値をマスクするには、Keep this value secret チェックボックスをオンにします。

  6. 手順 5 を繰り返して、必要なシークレットをすべて追加します。

    Expand
    表1.1 イメージレジストリーおよび GitOps シークレット
    変数説明

    IMAGE_REGISTRY_PASSWORD

    コンテナーイメージレジストリーにアクセスするためのパスワード。

    GITOPS_AUTH_PASSWORD

    新しくビルドされたイメージの GitOps リポジトリーを更新するためにシステムが使用するトークン。

    Expand
    表1.2 ACS および SBOM タスクに必要なシークレット
    変数説明

    ROX_API_TOKEN

    ROX サーバーにアクセスするための API トークン。

    COSIGN_SECRET_PASSWORD

    Cosign 署名鍵のパスワード。

    COSIGN_SECRET_KEY

    Cosign の秘密鍵。

    TRUSTIFICATION_OIDC_CLIENT_SECRET

    Trustification Bombastic API への認証にクライアント ID と一緒に使用されるクライアントシークレット。

  1. ここで、通常の環境変数を追加し、その値をマスクしないでください。変数グループエディターで、以下を行います。

    1. Add を選択します。
    2. Name フィールドにキーを入力します。たとえば、IMAGE_REGISTRY_USER です。
    3. Value フィールドに値を入力します。この例では、コンテナーイメージレジストリーにアクセスするためのユーザー名です。
    4. Keep this value secret チェックボックスを選択しないでください。

  2. 手順 6 を繰り返して、必要なすべての環境変数を追加します。

    Expand
    表1.3 イメージレジストリーおよび GitOps 変数
    変数説明

    IMAGE_REGISTRY_USER

    コンテナーイメージレジストリーにアクセスするためのユーザー名

    GITOPS_AUTH_USERNAME (任意)

    OpenShift GitOps のユーザー名。この変数は、Azure が Bitbucket と連携するために必要です。デフォルトでは、この変数を含む行は azure-pipelines.yml ファイル内でコメント化されます。Bitbucket の使用を開始するには、# GITOPS_AUTH_USERNAME: $(GITOPS_AUTH_USERNAME) の行の 5 つのインスタンスすべてをコメント解除します。

    Expand
    表1.4 ACS タスクおよび SBOM タスクに必要な変数
    変数説明

    ROX_CENTRAL_ENDPOINT

    ROX Central サーバーのエンドポイント。

    COSIGN_PUBLIC_KEY

    Cosign の公開鍵。

    TRUSTIFICATION_BOMBASTIC_API_URL

    SBOM 生成で使用される Trustification Bombastic API の URL。

    TRUSTIFICATION_OIDC_ISSUER_URL

    Trustification Bombastic API と対話する際の認証に使用される OIDC 発行者 URL。

    TRUSTIFICATION_OIDC_CLIENT_ID

    OIDC を使用して Trustification Bombastic API に認証するためのクライアント ID。

    TRUSTIFICATION_SUPPORTED_CYCLONEDX_VERSION

    システムがサポートして生成する CycloneDX SBOM バージョンを指定します。

    オプション: CI プロバイダーランナーが RHTAP インスタンスと同じクラスター上で実行されていない場合は、Rekor および TUF 変数を設定します。

    Expand
    表1.5 Rekor および TUF 変数
    変数説明

    REKOR_HOST

    Rekor サーバーの URL。

    TUF_MIRROR

    TUF サービスの URL。

  1. Save を選択します。

  2. パイプラインがこの変数グループを使用するように承認します。

    1. Pipeline permissions タブを選択します。
    2. Add pipeline を選択します。
    3. この変数グループへのアクセスを必要とするパイプラインを選択し、Authorize selected pipelines を選択します。

  3. オプション: 変数グループに rhtap 以外の別の名前を使用する場合は、azure-pipelines.yml ファイルで変数グループ名を更新する必要があります。 

    variables:
    - group: <my-variable-group>
    Copy to Clipboard Toggle word wrap

検証

  1. 最新のパイプラインを再実行します。シークレットが正しく適用されていれば、パイプラインは正常に完了します。実行が成功したら、RHACS や SBOM などのタスクに期待どおりの詳細が表示されることを確認します。





改訂日時: 2025-05-01

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る