1.2. 配置 Tekton 链
Red Hat OpenShift Pipelines Operator 默认安装 Tekton 链。您可以通过修改 TektonConfig
自定义资源来配置 Tekton 链;Operator 会自动应用您在此自定义资源中所做的更改。
要编辑自定义资源,请使用以下命令:
$ oc edit TektonConfig config
自定义资源包含一个 chain:
数组。您可以在这个阵列中添加任何支持的配置参数,如下例所示:
apiVersion: operator.tekton.dev/v1alpha1 kind: TektonConfig metadata: name: config spec: addon: {} chain: artifacts.taskrun.format: tekton config: {}
1.2.1. Tekton Chains 配置支持的参数
集群管理员可以使用各种支持的参数键和值来配置任务运行、OCI 镜像和存储的规格。
1.2.1.1. 任务运行工件支持的参数
键 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 存储任务运行有效负载的格式。 |
|
|
|
任务运行签名的存储后端。您可以将多个后端指定为用逗号分开的列表,如 |
|
|
| 用于签名任务运行有效负载的签名后端。 |
|
|
slsa/v1
是 in-toto
的别名,用于向后兼容。
1.2.1.2. 管道运行工件支持的参数
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 存储管道运行有效负载的格式。 |
|
|
|
用于存储管道运行签名的存储后端。您可以将多个后端指定为用逗号分开的列表,如 |
|
|
| 用于签名管道运行有效负载的签名后端。 |
|
|
-
slsa/v1
是in-toto
的别名,用于向后兼容。 -
对于
grafeas
存储后端,只支持 Container Analysis。您无法在 Tekton 链的当前版本中配置grafeas
服务器地址。
1.2.1.3. OCI 工件支持的参数
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 存储 OCI 有效负载的格式。 |
|
|
|
用于存储 OCI 签名的存储后端。您可以将多个后端指定为用逗号分开的列表,如 |
|
|
| 用于签名 OCI 有效负载的签名后端。 |
|
|
1.2.1.4. KMS 符号支持的参数
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
|
对要在 |
支持的方案: |
1.2.1.5. 支持的存储参数
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 存储的 GCS 存储桶 | ||
| 用于存储 OCI 签名和测试的 OCI 存储库。 |
如果您将其中一个工件存储后端配置为 | |
| 为 in-toto attestations 设置的构建器 ID |
|
如果您启用了 docdb
存储方法用于任何工件,请配置 docstore 存储选项。有关 go-cloud docstore URI 格式的更多信息,请参阅文档 存储软件包文档。Red Hat OpenShift Pipelines 支持以下 docstore 服务:
-
firestore
-
dynamodb
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
|
对 |
|
如果您为任何工件启用 grafeas
存储方法,请配置 Grafeas 存储选项。有关 Grafeas 备注和发生的更多信息,请参阅 Grafeas 概念。
要创建并行,Red Hat OpenShift Pipelines 必须首先创建用于链接并行的备注。Red Hat OpenShift Pipelines 创建两种类型的发生: ATTESTATION
Occurrence 和 BUILD
Occurrence。
Red Hat OpenShift Pipelines 使用可配置的 noteid
作为备注名称的前缀。它附加 ATTESTATION
备注的后缀 -simplesigning
,以及 BUILD
备注的后缀 -intoto
。如果没有配置 noteid
字段,Red Hat OpenShift Pipelines 将使用 tekton-<NAMESPACE>
作为前缀。
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| Grafeas 服务器用于存储发生的 OpenShift Container Platform 项目。 | ||
| 可选:用于所有创建备注的名称的前缀。 | 没有空格的字符串。 | |
|
可选:Grafeas |
|
另外,您还可以在测试时启用额外的二进制透明度上传。
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 启用或禁用自动二进制透明度上传。 |
|
|
| 如果启用,用于上传二进制透明度的 URL。 |
|
如果将 transparency.enabled
设置为 manual
,则只有带有以下注解的任务和管道运行上传到透明度日志中:
chains.tekton.dev/transparency-upload: "true"
如果配置 x509
签名后端,您可以选择使用 Fulcio 启用无密钥签名。
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
| 从 Fulcio 启用或禁用请求自动证书。 |
|
|
| 请求证书的 Fulcio 地址(如果启用)。 |
| |
| 预期的 OIDC 签发者。 |
| |
| 从中请求 ID 令牌的供应商。 |
| Red Hat OpenShift Pipelines 会尝试使用每个供应商 |
| 包含 ID 令牌的文件的路径。 | ||
|
TUF 服务器的 URL。必须存在 |
|
如果您配置 kms
签名后端,请根据需要设置 KMS 配置,包括 OIDC 和 Spire。
参数 | 描述 | 支持的值 | 默认值 |
---|---|---|---|
|
KMS 服务器的 URI ( | ||
|
KMS 服务器的身份验证令牌 ( | ||
|
OIDC 身份验证的路径(例如,Vault 为 | ||
| OIDC 身份验证的角色。 | ||
|
KMS 令牌的 Spire 套接字的 URI (例如: | ||
| 从 Spire 请求 SVID 的受众。 |