第 1 章 使用适当的凭证配置 Jenkins
要设置 Jenkins 以便与 ACS、Quay 和 GitOps 无缝集成,您需要使用所需的凭证进行配置。此设置允许 Jenkins 执行必要的安全任务,如漏洞扫描、镜像签名和测试。正确配置可确保您的管道安全而高效地运行。
先决条件
- 您必须具有创建和管理 Jenkins 任务所需的权限。
- 您必须具有 ACS、Quay 和 GitOps 凭证。
-
您必须具有 Cosign 私钥、Cosign 公钥和 Cosign 密码,这些密码称为"Cosign 签名 secret"。用于这些凭证的值已经经过 Base64 编码,因此您不需要转换它们。您可以在
~/install_values.txt
文件中找到这些凭证。
流程
- 在 Web 浏览器中打开 Jenkins 实例,并使用您的管理员凭据登录。
- 选择 Jenkins 仪表板右上角的用户名。
- 从左侧边栏中,选择 Credentials。
- 选择您要添加凭证的适当域。通常,它是 全局凭证(无限制 )。
- 选择 Add Credentials。
- 从 Kind 下拉列表中,选择 Secret 文本。
- 将 Scope 下拉列表中的默认值保留为 Global (Jenkins)。
- 在 Secret 字段中,输入您的 ACS API 令牌。
-
在 ID 字段中,输入
ROX_API_TOKEN
。 - 在 Description 字段中,为凭证输入适当的描述。
为以下凭证重复步骤 5-10 :
ID
Secret
ROX_CENTRAL_ENDPOINT
到 ACS 实例的路由。如果没有提供,则管道中的 ACS 任务将作为 NOOP (No Operation)运行。
GITOPS_AUTH_PASSWORD
系统用来为新构建镜像更新 GitOps 存储库的令牌。
GITOPS_AUTH_USERNAME
(可选)Jenkins 使用 GitLab 所需的参数。
您还需要在 Jenkinsfile 中使用此参数取消注释一行:
GITOPS_AUTH_USERNAME = credentials ('GITOPS_AUTH_USERNAME')
。默认情况下,此行被注释掉。QUAY_IO_CREDS
用于推送镜像的 Quay 凭据。
COSIGN_SECRET_KEY
用于为镜像和测试签名的签名 secret。
COSIGN_PUBLIC_KEY
用于验证构建管道创建的镜像的公钥。
COSIGN_SECRET_PASSWORD
使用签名 secret 为镜像签名所需的密码。
现在,Jenkins 已就绪,安全构建所需的凭证。
其他资源
- 如果在构建应用程序时选择了 Jenkins 持续集成(CI),请将您的应用程序添加到 Jenkins 中。