第 4 章 Pipelines
4.1. Red Hat OpenShift Pipelines 发行注记
Red Hat OpenShift Pipelines 是基于 Tekton 项目的一个云原生 CI/CD 环境,它提供:
- 标准 Kubernetes 原生管道定义 (CRD)。
- 无需 CI 服务器管理开销的无服务器管道。
- 使用任何 Kubernetes 工具(如 S2I、Buildah、JIB 和 Kaniko)构建镜像。
- 不同 Kubernetes 发布系统间的可移植性。
- 用于与管道交互的强大 CLI。
- 使用 OpenShift Container Platform Web 控制台的 Developer 视角集成用户体验。
如需了解 Red Hat OpenShift Pipelines 的概述,请参阅了解 OpenShift Pipelines。
4.1.1. 兼容性和支持列表
这个版本中的一些功能当前还只是一个技术预览。它们并不适用于在生产环境中使用。
在下表中,被标记为以下状态的功能:
| TP | 技术预览 |
| GA | 公开发行 |
| Red Hat OpenShift Pipelines 版本 | 组件版本 | OpenShift 版本 | 支持状态 | ||||||
|---|---|---|---|---|---|---|---|---|---|
| Operator | Pipelines | 触发器 | CLI | 目录 | 链 | Hub | Pipelines 作为代码(Pipelines as Code) | ||
| 1.7 | 0.33.x | 0.19.x | 0.23.x | 0.33 | 0.8.0 (TP) | 1.7.0 (TP) | 0.5.x (TP) | 4.9, 4.10, 4.11 | GA |
| 1.6 | 0.28.x | 0.16.x | 0.21.x | 0.28 | N/A | 不适用 | N/A | 4.9 | GA |
| 1.5 | 0.24.x | 0.14.x (TP) | 0.19.x | 0.24 | N/A | 不适用 | N/A | 4.8 | GA |
| 1.4 | 0.22.x | 0.12.x (TP) | 0.17.x | 0.22 | N/A | 不适用 | N/A | 4.7 | GA |
在 Red Hat OpenShift Pipelines 1.6 中,Triggers 0.16.x 转换为 GA 状态。在早期版本中,Triggers 作为一个技术预览功能提供。
如果您有疑问或希望提供反馈信息,请向产品团队发送邮件 pipelines-interest@redhat.com。
4.1.2. 使开源包含更多
红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。有关更多详情,请参阅我们的首席技术官 Chris Wright 提供的消息。
4.1.3. Red Hat OpenShift Pipelines 正式发行 1.7 发行注记
在这个版本中,Red Hat OpenShift Pipelines 正式发行(GA)1.7 包括在 OpenShift Container Platform 4.9, 4.10, 和 4.11 中。
4.1.3.1. 新功能
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.7 中的新内容。
4.1.3.1.1. Pipelines
在这个版本中,
pipelines-<version>是安装 Red Hat OpenShift Pipelines Operator 的默认频道。例如,安装 Pipelines Operator1.7的默认频道是pipelines-1.7。集群管理员还可使用latest频道来安装 Operator 的最新稳定版本。注意preview和stable频道将在以后的版本中被弃用并删除。当您在用户命名空间中运行命令时,您的容器以
root身份运行(用户 ID0),但对主机具有用户特权。在这个版本中,要在用户命名空间中运行 pod,您必须传递 CRI-O 期望的注解。-
要为所有用户添加这些注解,请运行
oc edit clustertask buildah命令并编辑buildah集群任务。 - 要将注解添加到特定命名空间,请将集群任务导出为该命名空间的任务。
-
要为所有用户添加这些注解,请运行
在此次更新之前,如果没有满足某些条件,则
when表达式会跳过一个Task对象及其依赖的任务。在这个版本中,您可以限制when表达式只保护Task对象,而不是它的依赖项任务。要启用此更新,请在TektonConfigCRD 中将scope-when-expressions-to-task标志设置为true。注意scope-when-expressions-to-task标记已弃用,并将在以后的发行版本中删除。作为 Pipelines 的最佳实践,请只使用when表达式范围到被保证的Task。-
在这个版本中,您可以在任务中的工作区的
subPath字段中使用变量替换。 在这个版本中,您可以使用带单引号或双引号的 bracket 表示法引用参数和结果。在此次更新之前,只能使用点表示法。例如,现在以下内容等同于:
$(param.myparam),$(param['myparam']), and$(param["myparam"]).您可以使用单引号或双引号括起包含有问题的字符的参数名称,如
"."。例如,$(param['my.param'])和$(param["my.param"])。
-
在这个版本中,您可以在任务定义中包含步骤的
onError参数,而无需启用enable-api-fields标志。
4.1.3.1.2. 触发器
-
在这个版本中,
feature-flag-triggers配置映射具有一个新的字段labels-exclusion-pattern。您可以将此字段的值设置为正则表达式(regex)模式。控制器过滤出与事件监听器从事件监听器传播到为事件监听器创建的资源匹配的正则表达式模式的标签。 -
在这个版本中,
TriggerGroups字段添加到EventListener规格中。使用此字段,您可以在选择和运行一组触发器前指定要运行的拦截器。要启用此功能,请将feature-flags-triggers配置映射中的enable-api-fields标志设置为alpha。 -
在这个版本中,
Trigger资源支持TriggerTemplate模板定义的自定义运行。 -
在这个版本中,Triggers 支持从
EventListenerpod 发送 Kubernetes 事件。 -
在这个版本中,以下对象提供了计数指标:
ClusterInteceptor、EventListener、TriggerTemplate、ClusterTriggerBinding和TriggerBinding。 -
在这个版本中,
ServicePort规格添加到 Kubernetes 资源。您可以使用此规格来修改公开事件监听器服务的端口。默认端口为8080。 -
在这个版本中,您可以使用
EventListener规格中的targetURI字段在触发器处理过程中发送云事件。要启用此功能,请将feature-flags-triggers配置映射中的enable-api-fields标志设置为alpha。 -
在这个版本中,
tekton-triggers-eventlistener-roles对象除了已存在的create动词外,现在还添加了一个patch动词。 -
在这个版本中,
securityContext.runAsUser参数会从事件监听器部署中删除。
4.1.3.1.3. CLI
在这个版本中,
tkn [pipeline | pipelinerun] export命令会导出一个管道或管道作为 YAML 文件运行。例如:在
openshift-pipelines命名空间中导出名为test_pipeline的管道:$ tkn pipeline export test_pipeline -n openshift-pipelines
在
openshift-pipelines命名空间中导出名为test_pipeline_run的管道运行:$ tkn pipelinerun export test_pipeline_run -n openshift-pipelines
-
在这个版本中,
--grace选项添加到tkn pipelinerun cancel中。使用--grace选项终止管道运行,而不是强制终止。要启用此功能,请将feature-flags配置映射中的enable-api-fields标志设置为alpha。 在这个版本中,在
tkn version命令的输出中添加了 Operator 和链版本。重要Tekton 链是技术预览功能。
-
在这个版本中,当取消管道运行时,
tkn pipelinerun describe命令显示所有取消的任务运行。在此修复之前,仅显示一个任务运行。 -
在这个版本中,您可以在运行
tkn [t | p | p | ct] start命令时跳过使用--skip-optional-workspace标记时,为可选工作区提供请求规格。您也可以在以交互模式运行时跳过它。 在这个版本中,您可以使用
tkn chain命令管理 Tekton 链。您还可以使用--chains-namespace选项指定要安装 Tekton 链的命名空间。重要Tekton 链是技术预览功能。
4.1.3.1.4. Operator
在这个版本中,您可以使用 Red Hat OpenShift Pipelines Operator 来安装和部署 Tekton Hub 和 Tekton 链。
重要集群中的 Tekton Hub 链和部署是技术预览功能。
在这个版本中,您可以查找并使用 Pipelines 作为代码(PAC)作为附加选项。
重要作为代码,管道是技术预览功能。
在这个版本中,您可以通过将
communityClusterTasks参数设置为false来禁用社区集群任务的安装。例如:... spec: profile: all targetNamespace: openshift-pipelines addon: params: - name: clusterTasks value: "true" - name: pipelineTemplates value: "true" - name: communityClusterTasks value: "false" ...在这个版本中,您可以通过 Developer 视角禁用 Tekton Hub 集成,方法是将
TektonConfig自定义资源中的enable-devconsole-integration标志设置为false。例如:... hub: params: - name: enable-devconsole-integration value: "true" ...-
在这个版本中,
operator-config.yaml配置映射启用tkn version命令的输出来显示 Operator 版本。 -
在这个版本中,
argocd-task-sync-and-wait任务的版本被修改为v0.2。 -
对于这个版本的
TektonConfigCRD ,oc get tektonconfig命令会显示 OPerator 版本。 - 在这个版本中,服务监控器添加到 Triggers 指标中。
4.1.3.1.5. Hub
在集群中部署 Tekton Hub 是一个技术预览功能。
Tekton Hub 可帮助您发现、搜索和共享 CI/CD 工作流可重复使用的任务和管道。Tekton Hub 的一个公共实例位于 hub.tekton.dev 中。
集群管理员可以使用 Red Hat OpenShift Pipelines 1.7 推出,集群管理员也可以在企业集群中安装并部署 Tekton Hub 的自定义实例。您可以使用特定于您的机构的可重复使用的任务和管道来策展目录。
4.1.3.1.6. 链
Tekton 链是技术预览功能。
Tekton Chains 是一个 Kubernetes 自定义资源定义(CRD)控制器。您可以使用它来管理使用 Red Hat OpenShift Pipelines 创建的任务和管道的供应链安全。
默认情况下,Tekton Chains 会监控 OpenShift Container Platform 集群中运行的任务。链会对完成的任务运行进行快照,将其转换为一个或多个标准有效负载格式,并签署并存储所有工件。
Tekton Chains 支持以下功能:
-
您可以使用加密密钥类型和服务(如
cosign)为任务运行、任务运行结果和 OCI registry 镜像签名。 -
您可以使用"测试"格式,如
in-toto。 - 您可以使用 OCI 存储库作为存储后端安全存储签名和签名工件。
4.1.3.1.7. 管道作为代码(PAC)
作为代码,管道是技术预览功能。
使用 Pipelines 作为 Code,具有所需权限的集群管理员和用户可以将管道模板定义为源代码 Git 存储库的一部分。当由源代码推送或配置的 Git 存储库的拉取请求触发时,该功能将运行管道和报告状态。
作为代码的管道支持以下功能:
- 拉取请求状态。在迭代拉取请求时,拉取请求的状态和控制会在托管 Git 存储库的平台上进行。
- GitHub 检查 API 来设置管道运行的状态,包括重新检查。
- GitHub 拉取请求和提交事件。
-
在注释中拉取请求操作,如
/retest。 - Git 事件过滤,以及每个事件的独立管道。
- Pipelines 中的自动任务解析用于本地任务、Tekton Hub 和远程 URL。
- 使用 GitHub blob 和对象 API 来检索配置。
-
通过 GitHub 机构或使用 Prow 风格的
OWNER文件访问控制列表(ACL) -
tknCLI 工具的tkn-pac插件,您可以使用它们管理 Pipelines 作为代码软件仓库和 bootstrap。 - 支持 GitHub 应用程序、GitHub Webhook、Bitbucket 服务器和 Bitbucket 云。
4.1.3.2. 已弃用的功能
-
中断更改:此更新从
TektonConfig自定义资源(CR)中删除disable-working-directory-overwrite和disable-home-env-overwrite字段。因此,TektonConfigCR 不再自动设置$HOME环境变量和workingDir参数。您仍然可以使用Task自定义资源定义(CRD)中的env和workingDir字段来设置$HOME环境变量和workingDir参数。
-
Conditions自定义资源定义(CRD)类型已弃用,计划在以后的发行版本中删除。反之,使用推荐的when表达式。
-
有问题的更改:
Triggers资源验证模板,并在没有指定EventListener和TriggerBinding值时生成错误。
4.1.3.3. 已知问题
当您运行 Maven 和 Jib-Maven 集群任务时,默认容器镜像仅支持 Intel(x86)架构。因此,在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x)集群上的任务将失败。作为临时解决方案,您可以通过将
MAVEN_IMAGE参数值设置为maven:3.6.3-adoptopenjdk-11来指定自定义镜像。提示在您使用
tkn hub在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x) 上基于 Tekton Catalog 安装任务前,请验证是否可以在这些平台上执行任务。要检查ppc64le和s390x是否列在任务信息的"Platforms"部分,您可以运行以下命令:tkn hub info task <name>-
在 IBM Power Systems、IBM Z 和 LinuxONE 中,不支持
s2i-dotnet集群任务。 您无法使用
nodejs:14-ubi8-minimal镜像流,因为这样做会生成以下错误:STEP 7: RUN /usr/libexec/s2i/assemble /bin/sh: /usr/libexec/s2i/assemble: No such file or directory subprocess exited with status 127 subprocess exited with status 127 error building at STEP "RUN /usr/libexec/s2i/assemble": exit status 127 time="2021-11-04T13:05:26Z" level=error msg="exit status 127"
-
隐式参数映射会错误地将参数从顶级
Pipeline或PipelineRun定义传递给taskRef任务。映射应该只在顶层资源中使用任务进行,并带有非线taskSpec规格。此问题仅影响将enable-api-fields功能标记设置为alpha的用户。
4.1.3.4. 修复的问题
-
在这个版本中,如果
Pipeline和PipelineRun对象定义中存在labels和annotations的元数据,PipelineRun类型中的值会具有优先权。您可以观察Task和TaskRun对象的类似行为。 -
在这个版本中,如果
timeout.tasks字段或timeout.finally字段设置为0,则timeout.pipeline也被设置为0。 -
在这个版本中,
-xset 标记已从不使用 shebang 的脚本中删除。在这个版本中,减少了脚本执行的潜在数据泄漏。 -
在这个版本中,Git 凭证中的用户名中存在的任何反斜杠字符都会被转义,并带有
.gitconfig文件中的额外反斜杠。
-
在这个版本中,
EventListener对象的finalizer属性不需要清理日志记录和配置映射。 - 在这个版本中,与事件监听器服务器关联的默认 HTTP 客户端会被删除,并添加自定义 HTTP 客户端。因此,超时有所改进。
- 在这个版本中,Triggers 集群角色现在可以处理所有者引用。
- 在这个版本中,当多个拦截器返回扩展时,事件监听器中的竞争条件不会发生。
-
在这个版本中,
tkn pr delete命令不会删除使用ignore-running标记运行的管道。
- 在这个版本中,当您修改任何附加组件参数时,Operator pod 不会继续重启。
-
在这个版本中,如果订阅和配置自定义资源中没有配置,
tkn serveCLI pod 会被调度到 infra 节点上。 - 在这个版本中,在升级过程中不会删除指定版本的集群任务。
4.1.3.5. Red Hat OpenShift Pipelines 正式发行 1.7.1 发行注记
在这个版本中,Red Hat OpenShift Pipelines 正式发行(GA)1.7.1 包括在 OpenShift Container Platform 4.9, 4.10, 和 4.11 中。
4.1.3.5.1. 修复的问题
- 在此次更新之前,升级 Red Hat OpenShift Pipelines Operator 会删除与 Tekton Hub 关联的数据库中的数据并安装新的数据库。在这个版本中,Operator 升级会保留数据。
- 在此次更新之前,只有集群管理员才能访问 OpenShift Container Platform 控制台中的管道指标。在这个版本中,与其他集群角色的用户也可以访问管道指标。
-
在此次更新之前,管道对包含发出大型终止消息的任务的管道运行失败。管道运行失败,因为 pod 中所有容器的终止信息总数不能超过 12 KB。在这个版本中,使用同一镜像的
place-tools和step-init初始化容器会合并,以减少每个任务的 pod 中运行的容器数量。该解决方案可减少运行失败管道的几率,这可尽量减少在任务 pod 中运行的容器数量。但是,它不会删除终止消息的最大允许大小限制。 -
在此次更新之前,直接从 Tekton Hub web 控制台访问资源 URL 会导致 Nginx
404错误。在这个版本中,Tekton Hub web 控制台镜像已被修复,以便直接从 Tekton Hub web 控制台访问资源 URL。 - 在此次更新之前,对于每个命名空间,资源修剪器作业都会创建一个单独的容器来修剪资源。在这个版本中,资源修剪器作业作为一个容器中的一个循环运行所有命名空间的命令。
4.1.3.6. Red Hat OpenShift Pipelines 正式发布 1.7.2 发行注记
在这个版本中,Red Hat OpenShift Pipelines General Availability (GA)1.7.2 包括在 OpenShift Container Platform 4.9、4.10 及以后的版本中。
4.1.3.6.1. 已知问题
-
在升级 Red Hat OpenShift Pipelines Operator 后,
openshift-pipelines命名空间中的 Tekton Chains 的chains-config配置映射会自动重置为默认。目前,这个问题还没有临时解决方案。
4.1.3.6.2. 修复的问题
-
在此次更新之前,当将
init用作第一个参数并后跟两个或更多个参数时,Pipelines 1.7.1 上的任务会失败。在这个版本中,这些标志会被正确解析,任务可以运行成功。 在此次更新之前,因为存在无效的角色绑定,在 OpenShift Container Platform 4.9 和 4.10 上安装 Red Hat OpenShift Pipelines Operator 会失败,并显示以下错误消息:
error updating rolebinding openshift-operators-prometheus-k8s-read-binding: RoleBinding.rbac.authorization.k8s.io "openshift-operators-prometheus-k8s-read-binding" is invalid: roleRef: Invalid value: rbac.RoleRef{APIGroup:"rbac.authorization.k8s.io", Kind:"Role", Name:"openshift-operator-read"}: cannot change roleRef在这个版本中,Red Hat OpenShift Pipelines Operator 安装有不同的角色绑定命名空间,以避免与其他 Operator 安装冲突。
在此次更新之前,升级 Operator 会触发 Tekton Chains 的
signed-secretssecret 键重置为默认值。在这个版本中,在升级 Operator 后自定义 secret 密钥会保留。注意升级到 Red Hat OpenShift Pipelines 1.7.2 会重置密钥。但是,当您升级到将来的版本时,会需要保留该密钥。
在此次更新之前,所有 S2I 构建任务都会失败,并显示类似以下消息的错误:
Error: error writing "0 0 4294967295\n" to /proc/22/uid_map: write /proc/22/uid_map: operation not permitted time="2022-03-04T09:47:57Z" level=error msg="error writing \"0 0 4294967295\\n\" to /proc/22/uid_map: write /proc/22/uid_map: operation not permitted" time="2022-03-04T09:47:57Z" level=error msg="(unable to determine exit status)"
在这个版本中,
pipeline-scc安全性上下文约束 (SCC) 与Buildah和S2I集群任务所需的SETFCAP功能兼容。因此,Buildah和S2I构建任务可以成功运行。要成功运行
Buildah集群任务和S2I构建任务,适用于使用各种语言和框架编写的应用程序,添加以下适当的steps对象(如build和push)的代码片段。securityContext: capabilities: add: ["SETFCAP"]
4.1.3.7. Red Hat OpenShift Pipelines 正式发布 1.7.3 发行注记
在这个版本中,Red Hat OpenShift Pipelines 正式发行(GA)1.7.3 包括在 OpenShift Container Platform 4.9, 4.10, 和 4.11 中。
4.1.3.7.1. 修复的问题
-
在此次更新之前,如果任何命名空间处于
Terminating状态,Operator 会在创建 RBAC 资源时失败。在这个版本中,Operator 忽略了命名空间处于Terminating状态,并创建 RBAC 资源。 -
在以前的版本中,升级 Red Hat OpenShift Pipelines Operator 会导致重新创建
pipeline服务帐户,这意味着链接到服务帐户的 secret 会丢失。在这个版本中解决了这个问题。在升级过程中,Operator 不再重新创建pipeline服务帐户。因此,已附加到pipeline服务帐户的 secret 在升级后会保留,资源(任务和管道)可以继续正常工作。
4.1.4. Red Hat OpenShift Pipelines 正式发行 1.6 发行注记
在这个版本中,Red Hat OpenShift Pipelines 正式发行(GA)1.6 包括在 OpenShift Container Platform 4.9 中。
4.1.4.1. 新功能
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.6 中的新内容。
-
在这个版本中,您可以配置管道或任务的
start命令(使用--output <string>,其中<string>是yaml或json)来返回 YAML 或 JSON 格式的字符串。如果没有使用--output选项,start命令会返回人类友好的消息,而其他程序很难解析该消息。返回 YAML 或 JSON 格式的字符串对于持续集成(CI)环境非常有用。例如,在创建了资源后,您可以使用yq或jq解析有关资源的 YAML 或 JSON 格式消息,并等待该资源终止而不使用showlog选项。 -
在这个版本中,您可以使用 Podman 的
auth.json身份验证文件对 registry 进行身份验证。例如,您可以使用tkn bundle push来使用 Podman 而不是 Docker CLI 推送到远程 registry。 -
在这个版本中,如果您使用
tkn [taskrun | pipelinerun] delete --all命令,您可以使用新的--keep-since <minutes>选项来指定一个分钟数,存在时间少于这个分钟数的运行会被保留。例如,若要保持存在的时间少于五分钟的运行,输入tkn [taskrun | pipelinerun] delete -all --keep-since 5。 -
在这个版本中,当删除任务运行或管道运行时,您可以将
--parent-resource和--keep-since选项一起使用。例如,tkn pipelinerun delete --pipeline pipelinename --keep-since 5命令会保留其父资源名为pipelinename,其存在时间为五分钟或更短的管道运行。对于任务运行,tkn tr delete -t <taskname> --keep-since 5和tkn tr delete --clustertask <taskname> --keep-since 5有类似效果。 -
在这个版本中,增加了对用于
v1beta1资源的触发器资源的支持。
-
在这个版本中,在
tkn pipelinerun delete和tkn taskrun delete命令中添加了一个ignore-running选项。 -
在这个版本中,为
tkn task和tkn clustertask命令添加一个create子命令。 -
在这个版本中,当使用
tkn pipelinerun delete --all命令时,您可以使用新的--label <string>选项来根据标签过滤管道运行。另外,您还可以在--label选项中使用=和==作为相等运算符,或者!=作为不相等运算符。例如,tkn pipelinerun delete --all --label asdf和tkn pipelinerun delete --all --label==asdf命令都会删除带有asdf标签的所有管道运行。 - 在这个版本中,您可以从配置映射获取已安装的 Tekton 组件版本,或者从部署控制器获取配置映射的版本。
-
在这个版本中,触发器支持使用
feature-flags和config-defaults配置映射来分别配置功能标记和设置默认值。 -
在这个版本中,添加了一个新的指标
eventlistener_event_count,您可以使用它来统计EventListener资源接收的事件。 在这个版本中添加了
v1beta1Go API 类型。在这个版本中,触发器支持v1beta1API 版本。在当前发行版本中,
v1alpha1功能已弃用,并将在以后的发行版本中删除。改为使用v1beta1功能替代。
在当前发行版本中,默认启用自动运行资源。另外,您可以使用以下新注解为每个命名空间单独配置自动运行任务运行和管道运行:
-
operator.tekton.dev/prune.schedule:如果此注解的值与TektonConfig自定义资源定义中指定的值不同,则会在该命名空间中创建新的 cron 作业。 -
operator.tekton.dev/prune.skip:设置为true时,配置它的命名空间不会被修剪。 -
operator.tekton.dev/prune.resources:此注解接受以逗号分隔的资源列表。要修剪单一资源,如管道运行,将此注解设置为"pipelinerun"。要修剪多个资源,如任务运行和管道运行,将此注解设置为"taskrun, pipelinerun"。 -
operator.tekton.dev/prune.keep:使用此注解保留资源而不进行修剪。 operator.tekton.dev/prune.keep-since:使用此注解来根据其存在的时间来保留资源。此注解的值必须等于资源的年龄(以分钟为单位)。例如,若要保留在五天内创建的资源,请将keep-since设置为7200。注意keep和keep-since注释是互斥的。对于任何资源,您只能配置其中一个。-
operator.tekton.dev/prune.strategy:将此注解的值设置为keep或keep-since。
-
-
管理员可以禁用在整个集群中创建
pipeline服务帐户创建,从而防止因为错误地使用关联的 SCC(这与anyuid非常相似)造成权限升级的问题。 -
现在,您可以使用
TektonConfig自定义资源(CR)和单个组件的 CR 配置功能标记和组件,如TektonPipeline和TektonTriggers。此级别的颗粒度有助于为各个组件的 Tekton OCI 捆绑包自定义和测试 alpha 功能。 -
现在,您可以为
PipelineRun资源配置可选的Timeouts字段。例如,您可以单独为管道运行、每个任务运行以及finally任务配置超时。 -
TaskRun资源生成的 Pod 现在会设置 pod 的activeDeadlineSeconds字段。这可让 OpenShift 将它们视为终止,并允许您将具有特定作用域的ResourceQuota对象用于容器集。 - 您可以使用 configmaps 在任务运行、管道运行、任务和管道上消除指标标签或标签类型。另外,您可以为测量持续时间配置不同类型的指标,如直方图、量表或最后一个值。
-
您可以统一定义 pod 的请求和限值,因为 Tekton 现在通过考虑
Min、Max、Default和DefaultRequest字段来全面支持LimitRange对象。 引入了以下 alpha 功能:
现在,管道运行可以在运行
finally任务后停止,而不是之前停止直接运行所有任务的行为。在这个版本中添加了以下spec.status值:-
StoppedRunFinally将在当前运行的任务完成后停止,然后运行finally任务。 -
CancelledRunFinally将立即取消正在运行的任务,然后运行finally任务。 Cancelled将保留PipelineRunCancelled状态提供的以前行为。注意Cancelled状态替换已弃用的PipelineRunCancelled状态,该状态将在v1版本中删除。
-
-
现在,您可以使用
oc debug命令将任务运行设置为 debug 模式,这会暂停执行并允许您检查 pod 中的特定步骤。 -
当您将一个步骤的
onError字段设置为continue时,会记录该步骤的退出代码并传递给后续步骤。但是,任务运行不会失败,任务中其余步骤的执行将继续。要保留现有的行为,您可以将onError字段的值设置为stopAndFail。 - 任务现在可以接受比实际使用更多的参数。启用 alpha 功能标记时,参数可以隐式传播到内联规格。例如,内联任务可以访问其父管道运行的参数,而不必为任务明确定义每个参数。
-
如果您为 alpha 功能启用标记,则
When表达式下的条件将仅适用于直接关联的任务,而不是任务的依赖项。要将When表达式应用到关联的任务及其依赖关系中,您必须将表达式与每个相依任务单独关联。请注意,进入下一步是 Tekton 的任何新 API 版本中When表达式的默认行为。现有的默认行为将被弃用,而由此更新替代。
当前发行版本允许您通过在
TektonConfig自定义资源(CR)中指定nodeSelector和tolerations值来配置节点选择。Operator 将这些值添加到它创建的所有部署中。-
要为 Operator 的控制器和 webhook 部署配置节点选择,请在安装 Operator 后编辑
SubscriptionCR 规格中的config.nodeSelector和config.tolerations字段。 -
要在基础架构节点上部署 OpenShift Pipelines 的其余 control plane pod,请使用
nodeSelector和tolerations字段更新TektonConfigCR。然后,修改会应用到 Operator 创建的所有 pod。
-
要为 Operator 的控制器和 webhook 部署配置节点选择,请在安装 Operator 后编辑
4.1.4.2. 已弃用的功能
-
在 CLI 0.21.0 中,已弃用了对
clustertask,task,taskrun,pipeline, 和pipelinerun的所有v1alpha1资源的支持。这些资源现已过时,并将在以后的发行版本中删除。
在 Tekton Triggers v0.16.0 中,冗余的
status标签已从EventListener资源的指标中删除。重要中断更改:
status标签已从eventlistener_http_duration_seconds_*指标中删除。删除基于status标签的查询。-
在当前发行版本中,
v1alpha1功能已弃用,并将在以后的发行版本中删除。在这个版本中,您可以改为使用v1beta1Go API 类型。触发器现在支持v1beta1API 版本。 在当前发行版本中,
EventListener资源会在触发器完成处理前发送响应。重要中断更改:使用此更改时,
EventListener资源会在创建资源时停止响应201 Created的状态代码。相反,它使用202 Accepted的响应代码进行响应。当前发行版本从
EventListener资源中删除podTemplate字段。重要中断更改:删除了作为 #1100 一部分的
podTemplate字段。当前发行版本从
EventListener资源规格中删除已弃用的replicas字段。重要中断更改:已弃用的
replicas字段已被删除。
在 Red Hat OpenShift Pipelines 1.6 中,
HOME="/tekton/home"和workingDir="/workspace"的值从Step对象的规格中删除。相反,Red Hat OpenShift Pipelines 将
HOME和workingDir设置为运行Step对象的容器定义的值。您可以在Step对象的规格中覆盖这些值。要使用旧的行为,您可以将
TektonConfigCR 中的disable-working-directory-overwrite和disable-home-env-overwrite字段改为false:apiVersion: operator.tekton.dev/v1alpha1 kind: TektonConfig metadata: name: config spec: pipeline: disable-working-directory-overwrite: false disable-home-env-overwrite: false ...重要TektonConfigCR 中的disable-working-directory-overwrite和disable-home-env-overwrite字段现已弃用,并将在以后的发行版本中删除。
4.1.4.3. 已知问题
-
当您运行 Maven 和 Jib-Maven 集群任务时,默认容器镜像仅支持 Intel(x86)架构。因此,在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x)集群上的任务将失败。作为临时解决方案,您可以通过将
MAVEN_IMAGE参数值设置为maven:3.6.3-adoptopenjdk-11来指定自定义镜像。 -
在 IBM Power Systems、IBM Z 和 LinuxONE 中,不支持
s2i-dotnet集群任务。 -
在您使用
tkn hub在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x) 上基于 Tekton Catalog 安装任务前,请验证是否可以在这些平台上执行任务。要检查ppc64le和s390x是否列在任务信息的"Platforms"部分,您可以运行以下命令:tkn hub info task <name> 您无法使用
nodejs:14-ubi8-minimal镜像流,因为这样做会生成以下错误:STEP 7: RUN /usr/libexec/s2i/assemble /bin/sh: /usr/libexec/s2i/assemble: No such file or directory subprocess exited with status 127 subprocess exited with status 127 error building at STEP "RUN /usr/libexec/s2i/assemble": exit status 127 time="2021-11-04T13:05:26Z" level=error msg="exit status 127"
4.1.4.4. 修复的问题
-
现在,IBM Power Systems、IBM Z 和 LinuxONE 支持
tkn hub命令。
-
在更新前,当用户运行
tkn命令并完成管道运行后,终端不可用,即使指定了retries也是如此。在任务运行或管道运行中指定超时无效。在这个版本中解决了这个问题,终端可以在运行命令后可用。 -
在更新前,运行
tkn pipelinerun delete --all会删除所有资源。在这个版本中,处于 running 状态的资源无法被删除。 -
在这个版本中,使用
tkn version --component=<component>命令不会返回组件版本。在这个版本中解决了这个问题,这个命令会返回组件版本。 -
在更新前,当您使用
tkn pr logs命令时,它会以错误的任务顺序显示管道输出日志。在这个版本中解决了这个问题,已完成的PipelineRuns的日志会在适当的TaskRun执行顺序中列出。
-
在这个版本中,编辑正在运行的管道规格可能会阻止管道运行在完成后停止。在这个版本中,只获取定义一次,然后使用存储在状态中的规格进行验证,从而解决了这个问题。当
PipelineRun或TaskRun指代的Pipeline或Task在运行时会发生变化,这个变化减少了出现竞争条件的可能性。 -
When表达式值可以有数组参数引用,例如values: [$(params.arrayParam[*])]。
4.1.4.5. Red Hat OpenShift Pipelines 正式发行版本 1.6.1 发行注记
4.1.4.5.1. 已知问题
从旧版本升级到 Red Hat OpenShift Pipelines 1.6.1 后,Pipelines 可能会进入不一致的状态,因为您无法对 Tekton 资源(tasks 和 pipelines)执行任何操作(create/delete/apply)。例如,在删除资源时,您可能会遇到以下错误:
Error from server (InternalError): Internal error occurred: failed calling webhook "validation.webhook.pipeline.tekton.dev": Post "https://tekton-pipelines-webhook.openshift-pipelines.svc:443/resource-validation?timeout=10s": service "tekton-pipelines-webhook" not found.
4.1.4.5.2. 修复的问题
Red Hat OpenShift Pipelines 设置的
SSL_CERT_DIR环境变量(/tekton-custom-certs)不会用证书文件覆盖以下默认系统目录:-
/etc/pki/tls/certs -
/etc/ssl/certs -
/system/etc/security/cacerts
-
- Horizontal Pod Autoscaler 可以管理 Red Hat OpenShift Pipelines Operator 控制的部署副本数。在这个发行版本中,如果最终用户或集群代理更改了计数,Red Hat OpenShift Pipelines Operator 不会重置管理的部署的副本计数。但是,升级 Red Hat OpenShift Pipelines Operator 时会重置副本。
-
现在,根据
TektonConfig自定义资源中指定的节点选择器和容限(toleration)限制将把tknCLI 的 pod 调度到节点上。
4.1.4.6. Red Hat OpenShift Pipelines 正式发行版本 1.6.2 发行注记
4.1.4.6.1. 已知问题
-
当您创建新项目时,
pipeline服务帐户的创建会被延迟,并删除现有集群任务和管道模板需要超过 10 分钟。
4.1.4.6.2. 修复的问题
-
在此次更新之前,在从旧版本升级到 Red Hat OpenShift Pipelines 1.6.1 后,会为管道创建多个 Tekton 安装程序集实例。在这个版本中,Operator 可确保升级后每个类型为
TektonInstallerSet的一个实例都存在。 - 在此次更新之前,Operator 中的所有协调程序都使用组件版本在升级到旧版本的 Red Hat OpenShift Pipelines 1.6.1 期间决定资源重新创建。因此,这些资源不会被重新创建,其组件版本没有在升级过程中改变。在这个版本中,Operator 使用 Operator 版本而不是组件版本来决定升级过程中的资源重新创建。
- 在此次更新之前,升级后,集群中缺少管道 Webhook 服务。这是因为配置映射上的升级死锁。在这个版本中,如果集群中不存在配置映射,添加了一个机制来禁用 Webhook 验证。因此,在升级后管道 Webhook 服务会保留在集群中。
- 在此次更新之前,在任何配置更改到命名空间后,自动运行操作的 cron 作业会被重新创建。在这个版本中,只有在命名空间中有相关注解改变时,才会重新创建 auto-pruning 的 cron 任务。
Tekton Pipelines 的上游版本被修订为
v0.28.3,它包括以下修复:-
修复
PipelineRun或TaskRun对象,以允许进行标签或注解。 对于隐式参数:
-
不要将
PipelineSpec参数应用到TaskRefs对象。 -
禁用
Pipeline对象的隐式参数行为。
-
不要将
-
修复
4.1.4.7. Red Hat OpenShift Pipelines 正式发布 1.6.3 发行注记
4.1.4.7.1. 修复的问题
在此次更新之前,Red Hat OpenShift Pipelines Operator 从组件(如 Pipelines 和 Triggers)中安装 Pod 安全策略。但是,作为组件的一部分提供的 Pod 安全策略在以前的版本中已被弃用。在这个版本中,Operator 会停止从组件安装 Pod 安全策略。因此,以下升级路径会受到影响:
- 从 Pipelines 1.6.1 或 1.6.2 升级到 Pipelines 1.6.3 会删除 Pod 安全策略,包括 Pipelines 和 Triggers 组件中的 Pod 安全策略。
从 Pipelines 1.5.x 升级到 1.6.3 会保留从组件安装的 Pod 安全策略。作为集群管理员,您可以手动删除它们。
注意当您升级到将来的版本时,Red Hat OpenShift Pipelines Operator 会自动删除所有过时的 Pod 安全策略。
- 在此次更新之前,只有集群管理员才能访问 OpenShift Container Platform 控制台中的管道指标。在这个版本中,与其他集群角色的用户也可以访问管道指标。
- 在此次更新之前,带有 Pipelines Operator 的基于角色的访问控制(RBAC)问题会导致升级或安装组件的问题。这个版本提高了安装各种 Red Hat OpenShift Pipelines 组件的可靠性和一致性。
-
在此次更新之前,在
TektonConfigCR 中将clusterTasks和pipelineTemplates字段设置为false时,会降低删除集群任务和管道模板。这个版本提高了 Tekton 资源(如集群任务和管道模板)的生命周期管理速度。
4.1.4.8. Red Hat OpenShift Pipelines 正式发布 1.6.4 发行注记
4.1.4.8.1. 已知问题
从 Red Hat OpenShift Pipelines 1.5.2 升级到 1.6.4 后,访问事件监听程序路由会返回
503错误。临时解决方案:修改事件监听器路由的 YAML 文件中的目标端口。
为相关命名空间提取路由名称。
$ oc get route -n <namespace>
编辑路由以修改
targetPort字段的值。$ oc edit route -n <namespace> <el-route_name>
示例:现有事件监听程序路由
... spec: host: el-event-listener-q8c3w5-test-upgrade1.apps.ve49aws.aws.ospqa.com port: targetPort: 8000 to: kind: Service name: el-event-listener-q8c3w5 weight: 100 wildcardPolicy: None ...示例:修改事件监听程序路由
... spec: host: el-event-listener-q8c3w5-test-upgrade1.apps.ve49aws.aws.ospqa.com port: targetPort: http-listener to: kind: Service name: el-event-listener-q8c3w5 weight: 100 wildcardPolicy: None ...
4.1.4.8.2. 修复的问题
-
在此次更新之前,如果任何命名空间处于
Terminating状态,Operator 会在创建 RBAC 资源时失败。在这个版本中,Operator 忽略了命名空间处于Terminating状态,并创建 RBAC 资源。 - 在此次更新之前,该任务会在没有注解指定关联的 Tekton 控制器发行版本而运行失败或重启。在这个版本中,包含适当的注解会被自动运行,没有失败或重启的任务。
4.1.5. Red Hat OpenShift Pipelines 正式发行 1.5 发行注记
Red Hat OpenShift Pipelines General Availability (GA) 1.5 现在包括在 OpenShift Container Platform 4.8 中。
4.1.5.1. 兼容性和支持列表
这个版本中的一些功能当前还只是一个技术预览。它们并不适用于在生产环境中使用。
在下表中,被标记为以下状态的功能:
| TP | 技术预览 |
| GA | 公开发行 |
请参阅红帽门户网站中关于对技术预览功能支持范围的信息:
| 功能 | 版本 | 支持状态 |
|---|---|---|
| Pipelines | 0.24 | GA |
| CLI | 0.19 | GA |
| 目录 | 0.24 | GA |
| 触发器 | 0.14 | TP |
| Pipeline 资源 | - | TP |
如果您有疑问或希望提供反馈信息,请向产品团队发送邮件 pipelines-interest@redhat.com。
4.1.5.2. 新功能
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.5 中的新内容。
Pipeline 运行和任务运行将由目标命名空间中的 cron 作业自动修剪。cron 作业使用
IMAGE_JOB_PRUNER_TKN环境变量来获取tkn image的值。在这个版本中,TektonConfig自定义资源包括以下字段:... pruner: resources: - pipelinerun - taskrun schedule: "*/5 * * * *" # cron schedule keep: 2 # delete all keeping n ...在 OpenShift Container Platform 中,您可以通过修改
TektonConfig自定义资源中的新参数clusterTasks和pipelinesTemplates的值来自定义 Tekton Add-ons 组件的安装:apiVersion: operator.tekton.dev/v1alpha1 kind: TektonConfig metadata: name: config spec: profile: all targetNamespace: openshift-pipelines addon: params: - name: clusterTasks value: "true" - name: pipelineTemplates value: "true" ...如果您使用
TektonConfig创建附加组件,或者直接使用 Tekton Add-ons 创建附加组件,则允许进行自定义。但是,如果没有传递参数,控制器会添加带有默认值的参数。注意-
如果使用
TektonConfig自定义资源创建附加组件,并且稍后在Addon自定义资源中更改参数值,则TektonConfig自定义资源中的值将覆盖更改。 -
只有在
clusterTasks参数的值为true时,才可将pipelinesTemplates参数的值设置为true。
-
如果使用
enableMetrics参数添加到TektonConfig自定义资源中。您可以使用它来禁用服务监控器,这是 OpenShift Container Platform 的 Tekton Pipelines 的一部分。apiVersion: operator.tekton.dev/v1alpha1 kind: TektonConfig metadata: name: config spec: profile: all targetNamespace: openshift-pipelines pipeline: params: - name: enableMetrics value: "true" ...- 添加了 EventListener OpenCensus 指标(在进程级别捕获指标)。
- 触发器现在具有标签选择器;您可以使用标签为事件监听程序配置触发器。
添加了用于注册拦截器的
ClusterInterceptor自定义资源定义,允许您注册您可以插入的新Interceptor类型。另外,还会进行以下相关更改:-
在触发器规格中,您可以使用包含
ref字段的新 API 来配置拦截器来引用集群拦截器。另外,您可以使用params字段添加传递到拦截器进行处理的参数。 -
捆绑的拦截器 CEL、GitHub、GitLab 和 BitBucket 已迁移。它们使用新的
ClusterInterceptor自定义资源定义来实施。 -
核心拦截器迁移到新格式,使用旧语法创建的任何新触发器都会自动切换到新的
ref或params语法。
-
在触发器规格中,您可以使用包含
-
要在显示日志时禁用任务名称的前缀或步骤,可将
--prefix选项用于log命令。 -
要显示特定组件的版本,请使用
tkn version命令中的新的--component标志。 -
添加了
tkn hub check-upgrade命令,其他命令会根据管道版本进行修改。此外,search命令输出中也会显示目录名称。 -
在
start命令中添加了对可选工作区的支持。 -
如果
plugins目录中不存在插件,则会在当前路径中搜索它们。 tkn start [task | clustertask | pipeline]命令以互动方式启动,并询问params值,即使指定了默认参数也是如此。若要停止交互式提示,可在调用 命令时传递--use-param-defaults标志。例如:$ tkn pipeline start build-and-deploy \ -w name=shared-workspace,volumeClaimTemplateFile=https://raw.githubusercontent.com/openshift/pipelines-tutorial/pipelines-1.7/01_pipeline/03_persistent_volume_claim.yaml \ -p deployment-name=pipelines-vote-api \ -p git-url=https://github.com/openshift/pipelines-vote-api.git \ -p IMAGE=image-registry.openshift-image-registry.svc:5000/pipelines-tutorial/pipelines-vote-api \ --use-param-defaults-
version字段在tkn task describe命令中添加。 -
如果只有一个资源,则会自动选择
TriggerTemplate或TriggerBinding或ClusterTriggerBinding或Eventlistener等资源的选项会添加到describe命令中。 -
在
tkn pr describe命令中添加了跳过的任务部分。 -
添加了对
tkn clustertask logs的支持。 -
移除
config.yaml中的 YAML 合并和变量。另外,现在kustomize和ytt等工具可以更轻松地使用release.yaml文件。 - 添加了对包含句点字符(".")的资源名称的支持。
-
PodTemplate规格中的hostAliases数组添加到主机名解析的 pod 级别覆盖中。它通过修改/etc/hosts文件来实现。 -
引入了一个变量
$(tasks.status),用于访问任务的聚合执行状态。 - 为 Windows 添加入口点二进制构建。
4.1.5.3. 已弃用的功能
在
when表达式中,对写入的字段的支持会被删除。when表达式仅支持使用小写字母编写的字段。注意如果您在 Tekton Pipelines
v0.16(Operatorv1.2.x) 中应用了一个带有when表达式的管道,则必须重新应用它。当您将 Red Hat OpenShift Pipelines Operator 升级到
v1.5时,openshift-client和openshift-client-v-1-5-0集群任务会具有SCRIPT参数。但是,ARGS参数和git资源会从openshift-client集群任务的规格中删除。这个变化可能会造成问题,只有在ClusterTask资源的name字段中没有特定版本的集群任务才可以无缝地进行升级。要防止管道运行出现问题,在升级后使用
SCRIPT参数,因为它会将之前在ARGS参数中指定的值移到集群任务的SCRIPT参数中。例如:... - name: deploy params: - name: SCRIPT value: oc rollout status <deployment-name> runAfter: - build taskRef: kind: ClusterTask name: openshift-client ...当您从 Red Hat OpenShift Pipelines Operator
v1.4升级到v1.5时,TektonConfig自定义资源的配置集名称现在会改变。表 4.3. TektonConfig 自定义资源的配置集 Pipelines 1.5 中的配置集 Pipelines 1.4 中的对应的配置集 安装的 Tekton 组件 All (默认配置集)
All (默认配置集)
Pipelines、Triggers、Add-ons
Basic
默认
Pipelines、Triggers
Lite
Basic
Pipelines
注意如果在
TektonConfig自定义资源的config实例中使用profile: all,则不需要更改资源规格。但是,如果安装的 Operator 在升级前是 Default 或 Basic 配置集,则必须在升级后编辑
TektonConfig自定义资源的config实例。例如,如果配置在升级前是profile: basic,请确保在升级到 Pipelines 1.5 后为profile: lite。disable-home-env-overwrite和disable-working-dir-overwrite字段现已弃用,并将在以后的发行版本中删除。在本发行版本中,这些标志的默认值被设置为true,以便向后兼容。注意在下一个发行版本 (Red Hat OpenShift Pipelines 1.6) 中,
HOME环境变量不会自动设置为/tekton/home,对于任务运行的默认工作目录也不会设置为/workspace。这些默认设置与步骤中镜像 Dockerfile 设置的任何值冲突。-
ServiceType和podTemplate字段已从EventListenerspec 中删除。 - 控制器服务帐户不再请求集群范围的权限来列出和监视命名空间。
EventListener资源的状态有一个名为Ready的新条件。注意将来,
EventListener资源的其他状态条件将会被弃用,而使用Ready状态条件。-
EventListener响应中的eventListener和namespace字段已弃用。现在改为使用eventListenerUID字段。 replicas在EventListenerspec 中已被弃用。相反,spec.replicas字段移到KubernetesResourcespec 中的spec.resources.kubernetesResource.replicas。注意replicas字段将在以后的发行版本中删除。-
配置内核拦截器的旧方法已弃用。但是,它会继续正常工作,直到在以后的版本中被删除。现在,
Trigger资源中的拦截器被配置为使用新的基于ref和params的语法。生成的默认 webhook 会自动将旧语法的使用切换为新触发器的新语法。 -
对于
ClusterRoleBinding资源,使用Userbac.authorization.k8s.io/v1而不是已弃用的deprecatedrbac.authorization.k8s.io/v1beta1。 -
在集群角色中,对资源(如
serviceaccounts、secrets、configmaps和limitranges等)的集群范围的写访问权限已被移除。另外,对资源(如deployments、statefulsets和deployment/finalizers等)的集群范围的访问权限也被移除。 -
Tekton 不再使用
caching.internal.knative.dev组中的image自定义资源定义,它已在此发行版本中排除。
4.1.5.4. 已知问题
git-cli 集群任务使用 alpine/git 基础镜像构建,它预期
/root作为用户的主目录。但是,这并没有在git-cli集群任务中显式设置。在 Tekton 中,任务的每个步骤都会使用
/tekton/home覆盖默认主目录,除非另有指定。这会覆盖基础镜像的$HOME环境变量,从而导致git-cli集群任务失败。此问题有望在即将发布的版本中解决。对于 Red Hat OpenShift Pipelines 1.5 及更早的版本,您可以使用以下任一临时解决方案来避免
git-cli集群任务失败:在步骤中设置
$HOME环境变量,使其不会被覆盖。-
[可选] 如果您使用 Operator 安装了 Red Hat OpenShift Pipelines,然后将
git-cli集群任务克隆到一个单独的任务中。此方法可确保 Operator 不会覆盖对集群任务所做的更改。 -
执行
oc edit clustertasks git-cli命令。 将预期的
HOME环境变量添加到步骤的 YAML 中:... steps: - name: git env: - name: HOME value: /root image: $(params.BASE_IMAGE) workingDir: $(workspaces.source.path) ...警告对于 Operator 安装的 Red Hat OpenShift Pipelines,如果您在更改
HOME环境变量前没有将git-cli集群任务克隆到单独的任务中,则会在 Operator 协调过程中覆盖更改。
-
[可选] 如果您使用 Operator 安装了 Red Hat OpenShift Pipelines,然后将
禁用在
feature-flags配置映射中覆盖HOME环境变量。-
执行
oc edit -n openshift-pipelines configmap feature-flags命令。 将
disable-home-env-overwrite标志的值设置为true。警告- 如果使用 Operator 安装 Red Hat OpenShift Pipelines,则在 Operator 协调过程中会覆盖更改。
-
修改
disable-home-env-overwrite标志的默认值可能会破坏其他任务和集群任务,因为它会更改所有任务的默认值。
-
执行
为
git-cli集群任务使用其他服务帐户,因为在使用管道的默认服务帐户时会覆盖HOME环境变量。- 创建新服务帐户。
- 将您的 Git secret 链接到您刚才创建的服务帐户。
- 在执行任务或管道时使用服务帐户。
-
在 IBM Power Systems、IBM Z 和 LinuxONE 中,不支持
s2i-dotnet集群任务和tkn hub命令。 -
当您运行 Maven 和 Jib-Maven 集群任务时,默认容器镜像仅支持 Intel(x86)架构。因此,在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x)集群上的任务将失败。作为临时解决方案,您可以通过将
MAVEN_IMAGE参数值设置为maven:3.6.3-adoptopenjdk-11来指定自定义镜像。
4.1.5.5. 修复的问题
-
dag任务中的when表达式不允许指定任何其他任务访问执行状态的上下文变量 ($(tasks.<pipelineTask>.status))。 -
使用 Owner UID 而不是 Owner 名称,这有助于在
PipelineRun资源快速删除并重新创建的情况下,避免通过删除volumeClaimTemplatePVC 创建的竞争条件。 -
为非 root 用户触发的
build-base镜像添加了pullrequest-init的新 Dockerfile。 -
当一个管道或任务在运行时使用
-f选项,且它的定义中的param中没有定义type,将生成一个验证错误,而不是管道或任务以静默方式运行失败。 -
对于
tkn start [task | pipeline | clustertask]命令,--workspace标记的描述现在一致。 - 在解析参数时,如果遇到空数组,则对应的交互式帮助现在会显示为空字符串。
4.1.6. Red Hat OpenShift Pipelines 正式发布 1.4 发行注记
Red Hat OpenShift Pipelines General Availability(GA)1.4 现在包括在 OpenShift Container Platform 4.7 中。
除了 stable 和 preview Operator 频道外,Red Hat OpenShift Pipelines Operator 1.4.0 还带有 ocp-4.6、ocp-4.5 和 ocp-4.4 弃用的频道。这些过时的频道及其支持将在以下 Red Hat OpenShift Pipelines 发行版本中删除。
4.1.6.1. 兼容性和支持列表
这个版本中的一些功能当前还只是一个技术预览。它们并不适用于在生产环境中使用。
在下表中,被标记为以下状态的功能:
| TP | 技术预览 |
| GA | 公开发行 |
请参阅红帽门户网站中关于对技术预览功能支持范围的信息:
| 功能 | 版本 | 支持状态 |
|---|---|---|
| Pipelines | 0.22 | GA |
| CLI | 0.17 | GA |
| 目录 | 0.22 | GA |
| 触发器 | 0.12 | TP |
| Pipeline 资源 | - | TP |
如果您有疑问或希望提供反馈信息,请向产品团队发送邮件 pipelines-interest@redhat.com。
4.1.6.2. 新功能
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.4 中的新内容。
自定义任务有以下改进:
- Pipeline 结果现在可以引用自定义任务生成的结果。
- 自定义任务现在可以使用工作区、服务帐户和 pod 模板来构建更复杂的自定义任务。
finally的任务包括以下改进:-
在
finally任务中支持when表达式,它可以有效地保证执行,并提高了任务的可重复使用性。 finally任务可以被配置为消耗同一管道中任何任务的结果。注意OpenShift Container Platform 4.7 web 控制台中不支持
when表达式和finally任务。
-
在
-
添加了对
dockercfg或dockerconfigjson类型的多个 secret 的支持,以便在运行时进行身份验证。 -
添加支持
git-clone任务的 sparse-checkout 的功能。这可让您将存储库的子集克隆为本地副本,并帮助您限制克隆的存储库的大小。 - 您可以创建管道以待处理状态运行,而无需实际启动它们。在负载非常重的集群中,这允许 Operator 控制管道运行的开始时间。
-
确保为控制器手动设置
SYSTEM_NAMESPACE环境变量 ; 这在之前被默认设置。 -
现在,一个非 root 用户被添加到管道的构建基础镜像中,以便
git-init能够以非 root 用户身份克隆存储库。 - 支持在管道运行启动前在已解析的资源间验证依赖项。管道中的所有结果变量都必须有效,管道中的可选工作区只能传递给期望管道启动运行的任务。
- controller 和 Webhook 作为非 root 组运行,并且删除了它们的多余功能,以使它们更加安全。
-
您可以使用
tkn pr logs命令查看重试任务运行的日志流。 -
您可以使用
tkn tr delete命令中的--clustertask选项删除与特定集群任务关联的所有任务。 -
通过引入一个新的
customResource字段,增加了对在EventListener资源中使用 Knative 服务的支持。 - 当事件有效负载没有使用 JSON 格式时,会显示错误消息。
-
源控制拦截器(如 GitLab、BitBucket 和 GitHub)现在使用新的
InterceptorRequest或InterceptorResponse类型的接口。 -
新的 CEL 功能
marsagingJSON被实现,以便您可以将 JSON 对象或数组编码到字符串。 -
为 CEL 添加了 HTTP 处理器,并添加了源控制内核拦截器。它将四个核心拦截器打包到单一 HTTP 服务器中,该服务器部署在
tekton-pipelines命名空间中。EventListener对象通过 HTTP 服务器将事件转发到拦截器。每个拦截器都位于不同的路径。例如,CEL 拦截器位于/cel路径中。 pipelines-scc安全性上下文约束(SCC)与默认的pipeline服务帐户一同使用。此新服务帐户与anyuid类似,但 OpenShift Container Platform 4.7 的 SCC 在 YAML 中定义中有一个小的差别:fsGroup: type: MustRunAs
4.1.6.3. 已弃用的功能
-
不支持 pipeline 资源存储中的
build-gcs子类型和gcs-fetcher镜像。 -
在集群任务的
TaskRun字段中,删除标签tekton.dev/task。 -
对于 webhook,移除了与字段
admissionReviewVersions对应的v1beta1值。 -
用于构建和部署的
creds-init帮助程序镜像已被删除。 在触发器 spec 和绑定中,弃用的字段
template.name已被删除,并使用template.ref替代。您应该更新所有eventListener定义,以使用ref字段。注意从 Pipelines 1.3.x 和早期版本升级到 Pipelines 1.4.0 会中断事件监听程序,因为
template.name字段不可用。在这种情况下,使用 Pipelines 1.4.1 来提供恢复的template.name字段。-
对于
EventListener自定义资源/对象,PodTemplate和ServiceType字段已弃用,并使用Resource替代。 - 过时的 spec 风格内嵌绑定已被删除。
-
spec字段已从triggerSpecBinding中删除。 - 事件 ID 已从包括五个字符的随机字符串改为 UUID。
4.1.6.4. 已知问题
- 在 Developer 视角中,管道指标和触发器功能仅适用于 OpenShift Container Platform 4.7.6 或更高版本。
-
在 IBM Power Systems、IBM Z 和 LinuxONE 中,不支持
tkn hub命令。 -
当您在 IBM Power Systems(ppc64le)、IBM Z 和 LinuxONE(s390x)集群上运行 Maven 和 Jib Maven 集群任务时,将
MAVEN_IMAGE参数值设置为maven:3.6.3-adoptopenjdk-11。 如果您在触发器绑定中有以下配置,触发器会因为不正确处理 JSON 格式抛出错误:
params: - name: github_json value: $(body)要解决这个问题:
-
如果您使用触发器 v0.11.0 及更高版本,请使用
marshalJSONCEL 函数,该函数使用 JSON 对象或数组,并将该对象或数组的 JSON 编码作为字符串返回。 如果使用旧的触发器版本,请在触发器模板中添加以下注解:
annotations: triggers.tekton.dev/old-escape-quotes: "true"
-
如果您使用触发器 v0.11.0 及更高版本,请使用
- 当从 Pipelines 1.3.x 升级到 1.4.x 时,您必须重新创建路由。
4.1.6.5. 修复的问题
-
在以前的版本中,
tekton.dev/task标签已从集群任务运行中删除,并且引进了tekton.dev/clusterTask标签。此更改导致的问题可以通过修复clustertask describe和delete命令来解决。另外,也修改了任务的lastrun功能,从而解决应用到在旧版管道中运行任务中的tekton.dev/task标签的问题。 -
当进行交互式
tkn pipeline start pipelinename时,会以互动方式创建一个PipelineResource。如果资源状态不是nil,tkn p start命令会输出资源状态。 -
在以前的版本中,
tekton.dev/task=name标签已从集群任务创建的任务中删除。在这个版本中,使用--last标志修改tkn clustertask start命令,以检查所创建的任务运行中的tekton.dev/task=name标签。 -
当任务使用内联任务规格时,在运行
tkn pipeline describe命令时对应的任务运行会被嵌入到管道中,任务名称返回为内嵌。 -
修复了
tkn version命令,显示已安装的 Tekton CLI 工具的版本,无需配置的kubeConfiguration命名空间或对集群的访问。 -
如果使用意外的参数或者使用多个参数,则
tkn completion命令会出错。 -
在以前的版本中,当管道转换为
v1alpha1版本并恢复到v1beta1版本时,带有嵌套在一个管道规格中的finally的任务将会丢失那些finally任务。修复了转换过程中发生的这个错误,以避免潜在的数据丢失。现在,带有嵌套在管道规格中的finally任务的管道运行会被序列化并存储在 alpha 版本中,它们只会在以后进行反序列化。 -
在以前的版本中,当服务帐户中的
secrets字段被设置为{}时,pod 生成中会出现一个错误。任务运行失败,显示CouldntGetTask,因为带有空 secret 名称的 GET 请求返回了一个错误,表示资源名称可能不是空的。这个问题已通过避免kubeclientGET 请求中的空 secret 名称来解决。 -
现在,可以请求带有
v1beta1API 版本的管道和v1alpha1版本,而不会丢失finall任务。应用返回的v1alpha1版本将以v1beta1来保存资源,finally部分恢复到其原始状态。 -
在以前的版本中,控制器中的一个未设置的
selfLink字段在 Kubernetes v1.20 集群中造成错误。作为一个临时修复,在没有自动填充的selfLink字段的值时,CloudEventsource 字段被设置为与当前源 URI 匹配的值。 -
在以前的版本中,带有点(如
gcr.io)的 secret 名称会导致任务运行创建失败。这是因为内部使用的 secret 名称作为卷挂载名称的一部分。卷挂载名称遵循 RFC1123 DNS 标签标准,它不允许使用点作为名称的一部分。这个问题已通过将点替换为横线来解决。 -
现在,上下文变量会在
finally任务中进行验证。 -
在以前的版本中,当任务运行协调器传递了一个任务运行,且没有之前的状态更新,其中包含它创建的 pod 的名称时,任务运行协调程序会列出与任务运行关联的 pod。任务运行协调程序使用任务运行标签(被传播到 pod)来查找 pod。在任务运行期间更改这些标签,会导致代码找不到现有的 pod。因此,会创建重复的 pod。这个问题已通过在查找 pod 时将任务运行协调器更改为只使用
tekton.dev/taskRunTekton 控制的标签来解决。 - 在以前的版本中,当管道接受一个可选的工作区并将其传递给管道任务时,如果未提供工作区,管道运行协调器会停止并出错,即使缺少的工作区绑定是可选工作区的有效状态。这个问题已被解决,确保管道运行的协调器不会无法创建任务运行,即使未提供可选的工作区。
- 排序步骤状态的顺序与步骤容器的顺序匹配。
-
在以前的版本中,当 Pod 遇到
CreateContainerConfigError原因时,任务运行状态被设置为unknown,这意味着任务和管道会运行,直到 pod 超时为止。这个问题已通过将任务运行状态设置为false来解决这个问题,因此当 pod 遇到CreateContainerConfigError原因时,任务被设置为 failed。 -
在以前的版本中,管道结果会在管道运行完成后在第一次协调时解析。这可能会导致管道运行的
Succeeded条件被覆盖。因此,最终状态信息丢失,可能会使监视管道运行条件的任何服务混淆。当管道运行进入Succeeded或True条件时,这个问题可以通过将管道结果解析移到协调结束时来解决。 - 现在,执行状态变量已被验证。这可避免在验证上下文变量来访问执行状态时验证任务结果。
- 在以前的版本中,包含无效变量的管道结果将添加到管道运行中,并包含变量的字面表达式。因此,很难评估结果是否正确填充。这个问题已通过过滤管道运行结果来解决,该结果引用了失败的任务运行。现在,包含无效变量的管道结果将完全不会被管道运行发送。
-
现在,
tkn eventlistener describe命令已被修复,以避免在没有模板的情况下崩溃。它还显示有关触发器引用的详情。 -
由于
template.name不可用,从 Pipelines 1.3.x 及早期版本升级到 Pipelines 1.4.0 会破坏事件监听程序。在 Pipelines 1.4.1 中,template.name已恢复,以避免触发器中的事件监听程序。 -
在 Pipelines 1.4.1 中,
ConsoleQuickStart自定义资源已更新,以符合 OpenShift Container Platform 4.7 的功能和行为。
4.1.7. Red Hat OpenShift Pipelines 技术预览 1.3 发行注记
4.1.7.1. 新功能
Red Hat OpenShift Pipelines 技术预览(TP)1.3 现在包括在 OpenShift Container Platform 4.7 中。Red Hat OpenShift Pipelines TP 1.3 更新为支持:
- Tekton Pipelines 0.19.0
-
Tekton
tknCLI 0.15.0 - Tekton Triggers 0.10.2
- 基于 Tekton Catalog 0.19.0 的集群任务
- OpenShift Container Platform 4.7 中的 IBM Power Systems
- OpenShift Container Platform 4.7 上的 IBM Z 和 LinuxONE
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.3 中的新内容。
4.1.7.1.1. Pipelines
- 构建镜像的任务,如 S2I 和 Buildah 任务,现在发出构建的镜像 URL,其中包含镜像 SHA。
-
由于
Conditions自定义资源定义(CRD)已弃用,管道任务中引用自定义资源的条件会被禁止。 -
现在,在
TaskCRD 中为以下字段添加了变量扩展:spec.steps[].imagePullPolicy和spec.sidecar[].imagePullPolicy。 -
您可以通过将
disable-creds-initfeature-flag 设置为true来禁用 Tekton 中的内置凭证机制。 -
现在,当在
PipelineRun配置的Status字段中的Skipped Tasks和Task Runs部分中列出了表达式时,可以解析。 -
git init命令现在可以克隆递归子模块。 -
现在,
TaskCR 的作者可以为Taskspec 的一个步骤指定超时。 -
现在,您可以将入口点镜像基于
distroless/static:nonroot镜像,赋予将其复制到目的地的模式,而无需依赖基础镜像中存在的cp命令。 -
现在,您可以使用配置标记
require-git-ssh-secret-known-hosts来禁止在 Git SSH secret 中省略已知主机。当标志值设为true时,必须在 Git SSH secret 中包含known_host字段。标志的默认值为false。 - 现在引进了可选工作区的概念。任务或管道可能会声明一个工作区(workspace),并有条件地更改其行为。任务运行或管道运行可能省略了工作区,因此修改任务或管道行为。默认任务运行工作区不会添加到忽略的可选工作区。
- 现在,在 Tekton 中进行凭证初始化会检测一个与非 SSH URL 搭配使用的 SSH 凭证,而 Git pipeline 资源与 Git pipeline 资源相同,并在步骤容器中记录警告。
- 如果 pod 模板指定的关联性被关联性代理覆盖,则任务运行控制器会发出警告事件。
- 任务运行协调程序现在记录了在任务运行完成后发送的云事件的指标。这包括重试。
4.1.7.1.2. Pipelines CLI
-
现在,在以下命令中添加了对
--no-headers flag的支持:tkn condition list、tkn triggerbinding list、tkn eventlistener list、tkn clustertask list、tkn clustertriggerbinding list。 -
当一起使用时,
--last或--use选项会覆盖--prefix-name和--timeout选项。 -
现在,添加了
tkn eventlistener logs命令来查看EventListener日志。 -
tekton hub命令现在被集成到tknCLI。 -
--nocolour选项现在改为--no-color。 -
--all-namespaces标志添加到以下命令中:tkn triggertemplate list、tkn condition list、tkn triggerbinding list、tkn eventlistener list。
4.1.7.1.3. 触发器
-
现在,您可以在
EventListener模板中指定资源信息。 -
现在,
EventListener服务帐户除具有所有触发器资源的getverb 外,还具有list和watchverb。这可让您使用Listers从EventListener、Trigger、TriggerBinding、TriggerTemplate和ClusterTriggerBinding资源中获取数据。您可以使用此功能创建Sink对象,而不是指定多个通知器,直接向 API 服务器发出调用。 -
添加了一个新的
Interceptor接口,以支持不可变的输入事件正文。拦截器现在可以在一个新的extensions字段中添加数据或字段,且无法修改输入正文使其不可变。CEL 拦截器使用这个新的Interceptor接口。 -
在
EventListener资源中添加了一个namespaceSelector字段。使用它来指定EventListener资源可以从中获取用于处理事件的Trigger对象的命名空间。要使用namespaceSelector字段,EventListener资源的服务帐户必须具有集群角色。 -
触发器
EventListener资源现在支持到eventlistenerpod 的端到端安全连接。 -
在
TriggerTemplates资源中把"替换为\"的转义行为现在已被删除。 -
一个支持 Kubernetes 资源的、新的
resources项已作为EventListenerspec 的一部分被添加。 - 添加了对 CEL 拦截器的新功能,它支持 ASCII 字符串的大写和小写。
-
您可以使用触发器中的
name和value字段,或事件监听程序来嵌入TriggerBinding资源。 -
PodSecurityPolicy配置已更新,可在受限环境中运行。它确保容器必须以非 root 运行。另外,使用 Pod 安全策略的基于角色的访问控制也从集群范围移到命名空间范围。这样可确保触发器无法使用与命名空间不相关的其他 Pod 安全策略。 -
现在,添加了对内嵌触发器模板的支持。您可以使用
name字段来指代嵌入的模板,或者在spec字段中嵌入模板。
4.1.7.2. 已弃用的功能
-
使用
PipelineResourcesCRD 的管道模板现已弃用,并将在以后的发行版本中删除。 -
template.name字段已弃用,被template.ref字段替代,并将在以后的发行版本中删除。 -
使用
-c作为--check命令的缩写已被删除。另外,全局tkn标志被添加到version命令中。
4.1.7.3. 已知问题
-
CEL 覆盖在新的顶层
extensions功能中添加字段,而不是修改传入的事件正文。TriggerBinding资源可以使用$(extensions.<key>)语法访问这个新extensions功能中的值。更新您的绑定,使用$(extensions.<key>)语法而不是$(body.<overlay-key>)语法。 -
把
"替换为\"的参数转义行为现在已被删除。如果您需要保留旧的转义参数行为,请在TriggerTemplate规格中添加tekton.dev/old-escape-quotes: true"注解。 -
您可以使用触发器中的
name和value字段,或事件监听程序来嵌入TriggerBinding资源。但是,您无法为单个绑定指定name和ref字段。使用ref字段引用TriggerBinding资源以及内嵌绑定的name字段。 -
拦截器无法试图引用
EventListener资源命名空间以外的secret。您必须在 'EventListener' 资源的命名空间中包含 secret。 -
在 Triggers 0.9.0 及之后的版本中,如果基于正文或标头的
TriggerBinding参数在事件有效负载中缺失或格式不正确,则使用默认值而不是显示错误。 -
通过使用 Tekton Pipelines 0.16.x 的
WhenExpression对象创建的任务和管道必须重新应用来修复它们的 JSON 注解。 - 当管道接受一个可选的工作区,并将其提供给某个任务时,如果未提供工作区,管道会运行停止。
- 要在断开连接的环境中使用 Buildah 集群任务,请确保 Dockerfile 使用作为基础镜像的内部镜像流,然后使用与任何 S2I 集群任务相同的方法。
4.1.7.4. 修复的问题
-
CEL 拦截器添加的扩展通过在事件正文中添加
Extensions字段传递给 Webhook 拦截器。 -
现在,日志读取器的活动超时可以使用
LogOptions字段进行配置。但是,10 秒的默认超时行为会被保留。 -
当一个任务运行或管道运行完成后,
log命令会忽略--follow标记,它会读取可用的日志而不是实时的日志。 -
对以下 Tekton 资源的引用现在标准化,并在
tkn命令中的所有面向用户的信息中保持一致:EventListener、TriggerBinding、ClusterTriggerBinding、Condition和TriggerTemplate。 -
在以前的版本中,如果您启动了使用
--use-taskrun <canceled-task-run-name>、--use-pipelinerun <canceled-pipeline-run-name>或--last标记的、已被取消的任务运行或管道运行,新的运行将会被取消。这个程序漏洞现已解决。 -
现在,
tkn pr desc命令已被改进,以便在管道有条件运行时不会失败。 -
当使用
--task选项删除使用tkn tr delete运行的任务时,且集群任务具有相同名称的集群任务存在时,集群任务运行的任务也会被删除。作为临时解决方案,使用TaskRefKind字段过滤运行的任务。 -
tkn triggertemplate describe命令在输出中只会显示apiVersion值的一部分。例如,只显示triggers.tekton.dev,而不是triggers.tekton.dev/v1alpha1。这个程序漏洞现已解决。 - 在某些情况下,webhook 无法获取租期且无法正常工作。这个程序漏洞现已解决。
- 在 v0.16.3 中创建的带有 when 表达式的管道现在可以在 v0.17.1 及之后的版本中运行。升级后,您不需要重新应用之前版本中创建的管道定义,因为现在支持注解中第一个字母的大写和小写。
-
默认情况下,
leader-election-ha字段为高可用性启用。当disable-ha控制器标记设置为true时,它会禁用高可用性支持。 - 现在,解决了重复云事件的问题。现在,只有在条件改变状态、原因或消息时才发送云事件。
-
当
PipelineRun或TaskRunspec 中没有服务帐户名称时,控制器会使用config-defaults配置映射中的服务帐户名称。如果在config-defaults配置映射中也缺少服务帐户名称,控制器现在会在 spec 中将其设置为default。 - 现在,当同一个持久性卷声明用于多个工作区,但具有不同子路径时,支持验证是否与关联性偏好兼容。
4.1.8. Red Hat OpenShift Pipelines 技术预览 1.2 发行注记
4.1.8.1. 新功能
Red Hat OpenShift Pipelines 技术预览(TP)1.2 现在包括在 OpenShift Container Platform 4.6 中。Red Hat OpenShift Pipelines TP 1.2 更新为支持:
- Tekton Pipelines 0.16.3
-
Tekton
tknCLI 0.13.1 - Tekton Triggers 0.8.1
- 基于 Tekton Catalog 0.16 的集群任务
- OpenShift Container Platform 4.6 中的 IBM Power Systems
- OpenShift Container Platform 4.6 上的 IBM Z 和 LinuxONE
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.2 中的新内容。
4.1.8.1.1. Pipelines
此 Red Hat OpenShift Pipelines 发行版本添加了对断开连接的安装的支持。
注意IBM Power Systems、IBM Z 和 LinuxONE 目前不支持在受限环境中安装。
-
现在,您可以使用
when字段而不是conditions资源,仅在满足特定条件时运行任务。WhenExpression资源的关键组件是Input、Operator和Values。如果所有表达式都评估的结果都为True, 则任务运行。如果表达式评估的结果为False,则任务被跳过。 - 现在,如果某个任务运行被取消或超时,则步骤(Step)状态被更新。
-
现在,支持 Git 大文件存储(LFS)来使用
git-init构建基础镜像。 -
现在,当某个任务嵌入到管道中时,您可以使用
taskSpec字段来指定元数据,如标识(label)和注解(annotation)。 -
现在,Pipeline 运行支持云事件。现在,对于云事件管道资源发送的带有
backoff的云事件会进行重试。 -
现在,可以为声明了
Task、但没有明确指定TaskRun资源的工作区(workspace)设置一个默认的Workspace配置。 -
支持
PipelineRun命名空间和TaskRun命名空间的命名空间变量插入。 -
现在,添加了对
TaskRun对象的验证,以检查当TaskRun资源与 Affinity Assistant 关联时,是否使用一个以上的持久性卷声明工作区。如果使用多个持久性卷声明工作区,则任务运行会失败,并且有一个TaskRunValidationFailed条件。请注意,默认情况下, Affinity Assistant 在 Red Hat OpenShift Pipelines 中被禁用,因此您需要启用 Affinity Assistant 来使用它。
4.1.8.1.2. Pipelines CLI
tkn task describe、tkn taskrun describe、tkn clustertask describe、tkn pipeline describe和tkn pipelinerun describe命令现在:-
如果存在其中之一,会自动选择
Task、TaskRun、ClusterTask、Pipeline和PipelineRun。 -
在相应的输出中显示
Task、TaskRun、ClusterTask、Pipeline和PipelineRun资源的结果。 -
在相应的输出中显示
Task、TaskRun、ClusterTask、Pipeline和PipelineRun资源中声明的工作区。
-
如果存在其中之一,会自动选择
-
现在,您可以使用
tkn clustertask start命令的--prefix-name选项指定任务运行名称前缀。 -
现在为
tkn clustertask start命令提供了互动模式支持。 -
现在,您可以使用
TaskRun和PipelineRun对象的本地或远程文件定义指定管道支持的PodTemplate属性。 -
现在,您可以在
tkn clustertask start命令中使用--use-params-defaults选项,使用ClusterTask配置中设置的默认值并创建任务运行。 -
现在,如果有些参数没有指定默认值,
tkn pipeline start命令的--use-param-defaults标志会提示以互动模式提供。
4.1.8.1.3. 触发器
-
添加了一个名为
parseYAML的通用表达语言(CEL)函数,用来将 YAML 字符串解析为一个映射的字符串。 - 在评估表达式和解析 hook 正文以创建评估环境时,改进了解析 CEL 表达式的错误消息,使其更加精细。
- 现在,可以支持 marsing 布尔值和映射,如果它们被用作 CEL 覆盖机制中的表达式值。
在
EventListener对象中添加了以下字段:-
replicas字段通过在 YAML 文件中指定副本数,使事件监听程序能够运行多个 pod。 -
NodeSelector字段使EventListener对象能够将事件监听器 pod 调度到特定的节点。
-
-
Webhook 拦截器现在可以解析
EventListener-Request-URL标头,从事件监听器处理的原始请求 URL 中提取参数。 - 现在,事件监听器的注解可以被传播到部署、服务和其他 pod。请注意,服务或部署的自定义注解将被覆盖,因此必须在事件监听程序注解中添加它们以便传播它们。
-
现在,当用户将
spec.replicas值指定为负数或零时,可以正确验证EventListener规格中的副本。 -
现在,您可以在
EventListenerspec 中指定TriggerCRD项,作为一个使用TriggerRef项的引用来独立创建TriggerCRD项,然后在EventListenerspec 中绑定它。 -
现在,提供了对
TriggerCRD对象的验证和默认值。
4.1.8.2. 已弃用的功能
-
$(params)参数现已从triggertemplate资源中删除,由$(tt.params)替代,以避免resourcetemplate和triggertemplate资源参数间的混淆。 -
基于可选的基于
EventListenerTrigger的身份验证级别的ServiceAccount引用,已从对象引用改为一个ServiceAccountName字符串。这样可确保ServiceAccount引用与EventListenerTrigger对象位于同一个命名空间中。 -
Conditions自定义资源定义(CRD)现已弃用,已使用WhenExpressionsCRD 替代。 -
PipelineRun.Spec.ServiceAccountNames对象已启用,被PipelineRun.Spec.TaskRunSpec[].ServiceAccountName对象替代。
4.1.8.3. 已知问题
- 此 Red Hat OpenShift Pipelines 发行版本添加了对断开连接的安装的支持。但是,集群任务使用的一些镜像必须进行镜像(mirror)才能在断开连接的集群中工作。
-
在卸载 Red Hat OpenShift Pipelines Operator 后,
openshift命名空间中的管道不会被删除。使用oc delete pipelines -n openshift --all命令删除管道。 卸载 Red Hat OpenShift Pipelines Operator 不会删除事件监听程序。
作为临时解决方案,删除
EventListener和PodCRD:使用
foregroundDeletion终结器编辑EventListener对象:$ oc patch el/<eventlistener_name> -p '{"metadata":{"finalizers":["foregroundDeletion"]}}' --type=merge例如:
$ oc patch el/github-listener-interceptor -p '{"metadata":{"finalizers":["foregroundDeletion"]}}' --type=merge删除
EventListenerCRD:$ oc patch crd/eventlisteners.triggers.tekton.dev -p '{"metadata":{"finalizers":[]}}' --type=merge
当您运行多架构容器镜像任务时,如果在 IBM Power Systems(ppc64le)或 IBM Z(s390x)集群上没有命令规格,则
TaskRun资源会失败,并显示以下错误:Error executing command: fork/exec /bin/bash: exec format error
作为临时解决方案,使用特定架构的容器镜像或指定 sha256 摘要指向正确的架构。要获得 sha256 摘要,请输入:
$ skopeo inspect --raw <image_name>| jq '.manifests[] | select(.platform.architecture == "<architecture>") | .digest'
4.1.8.4. 修复的问题
- 现在,添加了一个简单的语法验证用于检查 CEL 过滤器、Webhook 验证器中的覆盖以及拦截器中的表达式。
- 触发器不再覆盖底层部署和服务对象上的注解。
-
在以前的版本中,事件监听器将停止接受事件。
EventListenersink 增加了一个 120 秒的空闲超时来解决这个问题。 -
在以前的版本中,取消一个带有
Failed(Canceled)状态的管道运行会给出一个成功信息。这个问题已被解决,现在在这种情况下会显示错误。 -
tkn eventlistener list命令现在提供列出的事件监听器的状态,从而使您可以轻松地识别可用的事件。 -
现在,当没有安装触发器或没有找到资源时,
triggers list和triggers describe命令会显示一致的错误信息。 -
在以前的版本中,在云事件交付过程中会产生大量闲置连接。
DisableKeepAlives: true参数添加到cloudeventclient配置来修复这个问题。因此,会为每个云事件设置一个新的连接。 -
在以前的版本中,
creds-init代码也会向磁盘写入空文件,即使未提供给定类型的凭证。在这个版本中,creds-init代码只为从正确注解的 secret 中挂载的凭证写入文件。
4.1.9. Red Hat OpenShift Pipelines 技术预览 1.1 发行注记
4.1.9.1. 新功能
Red Hat OpenShift Pipelines 技术预览(TP)1.1 现在包括在 OpenShift Container Platform 4.5 中。Red Hat OpenShift Pipelines TP 1.1 更新为支持:
- Tekton Pipelines 0.14.3
-
Tekton
tknCLI 0.11.0 - Tekton Triggers 0.6.1
- 基于 Tekton Catalog 0.14 的集群任务
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.1 中的新内容。
4.1.9.1.1. Pipelines
- 现在可以使用工作区而不是管道资源。建议您在 OpenShift Pipelines 中使用 Workspaces 而不是 PipelineResources,因为 PipelineResources 很难调试,范围有限,且不容易重复使用。如需有关 Workspaces 的更多信息,请参阅了解 OpenShift Pipelines。
添加了对卷声明模板的工作空间支持:
- 管道运行和任务运行的卷声明模板现在可以添加为工作区的卷源。然后,tkton-controller 使用模板创建一个持久性卷声明(PVC),该模板被视为管道中运行的所有任务的 PVC。因此,您不需要在每次绑定多个任务的工作空间时都定义 PVC 配置。
- 当卷声明模板用作卷源时,支持使用变量替换来查找 PVC 名称。
支持改进的审核:
-
PipelineRun.Status字段现在包含管道中运行的每个任务的状态,以及用于实例化用于监控管道运行进度的管道规格。 -
Pipeline 结果已添加到 pipeline 规格和
PipelineRun状态中。 -
TaskRun.Status字段现在包含用于实例化TaskRun资源的具体任务规格。
-
- 支持在条件中应用默认参数。
-
现在,通过引用集群任务创建的任务运行会添加
tekton.dev/clusterTask标签,而不是tekton.dev/task标签。 -
kube config writer 现在在资源结构中添加了
ClientKeyData和ClientCertificateData配置,以便使用 kubeconfig-creator 任务替换 pipeline 资源类型集群。 -
现在,
feature-flags和config-defaults配置映射的名称可以自定义。 - 现在,在任务运行使用的 pod 模板中支持主机网络。
- 现在,可以使用 Affinity Assistant 支持任务运行中共享工作空间卷的节点关联性。默认情况下,这在 OpenShift Pipelines 上被禁用。
-
Pod 模板已更新,使用
imagePullSecrets指定在启动一个 pod 时,容器运行时用来拉取容器镜像的 secret。 - 如果控制器无法更新任务运行,则支持从任务运行控制器发出警告事件。
- 在所有资源中添加了标准或者推荐的 k8s 标签,以标识属于应用程序或组件的资源。
-
现在,
Entrypoint进程被通知有信号,然后这些信号会使用一个Entrypoint进程的专用 PID 组来传播这些信号。 - pod 模板现在可以在运行时使用任务运行 specs 在任务级别设置。
支持放出 Kubernetes 事件:
-
控制器现在会为其他任务运行生命周期事件发出事件 -
taskrun started和taskrun running。 - 频道运行控制器现在会在管道每次启动时放出一个事件。
-
控制器现在会为其他任务运行生命周期事件发出事件 -
- 除了默认的 Kubernetes 事件外,现在还提供对任务运行的支持。可将控制器配置为发送任何任务运行事件(如创建、启动和失败)作为云事件。
-
支持使用
$context.<task|taskRun|pipelineRun>.name变量来引用管道运行和任务运行时的适当名称。 - 现在提供了管道运行参数的验证,以确保管道运行提供了管道所需的所有参数。这也允许管道运行在所需参数之外提供额外的参数。
-
现在,您可以使用管道 YAML 文件中的
finally字段指定管道中的任务,这些任务会在管道退出前始终执行。 -
git-clone集群任务现在可用。
4.1.9.1.2. Pipelines CLI
-
tkn dlistener describe命令现在可以支持内嵌触发器绑定。 - 支持在使用不正确的子命令时推荐子命令并给出建议。
-
现在,如果管道中只有一个任务存在,
tkn task describe命令会自动选择该任务。 -
现在您可以使用默认参数值启动任务,方法是在
tkn task start命令中指定--use-param-defaults标记。 -
现在,您可以使用
tkn pipeline start或tkn task start命令的--workspace选项为管道运行或任务指定卷声明模板。 -
tkn pipelinerun logs命令现在会显示finally部分中列出的最终任务的日志。 -
现在,为
tkn task start命令提供了互动模式支持,并为以下tkn资源提供describe子命令:pipeline,PipelineRun、task、taskrun、clustertask和pipelineresource。 -
tkn version命令现在显示集群中安装的触发器版本。 -
tkn pipeline describe命令现在显示为频道中使用的任务指定的参数值和超时。 -
添加了对
tkn pipelinerun describe和tkn taskrun describe命令的--last选项的支持,以分别描述最新的频道运行或任务运行。 -
tkn pipeline describe命令现在显示管道中适用于任务的条件。 -
现在,您可以在
tkn resource list命令中使用--no-headers和--all-namespaces标记。
4.1.9.1.3. 触发器
现在以下通用表达式语言(CEL)功能可用:
-
parseURL用来解析和提取一个 URL 的部分内容 -
parseJSON用来解析嵌入在deploymentwebhook 中的payload字段中的字符串中的 JSON 值类型
-
- 添加了来自 Bitbucket 的 webhook 的新拦截器。
-
现在,在使用
kubectl get列出时,事件监听器会显示Address URL和Available status作为额外的项。 -
触发器模板参数现在使用
$(tt.params.<paramName>)语法而不是$(params.<paramName>)来减少触发器模板和资源模板参数之间的混淆。 -
现在,您可以在
EventListenerCRD 中添加容限,以确保事件监听程序使用相同的配置,即使所有节点都因为安全或管理问题而产生污点也是如此。 -
现在,您可以在
URL/live中为事件监听器添加就绪探测(Readiness Probe)。 -
现在,添加了对在事件监听器触发器中嵌入
TriggerBinding规格的支持。 -
触发器资源现在附带推荐的
app.kubernetes.io标签注解。
4.1.9.2. 已弃用的功能
本发行版本中已弃用了以下内容:
-
所有集群范围命令(包括
clustertask和clustertriggerbinding命令)的--namespace或-n标志都已弃用。它将在以后的发行版本中被删除。 -
事件监听器中的
triggers.bindings中的name字段已弃用。现在使用ref字段替代,并将在以后的发行版本中删除。 -
使用
$(params)的触发器模板中的变量插值已经被弃用,现在使用$(tt.params)来减少与管道变量插入语法的混乱。在以后的发行版本中会删除$(params.<paramName>)语法。 -
在集群任务中弃用了
tekton.dev/task标签。 -
TaskRun.Status.ResourceResults.ResourceRef字段已弃用,并将被删除。 -
tkn pipeline create、tkn task create和tkn resource create -f子命令已被删除。 -
从
tkn命令中删除了命名空间验证。 -
tkn ct start命令中的默认超时时间(1h)以及-t标志已被删除。 -
s2i集群任务已弃用。
4.1.9.3. 已知问题
- 条件(Conditions)不支持工作区。
-
tkn clustertask start命令不支持--workspace选项和互动模式。 -
支持
$(params.<paramName>)语法的向后兼容性会强制您使用带有特定管道参数的触发器模板,因为触发器 s Webhook 无法将触发器参数与管道参数区分开。 -
当针对
tekton_taskrun_count和tekton_taskrun_duration_seconds_count运行一个 promQL 查询时,Pipeline metrics 会报告不正确的值。 -
当为一个工作区指定了一个不存在的 PVC 名称时,管道运行和任务运行会维持在
Running和Running(Pending)的状态。
4.1.9.4. 修复的问题
-
在以前的版本中,如果任务和集群任务的名称是相同的,则
tkn task delete <name> --trs命令会同时删除 Task 和 ClusterTask。在这个版本中,该命令只删除任务<name>创建的任务运行。 -
以前,
tkn pr delete -p <name> --keep 2命令会在使用--keep是忽略-p标志,并将删除除最后两个以外的所有管道运行。在这个版本中,命令只删除由管道<name>创建的管道运行,但最后两个除外。 -
tkn triggertemplate describe输出现在以表格式而不是 YAML 格式显示资源模板。 -
在以前的版本中,当一个新用户添加到容器时,
buildah集群任务会失败。在这个版本中,这个问题已被解决。
4.1.10. Red Hat OpenShift Pipelines 技术预览 1.0 发行注记
4.1.10.1. 新功能
Red Hat OpenShift Pipelines 技术预览(TP)1.0 现在包括在 OpenShift Container Platform 4.4 中。Red Hat OpenShift Pipelines TP 1.0 更新为支持:
- Tekton Pipelines 0.11.3
-
Tekton
tknCLI 0.9.0 - Tekton Triggers 0.4.0
- 基于 Tekton Catalog 0.11 的集群任务
除了包括修复和稳定性改进的信息外,以下小节突出介绍了 Red Hat OpenShift Pipelines 1.0 中的新内容。
4.1.10.1.1. Pipelines
- 支持 v1beta1 API 版本。
- 支持改进的限制范围。在以前的版本中,限制范围仅为任务运行和管道运行指定。现在不需要显式指定限制范围。使用命名空间中的最小限制范围。
- 支持使用任务结果和任务参数在任务间共享数据。
-
现在,管道可以被配置为不覆盖
HOME环境变量和步骤的工作目录。 -
与任务步骤类似,
sidecar现在支持脚本模式。 -
现在,您可以在任务运行
podTemplate资源中指定不同的调度程序名称。 - 支持使用 Star Array Notation 替换变量。
- Tekton 控制器现在可以配置为监控单个命名空间。
- 现在,在管道、任务、集群任务、资源和条件规格中添加了一个新的 description 字段。
- 在 Git pipeline 资源中添加代理参数。
4.1.10.1.2. Pipelines CLI
-
现在为以下
tkn资源添加了describe子命令:EventListener、Condition、triggerTemplate、ClusterTask和TriggerSBinding。 -
在以下资源中添加
v1beta1支持以及v1alpha1的向后兼容性:ClusterTask、Task、Pipeline、PipelineRun和TaskRun。 以下命令现在可以使用
--all-namespaces标志选项列出所有命名空间的输出结果:tkn task list、tkn pipeline list、tkn taskrun list和tkn pipelinerun list这些命令的输出也可以通过
--no-headers选项在没有标头的情况下显示信息。-
现在您可以使用默认参数值启动管道,方法是在
tkn pipelines start命令中指定--use-param-defaults标记。 -
现在,在
tkn pipeline start和tkn task start命令中增加了对工作区的支持。 -
现在增加了一个新命令
clustertriggerbinding,它带有以下子命令:describe、delete和list。 -
现在,您可以使用本地或远程
yaml文件直接启动管道运行。 -
describe子命令现在显示一个改进的详细输出。现在,除了新的项,如description、timeout、param description和sidecar status,命令输出还提供了关于一个特定tkn资源的更详细的信息。 -
现在,如果命名空间中只有一个任务,
tkn task log命令会直接显示日志。
4.1.10.1.3. 触发器
-
现在触发器可以同时创建
v1alpha1和v1beta1管道资源。 -
支持新的通用表达式语言(CEL)拦截器功能 -
compareSecret。此功能安全地将字符串与 CEL 表达式中的 secret 进行比较。 - 支持在事件监听器触发器级别进行身份验证和授权。
4.1.10.2. 已弃用的功能
本发行版本中已弃用了以下内容:
Steps规格中的环境变量$HOME,变量workingDir已被弃用,并可能在以后的发行版本中有所变化。目前,在Step容器中,HOME和workingDir变量会分别被/tekton/home和/workspace变量覆盖。在以后的发行版本中,这两个字段将不会被修改,它将被设置为容器镜像和
TaskYAML 中定义的值。在本发行版本中,使用disable-home-env-overwrite和disable-working-directory-overwrite标记来禁用覆盖HOME和workingDir变量。-
以下命令已弃用,并可能在以后的发行版本中删除:
tkn pipeline create、tkn task create。 -
在
tkn resource create命令中使用-f标志现已弃用。以后的发行版本中可能会删除它。 -
tkn clustertask create命令中的-t标记和--timeout标记(使用秒格式)现已被弃用。现在只支持持续超时格式,例如1h30s。这些已弃用的标记可能会在以后的版本中删除。
4.1.10.3. 已知问题
- 如果您要从 Red Hat OpenShift Pipelines 的旧版本升级,则必须删除您现有的部署,然后再升级到 Red Hat OpenShift Pipelines 版本 1.0。要删除现有的部署,您必须首先删除自定义资源,然后卸载 Red Hat OpenShift Pipelines Operator。如需了解更多详细信息,请参阅卸载 Red Hat OpenShift Pipelines 部分。
-
提交相同的
v1alpha1任务多次会导致错误。在重新提交一个v1alpha1任务时,使用oc replace命令而不是oc apply。 当一个新用户添加到容器时,
buildah集群任务无法正常工作。当安装 Operator 时,
buildah集群任务的--storage-driver标志没有指定,因此它会被设置为默认值。在某些情况下,这会导致存储驱动程序设置不正确。当添加一个新用户时,错误的 storage-driver 会造成buildah集群任务失败并带有以下错误:useradd: /etc/passwd.8: lock file already used useradd: cannot lock /etc/passwd; try again later.
作为临时解决方案,在
buildah-task.yaml文件中手工把--storage-driver标识的值设置为overlay:以
cluster-admin身份登录到集群:$ oc login -u <login> -p <password> https://openshift.example.com:6443
使用
oc edit命令编辑buildah集群任务:$ oc edit clustertask buildah
buildahclustertask YAML 文件的最新版本会在由EDITOR环境变量指定的编辑器中打开。在
Steps字段中找到以下command字段:command: ['buildah', 'bud', '--format=$(params.FORMAT)', '--tls-verify=$(params.TLSVERIFY)', '--layers', '-f', '$(params.DOCKERFILE)', '-t', '$(resources.outputs.image.url)', '$(params.CONTEXT)']
使用以下内容替换
command字段:command: ['buildah', '--storage-driver=overlay', 'bud', '--format=$(params.FORMAT)', '--tls-verify=$(params.TLSVERIFY)', '--no-cache', '-f', '$(params.DOCKERFILE)', '-t', '$(params.IMAGE)', '$(params.CONTEXT)']
- 保存文件并退出。
另外,您还可以直接在 web 控制台中直接修改
buildah集群任务 YAML 文件:进入 PipelinesCluster Tasks buildah。从 Actions 菜单中选择 Edit Cluster Task,如前所示替换 command项。
4.1.10.4. 修复的问题
-
在以前的版本中,即使镜像构建已在进行中,
DeploymentConfig任务也会触发新的部署构建。这会导致管道部署失败。在这个版本中,deploy task命令被oc rollout status命令替代,它会等待正在进行中的部署完成。 -
现在在管道模板中添加了对
APP_NAME参数的支持。 -
在以前的版本中,Java S2I 的管道模板无法在 registry 中查找镜像。在这个版本中,使用现有镜像管道资源而不是用户提供的
IMAGE_NAME参数来查找镜像。 - 所有 OpenShift Pipelines 镜像现在都基于 Red Hat Universal Base Images(UBI)。
-
在以前的版本中,当管道在
tekton-pipelines以外的命名空间中安装时,tkn version命令会将管道版本显示为unknown。在这个版本中,tkn version命令会在任意命名空间中显示正确的管道版本。 -
tkn version命令不再支持-c标志。 - 非管理员用户现在可以列出集群触发器绑定。
-
现在为 CEL 拦截器修复了事件监听程序
CompareSecret功能。 -
现在,当任务和集群任务的名称相同时,任务和集群任务的
list、describe和start子命令可以正确地显示输出。 - 在以前的版本中,OpenShift Pipelines Operator 修改了特权安全性上下文约束 (SCC),这会在集群升级过程中造成错误。这个错误现已解决。
-
在
tekton-pipelines命名空间中,现在将所有任务运行和管道运行的超时设置为使用配置映射的default-timeout-minutes字段。 - 在以前的版本中,Web 控制台中的管道部分没有为非管理员用户显示。这个问题现已解决。
