Tekton笔记(四)之Authentication及catalog skopeo

最新推荐文章于 2023-08-02 15:46:49 发布
最新推荐文章于 2023-08-02 15:46:49 发布
阅读量375 收藏
点赞数
分类专栏: tekton 文章标签: tekton kubernetes 云原生 devops 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42574058/article/details/126916688
版权

Authentication

如果在tekton中使用git或者docker需要用户名密码登录,需要怎么设置呢?

我们知道kubernetes中是使用Secret,使用volumes或者env将这个配置文件直接mount到pod中。

类似tekton也沿用了这一思路

Tekton Authentication

Tekton 可以直接使用了Kubernetes Secret定义的类型,处理Git和Docker登录

GitDocker
kubernetes.io/basic-auth
kubernetes.io/ssh-auth		kubernetes.io/basic-auth
kubernetes.io/dockercfg
kubernetes.io/dockerconfigjson

以下演示一个以docker basic-auth authentication为例的设置

  1. 先创建一个包含密码的Secret。并加上tektonannotations,这个非常重要。

    apiVersion: v1
kind: Secret
metadata:
  name: basic-user-pass
  annotations:
    tekton.dev/docker-0: https://gcr.io # Described below
type: kubernetes.io/basic-auth
stringData:
  username: <cleartext username>
  password: <cleartext password>

    annotations必须要是要以tekton.dev/docker-开头

  2. 创建ServiceAccount绑定这个Secret

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: build-bot
secrets:
  - name: basic-user-pass

  3. 在运行配置中绑定这个ServiceAccount
    TaskRun

    apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: build-push-task-run-2
spec:
  serviceAccountName: build-bot
  taskRef:
    name: build-push

    再如PipelineRun

    apiVersion: tekton.dev/v1beta1
kind: PipelineRun
metadata:
  name: demo-pipeline
  namespace: default
spec:
  serviceAccountName: build-bot
  pipelineRef:
    name: demo-pipeline

  4. 最后执行即可

    kubectl apply --filename secret.yaml serviceaccount.yaml run.yaml

至于具体发生了什么,其实就是tekton自动将Secret mount到了HOME目录,原理跟kubernetes是相似的。

其中的关键的关键就是Secret 中的这个annotations,必须是tekton.dev/git- or tekton.dev/docker-开头

tekton就是根据这个annotations,判断对应是docker还是git,找到对应的用户名密码。

避免全局使用credentials

细心的读者会发现serviceAccount绑定在PipelineRunTaskRun上,那么对整个PipelineTask都生效的

所有步骤不管有没有需要登录认证,pod里都会有credentials

如果想避免这里情况,那么就不能用上文所述的这种做法了。

一个变通的办法是单独将不同的Secret 放到不同的workspace中,

对应的task可以根据需要挂载一个或者多个workspace使用credentials。

skopeo

接下来我们实际使用skopeo演示这两种认证方法

skopeo是一个给docker image打标签的工具,不需要把镜像完整拖下来,直接在registry上操作。

集中认证方式

  1. 先创建docker登录Secret,注意annotations中定义了对应docker.io这个仓库

    apiVersion: v1
kind: Secret
metadata:
  name: docker-creds
  annotations:
    tekton.dev/docker-0: https://docker.io
type: kubernetes.io/basic-auth
stringData:
  username: massivezh
  password: xxxx-xxxx-xxxx-xxxx-xxxx

  2. 创建ServiceAccount

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: secret-service-account
secrets:
  - name: docker-creds
# 这里可以一次性绑定多个Secret,对应不同的repo
#  - name: quay-creds

  3. 最后在TaskRun中绑定serviceAccountName

    apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: skopeo-run
spec:
  serviceAccountName: secret-service-account
  params:
    - name: srcImageURL
      value: docker://docker.io/massivezh/kaniko-nocode:latest
    - name: destImageURL
      value: docker://docker.io/massivezh/kaniko-nocode:1
  taskRef:
    name: skopeo-copy
  workspaces:
  - name: images-url
    emptyDir: {}

  4. 查看运行结果

    # kubectl get taskrun
NAME             SUCCEEDED   REASON      STARTTIME   COMPLETIONTIME
skopeo-run       True        Succeeded   29m         29m

    docker hub已经有了tag:1的镜像
    在这里插入图片描述

独立认证方式

这个使用workspace的方法,可能已经在其他地方看到过了

  1. 改造skopeo,增加一个workspace,将dockerconfig挂载到HOME目录

    # diff -u skopeo-copy.yaml workspaces-cred/skopeo-copy-mod.yaml 
--- skopeo-copy.yaml    2022-09-18 11:30:18.692333792 +0800
+++ workspaces-cred/skopeo-copy-mod.yaml        2022-09-18 11:53:23.459643040 +0800
@@ -22,6 +22,10 @@
   workspaces:
     - name: images-url
+    - name: dockerconfig
+      description: Includes a docker `config.json`
+      optional: true
+      mountPath: /tekton/home/.docker

  2. docker login手动登录产生/root/.docker/config.json

  3. config.json转化成secret

    # kubectl create secret generic dockerhub-secret --from-file=/root/.docker/config.json

  4. TaskRun中设置workspaces

    apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: skopeo-run-mod
spec:
  params:
    - name: srcImageURL
      value: docker://docker.io/massivezh/kaniko-nocode:latest
    - name: destImageURL
      value: docker://docker.io/massivezh/kaniko-nocode:2
  taskRef:
    name: skopeo-copy-mod
  workspaces:
    - name: images-url
      emptyDir: {}
    - name: dockerconfig
      secret:
        secretName: dockerhub-secret

  5. 查看运行结果

    # kubectl get taskrun
NAME             SUCCEEDED   REASON      STARTTIME   COMPLETIONTIME
skopeo-run-mod   True        Succeeded   3m26s       3m13s

    docker hub已经有了tag:2的镜像
    在这里插入图片描述

一次修改多个tag

前面说的都是一次只打一个tag,如果需要批量处理打tag,需要设置images-url这个参数

首先创建一个configmap,里面对应的文件名必须是url.txt
把需要修改的tag列表全部写在这里面

#cat url.txt
docker://quay.io/temp/kubeconfigwriter:v1 docker://quay.io/skopeotest/kube:v1
docker://quay.io/temp/kubeconfigwriter:v2 docker://quay.io/skopeotest/kube:v2

kubectl create configmap image-configmap --from-file=url.txt

默认一次只处理一个,这个值是空的

workspaces:
  - name: images-url
    emptyDir: {}

我们替换成configmap包含url.txt文件

workspaces:
  - name: images-url
    configmap:
      name: image-configmap

运行过程中这个url.txt会mount到pod里供skopeo使用。

参考:

https://hub.tekton.dev/tekton/task/skopeo-copy

https://github.com/tektoncd/catalog/tree/main/task/skopeo-copy/0.2

https://tekton.dev/docs/pipelines/auth/

massivezh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dashboard:Tekton的仪表板!
03-27
Tekton仪表板 Tekton仪表板是的基于Web的通用UI, 资源。 它允许用户管理和查看Tekton资源的创建,执行和完成。 Tekton仪表板尤其支持: 按标签过滤资源PipelineRun和TaskRun日志的实时视图查看资源详细信息和YAML ...
Tekton构建前后端项目操作手册——本地Harbor仓库版本
07-27
前端Vue项目,后端Springboot项目,后端项目使用Dubbo+Zookeeper+PostgreSQL框架。 镜像版本,本地Harbor仓库,版本V2.0。 Kubernetes集群框架,版本v1.18.17。 Tekton,版本v0.24.1。
Tekton笔记(三)之catalog kaniko
weixin_42574058的博客
09-14 539
kaniko是一个容器镜像构建工具,本文主要讲述从github获取Dockerfile,构建镜像,最终上传仓库的过程。
Tekton入门
qq_35311140的博客
11-17 9009
Tekton入门 什么是流水线 流水线是把一个重复的过程分解为若干个子过程,使每个子过程与其他子过程并行进行的技术,也叫 Pipeline。以“构建镜像更新应用”为例: 当一次代码变更之后,jenkins都需要拉取最新的代码,进行代码编译,构建镜像,推送镜像到镜像仓库,最后更新k8s资源对象。而且每次代码变更,此过程都是不变的。所以使用流水线工具可以极大的提升这一过程的效率,只需要进行简单的配置便可以轻松的完成重复性的工作,这样的过程也被称之为 CI。 什么是Tekton Tekton 是一个基于 Kube
Tekton之三:快速理解 Tekton 是如何工作的
千里之行
04-21 2916
Tekton云原生环境下面的非常强大的 CICD 产品。 如果你按照 Tekton 的官方文档来学习,使用 Tekton, 可能会跟遇到很多障碍。 Tekton 的技术架构非常优秀,同时Tekton 不太好的产品体验,使得这个优秀工具的应用困难了很多。本文对这些常见的问题做一一的解答。
云原生 | 下一代CI/CD工具,Tekton入门部署指南
最新发布
WeiyiGeek 唯一极客IT知识分享
08-02 2481
Tekton Pipelines:Tekton 的基础部分,它定义了一组Kubernetes自定义资源,这些资源充当构建块,您可以从中组装CI/CD管道。Tekton Triggers:允许基于 event 实例化 pipeline。例如,每次PR与GitHub存储库合并时,您都可以触发管道的实例化和执行。Tekton Cli:是Tekton Pipelines的一个基于Web的图形界面,用于显示有关管道执行的信息。目前正在进行中。
云原生CICD:Tekton之Dashboard
学习学习再学习
04-29 2240
Tekton Dashboard 先给大家看下部署完之后的仪表盘页面: Tekton仪表板是Tekton Pipelines基于Web的通用UI。它允许用户管理和查看Tekton PipelineRun和TaskRun,以及在tekton中创建,执行和完成过程中涉及的资源。它还允许按标签过滤PipelineRun和TaskRun。本篇将简单介绍dashboard及其安装,当然也会将下该工具在开发...
cli:与Tekton交互的CLI!
01-28
Tekton Pipelines CLI Tekton Pipelines cli项目提供了一个与Tekton交互的CLI。 安装tkn 下载适用于您的操作系统的最新二进制可执行文件: Mac OS X tektoncd-cli可从: brew install tektoncd-cli 或通过 : ...
触发器:使用Tekton触发事件!
02-09
Tekton触发器 触发器是Kubernetes (CRD)控制器,它允许您从事件有效负载(“触发器”)中提取信息以创建Kubernetes资源。 如果您希望从触发器开始,请查看。 此回购的内容源自实现( 成员可见)。 背景 是...
[英文] Tekton Pipelines Document.pdf
12-26
[英文] Tekton Pipelines Document.pdf Tekton 是一个功能强大且灵活的 Kubernetes 原生框架,用于创建 CI/CD 系统
Kubernetes CICD系列之tekton工具使用
邢宁
03-11 2500
前言 Tekton是一种适用于创建持续集成和持续部署/交付(CI/CD)系统的谷歌开源的Kubernetes原生框架,它支持多云/多集群下进行搭建、测试和部署,可实现滚动部署、蓝/绿部署、金丝雀部署或 GitOps 工作流等高级部署。 Jenkins的不足 基于脚本的job配置复用率不足 代码调试困难 基于声明式API的流水线-Tekton 自定义 可重用 可扩展性 标准化 规模化支持 Tekton 核心组件 pipline: 对象定义了一个流水线作业,一个pipeline对象由一个或数个ta
1.1 Tekton学习笔记之基本概念
剑雨巍巍的博客
04-24 765
前言 CICD已经成为业界主流,Tekton作为Google亲自drive的项目,重要性不言而喻 要做吃螃蟹的人,长江后浪推前浪,把前浪拍死在沙滩上 开坑Tekton,第一阶段主要focus在Tekton官方手册上,了解基本用法 Tekton与k8s息息相关,间或穿插k8s相关 Tekton的定位一言以蔽之:next generation engine 应用场景实例:push代码到GitHub上,自动trigger以下operation:build source code,然后将image push到r
ci/cd之tekton实战
06-03
Tekton 是一个基于 Kubernetes云原生 CI/CD 开源框架,属于 CD 基金会的项目之一。Tekton 通过定义 CRD 的方式,让用户以灵活的自定义流水线以满足自身 CI/CD 需求。个基本概念Tekton 最主要的个概念为:TaskTaskRun、Pipeline 以及 PipelineRun。
Tekton介绍
qq_45353989的博客
04-02 6186
目录Tekton 是什么?Tekton 组件Tekton Pipeline 资源对象及相关概念、模型Step、Task 和 Pipeline输入与输出资源TaskRun 与 PipelineRunTekton Trigger 资源对象及模型TriggerTemplateTriggerBindingTriggerListener工作原理Tekton Dashboard简介Tekton CLITekton CatalogTekton HubTekton Operator Tekton 是什么? Tekton是一
OpenShift 4 Tekton (2) - OpenShift Pipeline入门-用Pipeline部署应用
多恩斯基的博客
11-27 2606
关于Tekton和OpenShift Pipeline Tekton是Google推崇的云原生(就是面向Kubernetes)开源CICD框架,2019年已经得到Redhat等云厂商的支持。在OpenShift 4的OpenShift Pipeline中已经通过Operator Frame集成了Tekton框架,这样无需复杂集成和操作,我们就可实现各种基于Tekton的CICD Pipeline构.........
使用Tekton 创建CI/CD 流水线
sinat_35943558的博客
06-08 907
什么是Tekton? Tekton是用于构建CI / CD管道的云原生解决方案。它由提供构建模块的Tekton Pipelines和使Tekton成为完整生态系统的支持组件(如Tekton CLI和Tekton Catalog)组成。Tekton是CD Foundation( Linux Foundation项目)的一部分。 谁在使用Tekton? Tekton用户通常分为以下几类: 为组织中的开发人员构建CI / CD系统的平台工程师。 使用这些CI / CD系统进行工作的开发人员。 Tekton的优
tekton试用
沈首二
04-16 7101
这里写自定义目录标题介绍部署修改依赖镜像安装示例任务的输入定义任务输出定义镜像仓库认证创建secret创建serviceaccount定义Task定义TaskRun完整的yaml执行示例 介绍 谷歌开源了一个 Kubernetes 原生 CI/CD 构建框架——Tekton Tekton 是一个功能强大且灵活的 Kubernetes 原生框架,用于创建 CI/CD 系统。通过抽象出底层实现细节,...
一段不错的验证码代码
飞鱼的空间
11-02 942
<?php class Imagecode{ private $width ; private $height; private $counts; private $distrubcode; private $fonturl; private $session; function __construct($width = 120,$height = 30,$count
(译) Tekton 官方使用手册-理念
weixin_43014389的博客
05-05 1480
TektonKubernetes原生的持续集成和交付(CI/CD)解决方案之一。它允许开发人员在混合云或私有云中进行构建、测试和部署 Tekton官方提供了较多的交互式教程,便于开发者直接实践应用此工具。想快速上手可以点击: https://tekton.dev/try ** 总览 ** Tekton是开源的Kubernetes原生CI / CD(持续集成和交付/部署)解决方案。他可以使开发...
tekton eventlisener
05-18
Tekton EventListener 是 Tekton Pipeline 的一个组件,用于监听事件并触发 Pipeline 的执行。通过 EventListener,我们可以在 Kubernetes 中创建一个服务,用于接收外部的事件,然后根据事件的内容触发相应的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值