SonarQube 实例部署
本文档描述了 SonarQube Operator 的订阅及部署 SonarQube 实例的功能。
前提条件
部署规划
SonarQube 支持多种资源配置,以适应不同客户场景。在不同场景下,所需的资源、配置等将有显著差异。因此,本节介绍在部署 SonarQube 实例之前需要考虑的方面,以及决策点的影响,以帮助用户根据这些信息进行后续具体实例的部署。
基本信息
- 平台提供的 SonarQube Operator 基于社区的官方 SonarQube Chart,具有增强的企业功能,例如 IPv6 支持和安全漏洞修复。在功能上完全兼容社区版,在用户体验上通过可选的可自定义模板等方式增强了 SonarQube 部署的便利性。
部署前资源规划
部署前资源规划涉及在部署之前做出决策,这些决策将在部署过程中生效。
有关环境资源的更多建议,请参阅官方文档:https://docs.sonarsource.com/sonarqube-server/2025.1/setup-and-upgrade/installation-requirements/server-host/#hardware
实例部署
从快速入门模板 部署
此模板用于快速创建轻量级的 SonarQube 实例,适合开发和测试场景,不推荐用于生产环境。
- 计算资源:800m CPU,4 Gi 内存
- 存储:使用节点本地存储,配置存储节点 IP 和路径
- 网络访问:使用 NodePort 访问服务,节点 IP 与存储共享,并指定端口
从生产模板 部署
此模板用于快速创建生产环境的 SonarQube 实例,适合生产场景,推荐用于生产环境。
- 计算资源:8 CPU 核心,16 Gi 内存
- 存储:使用 PVC 存储,配置存储类
- 网络访问:使用域名访问服务。
从 YAML 部署
资源配置
SonarQube 只需要配置整体资源,例如:
spec:
helmValues:
resources:
limits:
cpu: 800m
memory: 4Gi
requests:
cpu: 400m
memory: 2Gi
有关更多信息,请参阅 SonarQube Chart 中的资源描述
网络配置
网络配置分为两种类型:
- 基于 Ingress 的网络配置
- 基于 NodePort 的网络配置
基于 Ingress 的网络配置支持 https 和 http 协议。需要在集群中提前部署 Ingress 控制器。
spec:
helmValues:
ingress:
enabled: true
hosts:
- name: test-ingress-https.example.com
tls:
- secretName: test-tls-cert
hosts:
- test-ingress-http.example.com
基于 NodePort 的网络配置:
spec:
helmValues:
service:
name: sonarqube
type: NodePort
nodePort: <nodeport.http>
存储配置
存储配置主要分为三类:
- 基于 StorageClass 的存储配置
- 基于 PVC 的存储配置
- 基于 HostPath 的存储配置
基于 StorageClass 的存储配置:
spec:
helmValues:
persistence:
enabled: true
storageClass: <storage-class.rwm> ## StorageClass 需要提前创建
size: 10Gi
基于 PVC 的存储配置:
spec:
helmValues:
persistence:
enabled: true
existingClaim: sonarqube-pvc ## PVC 需要提前创建
基于 HostPath 的存储配置:
spec:
helmValues:
nodeSelector:
kubernetes.io/hostname: <node.random> ## 选择部署节点
persistence:
enabled: false
host:
nodeName: <node.random> ## 节点名称
path: /tmp/sonarqube-<template.{{randAlphaNum 10}}> ## 选择部署节点并指定存储路径
PostgreSQL 访问凭证配置
需要在平台上提前创建一个 PostgreSQL 实例,并在 PostgreSQL 中创建一个数据库供使用。
SonarQube 25.1.0 支持的 PostgreSQL 版本为 13 到 17。
PostgreSQL 访问通过配置具有特定格式内容的 secret 资源来完成。有关详细信息,请参阅 配置 PostgreSQL 和访问凭证。
为访问 PG 的凭证创建一个 secret:
spec:
helmValues:
postgresql:
enabled: false ## 禁用默认的 PostgreSQL 实例
jdbcOverwrite:
enable: true
jdbcSecretName: postgres-password ## 连接 PG 的凭证
jdbcUrl: jdbc:postgresql://<pg.host>:<pg.port>/<pg.database>?socketTimeout=1500 ## 连接 PG 的地址
jdbcUsername: postgres ## PG 访问用户
管理员账户配置
将准备好的管理员密码写入一个 secret。默认登录用户名为 admin。
管理员密码必须满足以下要求:
- 至少 12 个字符
- 包含 1 个大写字母
- 包含 1 个小写字母
- 包含 1 个数字
- 包含 1 个特殊字符
apiVersion: v1
data:
password: <root.password base64>
kind: Secret
metadata:
name: sonarqube-root-password
type: Opaque
通过 YAML 将其指定给 SonarQube:
spec:
helmValues:
account:
adminPasswordSecretName: sonarqube-root-password
完整 YAML 示例
NodePort,PVC,PostgreSQL,管理员账户
apiVersion: operator.alaudadevops.io/v1alpha1
kind: Sonarqube
metadata:
name: sonarqube-demo
spec:
helmValues:
prometheusExporter: # 禁用默认的 prometheus 监控,启动时需要提前添加 jar 包
enabled: false
resources: # 设置资源限制
limits:
cpu: 800m
memory: 4Gi
requests:
cpu: 400m
memory: 2Gi
postgresql: # 禁用默认的 PostgreSQL 实例
enabled: false
jdbcOverwrite: # 使用预先创建的 PostgreSQL 实例
enable: true
jdbcSecretName: postgres-password
jdbcUrl: jdbc:postgresql://<pg.host>:<pg.port>/<pg.database>?socketTimeout=1500
jdbcUsername: <pg.username>
service: # 使用 NodePort 暴露 SonarQube 实例
name: sonarqube
type: NodePort
nodePort: <nodeport.http>
account: # 设置 Root 密码
adminPasswordSecretName: sonarqube-root-password
persistence: # 使用 PVC 进行存储挂载
enabled: true
existingClaim: sonarqube-pvc
SSO 配置
SSO 配置涉及以下步骤:
在全球集群中注册 SSO 身份验证客户端
- 在全球集群中创建以下 OAuth2Client 资源以注册 SSO 身份验证客户端。
- 配置 SonarQube 实例以使用 SSO 身份验证
apiVersion: dex.coreos.com/v1
kind: OAuth2Client
name: OIDC
metadata:
name: m5uxi3dbmiwwizlyzpzjzzeeeirsk # 该值基于 id 字段的哈希值计算,在线计算器: https://go.dev/play/p/QsoqUohsKok
namespace: cpaas-system
id: sonarqube-dex # 客户端 ID
public: false
redirectURIs:
- <sonarqube-host>/* # SonarQube 身份验证回调地址,其中 <sonarqube-host> 替换为 SonarQube 实例的访问地址
secret: Z2l0bGFiLW9mZmljaWFsLTAK # 客户端密钥
spec: {}
将 SSO 配置添加到 SonarQube 实例:
spec:
helmValues:
sonarProperties:
sonar.core.serverBaseURL: <sonarqube url>
sonar.forceAuthentication: false
sonar.auth.oidc.enabled: true
sonar.auth.oidc.issuerUri: <platform-url>/dex
sonar.auth.oidc.clientId.secured: sonarqube-dex # 客户端 ID
sonar.auth.oidc.clientSecret.secured: Z2l0bGFiLW9mZmljaWFsLTAK # 客户端密钥
sonar.auth.oidc.loginStrategy: Email
sonar.auth.oidc.providerConfiguration: '{"issuer":"<platform-url>/dex","authorization_endpoint":"<platform-url>/dex/auth","token_endpoint":"<platform-url>/dex/token","jwks_uri":"<platform-url>/dex/keys","response_types_supported":["code","id_token","token"],"subject_types_supported":["public"],"id_token_signing_alg_values_supported":["RS256"],"scopes_supported":["openid","email","groups","profile","offline_access"],"token_endpoint_auth_methods_supported":["client_secret_basic"],"claims_supported":["aud","email","email_verified","exp","iat","iss","locale","name","sub"]}'
为使用自签名证书的平台启用 SSO
如果平台通过 https 访问并使用自签名证书,需要将自签名证书的 CA 挂载到 SonarQube 实例。方法如下:
在全球集群的 cpaas-system 命名空间中,找到名为 dex.tls 的 secret,从中获取 ca.crt 和 tls.crt 的内容,保存为一个新的 secret,并在 SonarQube 实例的命名空间中创建。
apiVersion: v1
data:
ca.crt: <base64 encode data>
tls.crt: <base64 encode data>
kind: Secret
metadata:
name: dex-tls
namespace: cpaas-system
type: kubernetes.io/tls
编辑 SonarQube 实例以使用此 CA:
spec:
helmValues:
caCerts:
enabled: true
secret: dex-tls
