#Аутентификация для Chains

#Обзор

Аутентификация должна быть настроена, чтобы использовать следующие возможности Chains:

• Отправка подписей в OCI registry после подписывания образа
• Использование Fulcio для получения Signing Certificates при использовании подписи Keyless

#Аутентификация OCI Registry

Чтобы отправлять данные в OCI registry, контроллер Chains будет искать учетные данные в двух местах:

1. В pod, выполняющем вашу Task
2. В service account, настроенном для запуска вашей Task

#Создание учетных данных registry

#Создание Secret на основе существующих учетных данных

Если вы уже выполняли podman login, можно скопировать учетные данные, сохраненные в config.json, в Kubernetes.

{
 "auths": {
   "<registry>": {
     "auth": "redacted"
   }
 }
}

Создайте secret с config.json:

kubectl create secret generic registry-credentials \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson \
    -n $NAMESPACE

#Создание Secret с указанием учетных данных в командной строке

Сначала вам потребуется доступ к учетным данным для вашего registry (в этом примере они находятся в файле credentials.json). Затем создайте Kubernetes secret типа kubernetes.io/dockerconfigjson:

kubectl create secret docker-registry registry-credentials \
  --docker-server=<gcr.io> \
  --docker-username=<username> \
  --docker-email=<email> \
  --docker-password=<password> \
  -n $NAMESPACE

Задайте ключ config.json

$ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
$ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

#Настройка учетных данных с использованием pod

#Использование Pod Template

Tekton поддерживает указание Pod template для настройки pod, в котором выполняется ваша Task. Вы должны передать Pod template при запуске Task через cli или встроить его в TaskRun.

Пример TaskRun, настроенного с secret registry-credentials:

apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: mytaskrun
  namespace: default
spec:
  taskRef:
    name: mytask
  podTemplate:
    imagePullSecrets:
    - name: registry-credentials

#Использование ServiceAccount

Предоставьте service account доступ к secret:

kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
  -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

Теперь Chains имеет права на push для любых TaskRun, выполняющихся под service account $SERVICE_ACCOUNT_NAME.

#Fulcio Authentication для Keyless Signing

#Базовая настройка

Стандартное развертывание будет работать с публичным Fulcio, если оно установлено в кластер EKS или GKE. Вам нужно только добавить следующее в раздел данных ConfigMap chains-config в namespace tekton-chains:

signers.x509.fulcio.enabled: "true"

#Пользовательская конечная точка Fulcio

Если вы используете собственный экземпляр Fulcio, необходимо настроить Fulcio соответствующим образом. Также нужно указать Chains на ваш экземпляр fulcio, добавив в chains-config следующее:

signers.x509.fulcio.address: <"http://fulcio.fulcio-system.svc">

#Ссылки

• Tekton Chains Authentication
• Tekton Chains Configuration