许多三方网站和应用可以与 Jenkins 交互,如 Artifact 仓库,基于云的存储系统和服务等. 在 Jenkins 中添加/配置 credentials,Pipeline 项目就可以使用 credentials 与三方应用交互
image
Credential 类型
参考: https://jenkins.io/zh/doc/book/using/using-credentials/
Jenkins 可以存储以下类型的 credentials:
-
Secret text - API token 之类的 token (如 GitHub 个人访问 token)
-
Username and password - 可以为独立的字段,也可以为冒号分隔的字符串:username:password(更多信息请参照 处理 credentials)
-
Secret file - 保存在文件中的加密内容
-
SSH Username with private key - SSH 公钥/私钥对
-
Certificate - a PKCS#12 证书文件 和可选密码
-
Docker Host Certificate Authentication credentials.
Credential 安全
为了最大限度地提高安全性,在 Jenins 中配置的 credentials 以加密形式存储在 Jenkins 主节点上(用 Jenkins ID 加密),并且 只能通过 credentials ID 在 Pipeline 项目中获取
这最大限度地减少了向 Jenkins 用户公开 credentials 真实内容的可能性,并且阻止了将 credentials 复制到另一台 Jenkins 实例
Credential 创建
-
选择适合的凭证类型
image
-
创建 “Username and password” 凭证
image
-
创建 “SSH Username with private key” 凭证
image
Credential ID 定义
-
在 ID 字段中,必须指定一个有意义的
Credential ID- 例如 jenkins-user-for-xyz-artifact-repository。注意: 该字段是可选的。 如果您没有指定值, Jenkins 则 Jenkins 会分配一个全局唯一 ID(GUID)值。 -
请记住: 一旦设置了 credential ID,就不能再进行更改。
Credential 使用
参考: https://www.jenkins.io/doc/book/pipeline/jenkinsfile/#handling-credentials
存储在 Jenkins 中的 credentials 可以被使用:
-
适用于 Jenkins 的任何地方 (即全局 credentials),
-
通过特定的 Pipeline 项目/项目 (在 处理 credentials 和 使用 Jenkinsfile 部分了解更多信息),
-
由特定的 Jenkins 用户 (如 Pipeline 项目中创建 Blue Ocean的情况).
- Blue Ocean 自动生成一个 SSH 公共/私有密钥对, 确保 SSH 公共/私有秘钥对在继续之前已经被注册到你的 Git 服务器
实际使用中,下面几个场景会用到 creential
- gitlab 访问、API 调用
- jenkins slave 创建
Credential 相关插件
注意: 上述 Credential 类型都依赖于 jenkins 插件,同样 jenkins pipeline 也需要这些插件的安装以支持代码片段
-
Credentials Binding: https://plugins.jenkins.io/credentials-binding/
- For secret text, usernames and passwords, and secret files
environment { MAGE_REPO_CREDENTIALS = credentials('COMPOSER_REPO_MAGENTO') COMPOSER_AUTH = """{ "http-basic": { "repo.magento.com": { "username": "${env.MAGE_REPO_CREDENTIALS_USR}", "password": "${env.MAGE_REPO_CREDENTIALS_PSW}" } } }""" }- For other credential types
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD')]) { // available as an env variable, but will be masked if you try to print it out any which way // note: single quotes prevent Groovy interpolation; expansion is by Bourne Shell, which is what you want sh 'echo $PASSWORD' // also available as a Groovy variable echo USERNAME // or inside double quotes for string interpolation echo "username is $USERNAME" } -
Jenkins Plain Credentials Plugin: https://plugins.jenkins.io/plain-credentials/
image
-
SSH Credentials: https://plugins.jenkins.io/ssh-credentials/
最佳实践
-
为了便于管理和使用, 强烈建议使用统一的约定来指定 credential ID
-
建议使用类似下面的 format 做为 credential ID, 便于 jenkinsfile 开发时直接使用,同时在”描述“里写清楚 credential 的作用
gitlab-api-token、gitlab-private-key、gitlab-userpwd-pair、harbor-xxx-xxx
image
实践:
-
如下所示,将凭证使用统一的 ID 命名之后,便于复用,凭证定义一次,可多次,多个地方统一使用,无论是后期维护,复用都非常方便!
environment { // HARBOR="harbor.devopsing.site" HARBOR_ACCESS_KEY = credentials('harbor-userpwd-pair') SERVER_ACCESS_KEY = credentials('deploy-userpwd-pair') } docker login --username=${HARBOR_ACCESS_KEY_USR} --password=${HARBOR_ACCESS_KEY_PSW} ${HARBOR} sshpass -p "${SERVER_ACCESS_KEY_PSW}" ssh -o StrictHostKeyChecking=no ${SERVER_ACCESS_KEY_USR}@${DEPLOY_SERVER} "$runCmd"
网友评论