Tekton 与 Harbor 集成:实现镜像扫描(Trivy)通过后才允许部署

最新推荐文章于 2025-12-16 17:15:06 发布
原创 最新推荐文章于 2025-12-16 17:15:06 发布 · 331 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tekton

Tekton 与 Harbor 集成:实现镜像扫描(Trivy)通过后才允许部署

核心目标

在 CI/CD 流水线中实现:

  1. 构建镜像并推送至 Harbor
  2. 自动触发 Trivy 漏洞扫描
  3. 仅当扫描结果无严重漏洞(CRITICAL)时才允许部署

实现步骤

1. 前置条件准备
  • Harbor 配置
    • 启用 Trivy 扫描器(Harbor ≥ 2.0)
    • 创建机器人账户(Robot Account)用于 API 访问(需 Pull/Push/Scan 权限)
  • Tekton 环境
    • 安装 Tekton Pipelines 和 Tekton Triggers
    • 创建 Kubernetes Secret 存储 Harbor 凭证: 
      kubectl create secret generic harbor-creds \
  --from-literal=username=<ROBOT_USERNAME> \
  --from-literal=password=<ROBOT_PASSWORD>

2. 关键 Pipeline 设计
apiVersion: tekton.dev/v1beta1
kind: Pipeline
metadata:
  name: scan-before-deploy
spec:
  params:
    - name: image
      type: string  # 格式: harbor.example.com/project/repo:tag
  workspaces:
    - name: source-code
  tasks:
    # 阶段1: 构建并推送镜像到 Harbor
    - name: build-and-push
      taskRef:
        name: kaniko
      workspaces:
        - name: source
          workspace: source-code
      params:
        - name: IMAGE
          value: "$(params.image)"

    # 阶段2: 触发 Harbor Trivy 扫描
    - name: trigger-scan
      runAfter: ["build-and-push"]
      taskRef:
        name: trigger-harbor-scan
      params:
        - name: image
          value: "$(params.image)"

    # 阶段3: 验证扫描结果
    - name: verify-scan
      runAfter: ["trigger-scan"]
      taskRef:
        name: check-scan-result
      params:
        - name: image
          value: "$(params.image)"

    # 阶段4: 仅当扫描通过时部署
    - name: deploy
      runAfter: ["verify-scan"]
      when:
        - input: "$(tasks.verify-scan.status)"
          operator: in
          values: ["Succeeded"]
      taskRef:
        name: deploy-manifest

3. 核心 Task 实现
(1) 触发扫描 Task (trigger-harbor-scan)
apiVersion: tekton.dev/v1beta1
kind: Task
metadata:
  name: trigger-harbor-scan
spec:
  params:
    - name: image  # 格式: harbor.example.com/project/repo:tag
      type: string
  steps:
    - name: trigger
      image: curlimages/curl
      env:
        - name: HARBOR_USER
          valueFrom:
            secretKeyRef:
              name: harbor-creds
              key: username
        - name: HARBOR_PASS
          valueFrom:
            secretKeyRef:
              name: harbor-creds
              key: password
      script: |
        # 解析镜像地址
        DOMAIN=$(echo $(params.image) | cut -d/ -f1)
        PROJECT=$(echo $(params.image) | cut -d/ -f2)
        REPO_TAG=$(echo $(params.image) | cut -d/ -f3)
        REPO=$(echo $REPO_TAG | cut -d: -f1)
        TAG=$(echo $REPO_TAG | cut -d: -f2)

        # 调用 Harbor 扫描 API
        curl -u $HARBOR_USER:$HARBOR_PASS -X POST \
          "https://$DOMAIN/api/v2.0/projects/$PROJECT/repositories/$REPO/artifacts/$TAG/scan"

(2) 检查扫描结果 Task (check-scan-result)
apiVersion: tekton.dev/v1beta1
kind: Task
metadata:
  name: check-scan-result
spec:
  params:
    - name: image
      type: string
  steps:
    - name: verify
      image: alpine/curl
      env: [...]  # 同 trigger-scan 的凭证环境变量
      script: |
        # 解析镜像地址(同上)
        ...

        # 轮询扫描结果(最大重试10次)
        for i in {1..10}; do
          REPORT=$(curl -s -u $HARBOR_USER:$HARBOR_PASS \
            "https://$DOMAIN/api/v2.0/projects/$PROJECT/repositories/$REPO/artifacts/$TAG/additions/vulnerabilities")
          
          # 检查扫描状态
          STATUS=$(echo $REPORT | jq -r .scan_status)
          case $STATUS in
            "Success")
              # 检查 CRITICAL 漏洞数量
              CRITICALS=$(echo $REPORT | jq -r '.vulnerabilities[] | select(.severity=="Critical")' | jq -s length)
              if [ $CRITICALS -gt 0 ]; then
                echo "发现 $CRITICALS 个严重漏洞!"
                exit 1
              else
                echo "扫描通过,无严重漏洞"
                exit 0
              fi
              ;;
            "Running"|"Pending")
              sleep 10
              ;;
            *)
              echo "扫描失败: $STATUS"
              exit 1
              ;;
          esac
        done
        echo "扫描超时未完成"
        exit 1

4. 执行流程说明
  1. 镜像推送
    使用 Kaniko 构建镜像并推送到 Harbor
  2. 触发扫描
    通过 Harbor API 启动 Trivy 扫描
  3. 结果验证
    • 轮询扫描结果(约需 1-2 分钟)
    • 检测到 CRITICAL 漏洞时任务失败(exit 1)
  4. 条件部署
    仅当 verify-scan 成功时才执行部署任务

关键优化建议

  1. 超时控制
    check-scan-result Task 中增加 timeout 字段: 
    spec:
  timeout: "10m"  # 设置10分钟超时

  2. 通知机制
    添加 Task 发送扫描失败通知(如 Slack/邮件)
  3. 参数化安全阈值
    扩展 check-scan-result 支持配置漏洞阈值: 
    params:
  - name: max_critical
    type: number
    default: 0  # 默认不允许任何CRITICAL漏洞

:Harbor API 响应格式需参考官方文档,实际部署前建议使用 curl 测试 API 调用。

sdgsdfds
关注
第82章:Jenkins XTekton云原生CI框架
上海交通大学电院毕业,现互联网大厂开发工程师
03-28 196
构建包结构buildpack/自定义流水线步骤extends:pipelines:pipeline:stages:steps:使用自定义构建包共享构建包版本控制团队共享文档测试Jenkins X和Tekton代表了CI/CD工具向云原生方向演进的重要趋势,它们充分利用Kubernetes的能力,提供更加灵活、可扩展且云原生生态系统深度集成的解决方案。Jenkins X作为高级平台,提供了端到端的开发体验,而Tekton作为底层引擎,提供了强大的流水线执行能力。
DevOps工程技术价值流:制品库NexusHarbor的实战探索
heijunwei的博客
12-23 2202
制品库作为DevOps价值流中的一个关键环节,其重要性日益凸显。制品库,作为存储和管理软件开发过程中产生的各种制品(如代码包、镜像、配置文件等)的仓库,是连接开发、测试、部署等多个环节的桥梁。它不仅能够实现制品的统一存储和高效分发,还能够通过版本控制和依赖管理等功能,确保软件构建的稳定性和可追溯性。因此,深入探索和实践制品库的使用,对于提升DevOps价值流的整体效率和质量具有至关重要的作用。本文将围绕制品库在DevOps价值流中的实战应用,深入探讨其设计原则、关键功能、最佳实践以及未来发展趋势。
kubernetes的DevOps业务():Jenkins,GitLab,HarborTekton,GitOps
阿白,
05-20 9053
文章目录CI/CDJenKins安装插入一个问题解决(没遇到这个问题的直接跳过)架构配置测试GitlabGit部署配置gitgit本地仓库使用对比各个区域文件内容之间的差异git diff对比工作区和暂存区git diff --cached可以比对暂存区和本地仓库的文件差异git commit流程使用git loggit版本控制系统回退工作区回退(git checkout)暂存区退回到本地文件修改(git reset HEAD)上传至本地仓库回退(git reset --hard)git分支和操作创建删除
AI时代基于云原生的 CI/CD 基础设施 Tekton
ChaITSimpleLove的博客
08-11 1288
你还在使用传统的 Jenkins 吗?拥抱 AI 时代的云原生 CI/CD 基础设施 —— Tekton 在 DevOps 领域快速演进的今天,传统的 Jenkins 虽然曾经是 CI/CD 的标杆,但面对云原生时代的挑战,它已经显得力不从心。现代软件开发需要更加灵活、可扩展且 Kubernetes 深度集成的解决方案。
企业内部基础镜像构建更新策略实战:从构建规范到镜像仓库治理全流程解析
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
06-16 1136
在大规模企业级应用开发环境中,统一、可控且安全的基础镜像构建更新机制,是保证持续交付稳定性安全性的核心基建之一。本文聚焦企业内部基础镜像的构建生命周期管理,从构建流水线设计、更新发布策略、镜像签名漏洞扫描、到仓库版本治理等方面展开全链条实战探讨,结合 Harbor、JFrog Artifactory 等主流镜像仓库平台落地实践,总结一套可推广、可复用的企业级基础镜像管理范式。
【GitOps系列】自动化构建Image
Kason_iWiki
07-14 715
自动构建镜像的自托管方案:使用 Tekton 来自动构建镜像Tekton 是一款基于 Kubernetes 的 CI/CD 开源产品,如果已经有一个 Kubernetes 集群,那么利用 Tekton 直接在 Kubernetes 上构建镜像是一个不错的选择。
揭秘企业Agent镜像安全隐患:为何90%的团队忽略了签名验证?
PixelWander的博客
12-16 1002
揭示企业Agent镜像安全盲区,详解如何通过企业 Agent 的 Docker 镜像签名防范未授权镜像运行,适用于CI/CD流水线生产部署场景。采用数字签名验证确保镜像完整性来源可信,提升供应链安全防护能力,值得收藏。
从0到1构建云原生CI/CD流水线:9步打造企业级自动化部署体系
FuncTide的博客
10-03 442
掌握云原生自动化部署流水线构建方法,9步实现高效CI/CD。适用于Kubernetes环境下的微服务架构,涵盖GitOps、容器化、持续集成安全扫描等关键环节,提升发布效率系统稳定性,值得收藏。
Kubernetes 安全大揭秘:从攻击面剖析到纵深防御体系构建(下)
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
02-27 2077
Kubernetes安全已从单点防御演变为系统性工程,需在多维度攻防对抗中平衡敏捷性安全性。7.1 技术纵深防御体系总结1. 核心防御原则零信任架构服务间身份认证:mTLS、SPIFFE标准实现细粒度身份验证。动态权限控制:基于服务身份的RBAC(如Istio AuthorizationPolicy)取代IP白名单。最小化攻击面供应链净化:镜像签名、Helm Chart验证SBOM(Software Bill of Materials)阻断恶意代码注入。运行时沙箱化。
基于Docker的自动化构建部署流水线
用于实现代码提交后的一系列自动化操作:包括代码拉取、依赖安装、单元测试、集成测试、Docker镜像构建、镜像推送至镜像仓库(如Docker Hub、Harbor或阿里云容器镜像服务)、自动化部署到测试/预发布/生产环境,并可...
基于Docker的图像构建作业实现优化
每一次代码变更都能自动触发镜像构建,并在后续阶段进行单元测试、集成测试、安全扫描和性能评估,只有通过全部检查的镜像才被允许推送到生产环境。这种闭环机制极大提升了软件交付的速度质量。 压缩包中的文件夹...
CICD工具,Jenkins or Tekton or Arbess一文全面对比评测
zhangzh1978的博客
11-02 1057
Jenkins 作为开源CI/CD领域的领导者,支持超过 1000 个插件,覆盖构建、部署、测试等各个环节,使其成为开发生命周期的核心工具。Tekton 是由 ‌Google 开源‌的云原生 CI/CD 工具,通过K8S云平台快速灵活定义流水线,实现构建、测试和部署。Arbess 是由 Tiklab 团队开发的企业级CI/CD根据,主要包含流水线管理、流水线设计、流水线执行、测试报告、统计分析等模块,支持串行并行可视化设计方式,支持丰富多样的任务类型,支持分布式执行流水线,可免费私有化部署
qiyubrother_DelphiFrameDemo_25664_1766035689119.zip
12-19
qiyubrother_DelphiFrameDemo_25664_1766035689119.zip
The AES-CMAC Algorithm
12-19
The AES-CMAC Algorithm
Bilibili排行榜热门视频数据信息数据集 CSV+JSON
12-19
直接从bilibili api获取,字段名未经修改,具体字段含义请自查。
一个基于Vuejs框架构建的现代化实时聊天消息应用系统_该项目实现了用户注册登录验证联系人列表管理一对一私聊会话群组聊天室创建实时消息发送接收在线状态显示消息历史记录.zip
最新发布
12-19
一个基于Vuejs框架构建的现代化实时聊天消息应用系统_该项目实现了用户注册登录验证联系人列表管理一对一私聊会话群组聊天室创建实时消息发送接收在线状态显示消息历史记录.zip
十轴IMU模块-AHRS角度姿态、加速度计、磁力计、气压陀螺仪传感器资料下载
12-19
十轴IMU模块-AHRS角度姿态、加速度计、磁力计、气压陀螺仪传感器资料下载 1、通信协议 说明 2、3D模型。 3、程序源码。(1)IIC和主控通信、(2)串口和主控通信。主控包含:Arduino、STM32、ESP32、Raspberry5等。
EI复现基于主从博弈的新型城镇配电系统产消者竞价策略【IEEE33节点】(Matlab代码实现)电力系统基于主从博弈的新型城镇配电系统产消者竞价策略研究IEEEEI复现基于主从博弈的新型33节点
12-19
【EI复现】基于主从博弈的新型城镇配电系统产消者竞价策略【IEEE33节点】(Matlab代码实现)内容概要:本文介绍了基于主从博弈理论的新型城镇配电系统中产消者竞价策略的研究,结合IEEE33节点系统,利用Matlab进行仿真代码实现。该研究聚焦于电力市场环境下产消者(既生产又消费电能的主体)之间的博弈行为建模,通过构建主从博弈模型优化竞价策略,提升配电系统运行效率经济性。文中详细阐述了模型构建思路、优化算法设计及Matlab代码实现过程,旨在复现高水平期刊(EI收录)研究成果,适用于电力系统优化、能源互联网及需求响应等领域。; 适合人群:具备电力系统基础知识和一定Matlab编程能力的研究生、科研人员及从事能源系统优化工作的工程技术人员;尤其适合致力于电力市场博弈、分布式能源调度等方向的研究者。; 使用场景及目标:① 掌握主从博弈在电力系统产消者竞价中的建模方法;② 学习Matlab在电力系统优化仿真中的实际应用技巧;③ 复现EI级别论文成果,支撑学术研究或项目开发;④ 深入理解配电系统中分布式能源参市场交易的决策机制。; 阅读建议:建议读者结合IEEE33节点标准系统数据,逐步调试Matlab代码,理解博弈模型的变量设置、目标函数构建求解流程;同时可扩展研究不同市场机制或引入不确定性因素以增强模型实用性。
储能辅助火电机组二次调频控制策略及容量优化配置研究(Matlab代码和Simulink仿真)
12-19
储能辅助火电机组二次调频控制策略及容量优化配置研究(Matlab代码和Simulink仿真)内容概要:本文围绕储能辅助火电机组二次调频控制策略及容量优化配置展开研究,结合Matlab代码Simulink仿真工具,提出改进的控制策略以提升火电机组在电力系统频率调节中的响应速度稳定性。研究重点包括储能系统参二次调频的动态控制模型构建、调频责任分配机制设计、储能容量优化配置方法,以及经济性技术性能的综合权衡。通过建立系统仿真模型,验证了所提策略在抑制频率偏差、减少机组磨损和延长储能寿命方面的有效性,并采用优化算法求解最小化全寿命周期成本的储能容量配置方案。; 适合人群:具备电力系统基础知识和Matlab/Simulink仿真能力的研究生、科研人员及从事电力调度、储能系统设计的工程技术人员。; 使用场景及目标:①研究储能参电网频率调节的控制逻辑实现方式;②掌握基于仿真平台的二次调频性能评估方法;③学习储能容量优化配置的建模求解流程,服务于实际项目规划科研课题开发; 阅读建议:建议结合提供的Matlab代码Simulink模型进行逐模块仿真调试,重点关注控制策略的实现细节优化算法的参数设置,同时对照电力系统运行标准理解仿真结果的实际意义。
IBM云架构教程:TektonArgoCD集成部署指南
通过Git仓库同步,ArgoCD可以持续监控应用程序的当前状态,并将其期望状态进行比较,自动部署或回滚到期望状态,从而实现了应用程序的声明式部署。 4. Git仓库设置:教程中提到了设置三个不同的Git仓库,分别...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值