基于 Jenkins 的 DevOps 平台应该如何设计凭证管理

最新推荐文章于 2025-06-27 01:56:26 发布
转载 最新推荐文章于 2025-06-27 01:56:26 发布 · 121 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/jenkinszh/blog/3050656
文章标签:

#运维 #devops #git

本文围绕基于Jenkins实现的DevOps平台的凭证管理问题展开。先指出初始方案存在数据不一致、安全隐患和无法实现高可用等问题,接着明确期望目标,介绍实现方式,还提及会遇到适配插件和凭证加密的坑,最后给出解耦凭证管理的方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本文首发于:Jenkins 中文社区

背景

了解到行业内有些团队是基于 Jenkins 开发 DevOps 平台。而基于 Jenkins 实现的 DevOps 平台,就不得不考虑凭证的管理问题。

本文就此问题进行讨论,尝试找出相对合理的管理凭证的方案。

一开始我们想到的方案可能是这样的:用户在 DevOps 平台增加凭证后,DevOps 再将凭证同步到 Jenkins 上。Jenkins 任务在使用凭证时,使用的是存储在 Jenkins 上的凭证,而不是 DevOps 平台上的。

但是,仔细想想,这样做会存在以下问题:

  • Jenkins 与 DevOps 平台之间的凭证数据会存在不一致问题。
  • 存在一定的安全隐患。通过 Jenkins 脚本命令行很容易就把所有密码的明文拿到。哪天 Jenkins 被注入了,所有的凭证一下子就被扒走。
  • 无法实现 Jenkins 高可用,因为凭证存在 Jenkins master 机器上。

那么,有没有更好的办法呢?

期望实现的目标

先定我们觉得更合理的目标,然后讨论如何实现。以下是笔者觉得合理的目标:

用户还是在 DevOps 管理自己的凭证。但是 DevOps 不需要将自己凭证同步到 Jenkins 上。Jenkins 任务在使用凭证时,从 DevOps 上取。

实现方式

Jenkins 有一个 Credentials Binding Plugin 插件,在 Jenkins pipeline 中的用法如下:

withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) {
    sh '''
      curl -u "$USERPASS" https://private.server/ > output
    '''
  }

withCredentials 方法做的事情就是从 Jenkins 的凭证列表中取出 id 为 mylogin 的凭证,并将值赋到变量名为 USERPASS 的变量中。接下来,你就可以在闭包中使用该变量了。

说到这里,不知道读者朋友是否已经有思路了?

思路就是实现一个和 Credentials Binding Plugin 插件类似功能的方法,比如叫 zWithCredentials(后文还会提到)。与 withCredentials 不同的是,zWithCredentials 根据凭证 id 获取凭证时,不是从 Jenkins 上获取,而是从 DevOps 平台获取。

会遇到的坑

需要适配只认 Jenkins 凭证的插件

withCredentials 方法是将凭证的内容存到变量中,这可以满足一大部分场景。但是有一种场景是无法满足的。就是某些 Jenkins 插件的步骤接收参数时,参数值必须是 Jenkins 凭证管理系统中的 id。比如 git 步骤中 credentialsId 参数:

git branch: 'master',
    credentialsId: '12345-1234-4696-af25-123455',
    url: 'ssh://git@bitbucket.org:company/repo.git'

这种情况,我们不可能修改现有的插件。因为那样做的成本太高了。

那怎么办呢?

笔者想到的办法是在 zWithCredentials 中做一些 hack 操作。也就是 zWithCredentials 除了从 DevOps 平台获取凭证,还在 Jenkins 中创建一个 Jenkins 凭证。在 Jenkins 任务执行完成后,再将这个临时凭证删除。这样就可以适配那些只认 Jenkins 凭证 id 的插件了。

对凭证本身的加密

DevOps 平台在存储凭证、传输凭证给 Jenkins 时,都需要对凭证进行加密。至于使用何种加密方式,交给读者思考了。

小结

以上解决方案对 Jenkins 本身的改造几乎没有,我们只通过一个插件就解耦了 Jenkins 的凭证管理和 DevOps 平台的凭证管理。

思路已经有了。具体怎么实现,由于一些原因不能开源,虽然实现起来不算难。还请读者见谅。

最后,希望能和遇到同样问题的同学进行交流。看看是否还可以有更好的设计思路。

作者:翟志军

转载于:https://my.oschina.net/jenkinszh/blog/3050656

Jenkins DevOps 平台中的凭证管理设计
DkDebug的博客
09-21 72
凭证管理DevOps 流程中扮演着重要的角色,它用于安全地存储和管理访问敏感信息的凭证,例如密码、API 密钥和证书。Jenkins 是一个广泛使用的持续集成和交付工具,提供了强大的凭证管理功能,使用户能够安全地使用这些凭证来执行各种操作,如构建、部署和自动化测试。本文将详细介绍基于 JenkinsDevOps 平台凭证管理设计和实施。
云原生 DevOpsJenkins Pipeline 自动化构建全攻略
最新发布
AI云原生与云计算技术学院
07-13 400
本文旨在为开发者和DevOps工程师提供全面的Jenkins Pipeline实践指南,特别是在云原生环境中的应用。内容涵盖从基础概念到高级实践的全套解决方案,适用于各种规模的项目。本文首先介绍核心概念,然后深入Pipeline语法和实现,接着展示实际项目案例,最后讨论高级主题和最佳实践。云原生(Cloud Native):构建和运行充分利用云计算模型优势的应用方法DevOps:开发(Dev)和运维(Ops)的结合,强调自动化和监控:Jenkins中定义CI/CD流程的DSL。
基于Jenkins构建Devops
weixin_50053219的博客
05-08 721
Jenkins主引擎+众多插件+定制化功能开发 = DevopsJenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(Tomcat)。它支持软件配置管理(SCM)工具(包括AccuRev SCM、CVS、Subversion、Git、Perforce、Clearcase和RTC),可以执行基于Apache Ant和Apache Maven的项目,以及任意的Shell脚本和Windows批量处理命令。Jenkins的主要开发者是川口耕介。Jenkins是在MIT许可证下发布的自由软件。
基于Jenkins和Kubernetes构建DevOps自动化运维管理平台
2401_86478612的博客
06-27 1061
DevOps是一种强调开发(Development)和运维(Operations)协作的软件开发方法论。它通过自动化和工具链,将软件开发的各个阶段(开发、测试、构建、部署、运维)无缝连接,实现持续集成和持续交付,从而提高软件开发的速度和质量。自动化:通过自动化工具减少人工干预,提高效率,降低错误率。协作:打破开发和运维之间的壁垒,促进团队协作。持续改进:通过持续的反馈和改进,不断优化开发和运维流程。基础设施即代码:将基础设施配置以代码形式管理,提高一致性和可重复性。
jenkins 凭证管理
weixin_39560112的博客
03-16 1100
在右上角的用户下拉
jenkins——凭据管理
python全栈
04-16 2920
Dashboard -> 系统管理(Manage Jenkins) -> Manage Credentials -> Stores scoped to Jenkins ->添加凭据。Dashboard -> 系统管理(Manage Jenkins) -> Manage Credentials -> Stores scoped to Jenkins 点击工具符号。Dashboard ——> 系统管理(Manage Jenkins) ——> Manage Credentials。
基于JenkinsDevops(配合Docker,Gitee)实现CI/CD
spphacker的博客
05-16 431
本篇展示两个微服务,一个微服务含数据库,一个不含数据库。 一、Gitee目录结构 详见:gitee具体文件目录 为后续Dockerfile和docker-compose.yml使用 . 二、Dockerfile编写 service1: FROM java:8 COPY ./docker01-0.0.1-SNAPSHOT.jar /app.jar EXPOSE 6001 ENTRYPOINT ["java","-jar","/app.jar"]
owen2016#DevOps-Practices#Jenkins-凭证管理1
07-25
Jenkins 凭证管理许多三方网站和应用可以与Jenkins交互,如Artifact仓库,基于云的存储系统和服务等. 在Jenkins中添加/配置creden
【云原生-DevOps】企业级DevOps平台搭建及技术选型-CICD篇
热门推荐
起而行动,方能平定心中的惶恐
10-29 2万+
Ingress相当于K8S集群的流量入口(后端通过Nginx实现),根据Host和Path判断把流量分发到具体的后端应用。在K8S中就是最主要的,主要包含多个Pod,如最大最小内存、最大最小CPU限制,这样设置后也会保护我们的主机。如果调用者与GRPC服务在同一个K8S集群中,可直接通过列表中的访问地址进行访问,无须加端口。如果调用者与GRPC服务不在用一个K8S集群中,则访问者需要绑Hosts,域名为访问地址。填写的Host不会自动解析到K8S集群入口,需要用户自行解析到集群任一节点的IP。
6.《DevOps》系列K8S部署CICD流水线之K8S通过Yaml部署动态Jenkins-slave,以及Jenkins平台基于Gitlab实现SSO授权认证
Fly_wd的博客
09-19 1328
devops系列之通过k8s部署GitLab、Harbor、Jenkins打造CICD流水线,目前为K8S通过Yaml部署jenkins并且制作jenkins-slave镜像包,实现jenkins-slave架构,利用动态伸缩提升性能
Jenkins+Kubernetes企业级DevOps容器云平台
悦分享
12-17 921
主 Master 发生单点故障时,整个流程都不可用了每个 Slave 的配置环境不一样,来完成不同语言的编译打包等操作,但是这些差异化的配置导致管理起来非常不方便,维护起来也是比较费劲资源分配不均衡,有的 Slave 要运行的 job 出现排队等待,而有的 Slave 处于空闲状态资源有浪费,每台 Slave 可能是物理机或者虚拟机,当 Slave 处于空闲状态时,也不会完全释放掉资源。
一篇文章带你用Jenkins和Kubernetes搭建DevOps平台
XiaoHH的博客
07-19 2805
使用Jenkins+Kubernetes搭建一个基于git版本的自动化部署平台
Jenkins凭证/凭据管理详解
运维@小兵的博客
01-08 9054
Jenkins凭证/凭据管理详解
DevOps 内容分享(四):基于 Jenkins 和 K8S 构建企业级 DevOps 容器云平台
之乎者也·的博客
02-08 1978
DevOps 中的 Dev 是 Devlopment(开发),Ops 是 Operation(运维),用一句话来说 DevOps 就是打通开发运维的壁垒,实现开发运维一体化。DevOps 整个流程包括敏捷开发->持续集成->持续交 付->持续部署。
JenKins 凭据管理
JinZcheng的博客
11-11 166
凭据管理的作用:管理ssh、邮箱、git等认证信息凭据管理入口Dashboard -> 系统管理(Manage Jenkins) -> Manage Credentials。
jenkins-凭证管理
jll126的博客
06-04 1373
目录1、安装Credentials Binding插件。2、结合git上拉取代码,演示凭证管理。 2.1、jenkins上安装git插件 2.2、CentOS7上安装Git工具3、用户密码类型创建凭证 3.1、添加http凭据3.1.1、使用凭证 3.1.2、使用Jenkins构建,拉取代码 3.2、添加ssh凭据 3.2.1、使用root用户生成公钥和私钥3.2.2、把生成的公钥放在gitlab上凭证可以用来存储需要密文保护的数据库密码、Gitlab密码信息、Docker私有仓库密码等,以便Jenki
Jenkins 凭证管理
陈皮的JavaLib
04-25 2629
在持续集成环境中,Jenkins 一般会和 Gitlab,Docker 等集成使用,和这些第三方应用交互需要密码,密钥,证书等凭证
Jenkins Devops 产品集成方案,要求方案可落地实现,不是概念性知识。 支持租户的逻辑隔离,动态使用GIT仓库。
03-12
<think>嗯,用户想要一个具体的、可实施的JenkinsDevOps产品集成方案,支持多租户逻辑隔离和动态管理Git仓库。首先,我得理解多租户逻辑隔离是什么意思。多租户通常指不同团队或项目共享同一套系统,但彼此资源隔离,互不影响。动态管理Git仓库可能是指按需自动创建或配置仓库,比如每个新项目或租户自动生成对应的仓库。 先想想Jenkins如何支持多租户。可能需要使用到文件夹(Folders)插件,这样可以为每个租户创建独立的文件夹,设置不同的权限和配置。或者用基于角色的权限管理,比如Role-based Authorization Strategy插件,给不同团队分配不同权限。 然后是动态管理Git仓库。用户提到Git仓库的动态使用,可能需要在创建新项目时自动生成Git仓库。比如,当有新的租户注册或新项目启动时,通过API调用Git服务(如GitHub、GitLab)创建新仓库,并将仓库信息自动配置到Jenkins任务中。这里可能需要用到Jenkins的Job DSL插件或者Pipeline as Code,通过代码定义任务,结合脚本自动创建仓库。 接下来考虑集成其他DevOps工具。比如版本控制用GitLab,镜像仓库用Harbor,容器编排用Kubernetes。整个CI/CD流程中,Jenkins负责构建、测试,然后生成镜像推送到Harbor,再触发Kubernetes部署。同时,各个租户的环境可能需要独立的命名空间,比如Kubernetes的namespace,来隔离资源。 权限管理方面,除了Jenkins本身的权限插件,还需要考虑Git仓库的权限控制。例如,GitLab的组和项目权限,确保每个租户只能访问自己的仓库。同时,Jenkins凭证管理需要安全,每个租户的凭证不能互相访问。 动态生成流水线部分,可能需要使用Jenkins的共享库(Shared Libraries),将公共的流水线逻辑抽象出来,各租户根据模板生成自己的Jenkinsfile。或者使用配置即代码(JCasC)来管理Jenkins的配置,确保环境的一致性和可重复性。 还要参考用户提供的引用内容,比如引用[1]提到不同环境(dev、staging、production)有各自的命名空间和Git仓库,这可能对应多租户的不同环境。引用[3]提到DevOps不仅仅是CI/CD,还要考虑流程整合,所以集成方案需要涵盖整个工具链的协作。 安全性方面,可能需要使用VPC内网的镜像仓库,如引用[4]的阿里云镜像仓库,确保镜像推送的安全。同时,容器编排如Kubernetes(引用[5])需要配置网络策略,限制不同租户的访问。 最后,整个方案需要考虑自动化程度,比如当新租户加入时,通过脚本或API自动创建所需资源(Git仓库、Jenkins任务、Kubernetes命名空间等),减少手动操作,提高效率。</think>### JenkinsDevOps工具链集成方案(多租户逻辑隔离+动态Git仓库管理) #### 一、核心架构设计 1. **多租户隔离模型** - 使用**Jenkins Folders插件**为每个租户创建独立命名空间,例如:`tenantA-dev`、`tenantB-prod` - 通过**Kubernetes命名空间**实现资源隔离(参考引用[1]的环境隔离设计)[^1] - 权限控制:基于**Role-Based Access Control (RBAC)**,结合Jenkins的`Role Strategy`插件[^3] 2. **动态Git仓库管理** - 使用**GitLab API**或**GitHub Actions**自动创建租户专属仓库 - 仓库命名规则:`{tenant}-{project}-{env}`,例如:`tenantA-webapp-dev` - 通过**Jenkins Job DSL**动态生成流水线配置[^4] #### 二、具体实施步骤 1. **基础环境配置** ```groovy // Jenkinsfile 多租户流水线模板 pipeline { agent any environment { GIT_REPO = "git@gitlab.com:${tenant}/${project}.git" // 动态仓库地址 } stages { stage('Build') { steps { sh 'docker build -t ${IMAGE_TAG} .' dockerPush('registry-vpc.example.com/${tenant}/${image}') // 引用[4]的镜像推送模式 } } } } ``` 2. **权限隔离实现** | 租户 | Jenkins角色 | Git仓库权限 | Kubernetes命名空间 | |---------|------------------|-------------------|--------------------| | TenantA | tenantA-developer| repo:tenantA-* | ns-tenantA | | TenantB | tenantB-operator | repo:tenantB-prod | ns-tenantB | 3. **动态资源创建流程** ```mermaid graph TD A[新租户注册] --> B{调用GitLab API创建仓库} B --> C[Jenkins API创建Folder] C --> D[Kubernetes创建Namespace] D --> E[配置RBAC规则] ``` #### 三、关键集成工具链 1. **版本控制**:GitLab CE(支持细粒度权限管理) 2. **CI/CD引擎**:Jenkins + Blue Ocean可视化界面 3. **容器编排**:Kubernetes(多租户namespace隔离,引用[5])[^5] 4. **安全加固**:Vault用于密钥管理,Harbor私有镜像仓库 #### 四、运维监控方案 - 使用**Prometheus**+**Grafana**监控各租户资源使用情况 - **ELK Stack**实现租户级日志隔离查询 - 通过**SaltStack**统一管理基础设施配置(引用[2])[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值