返回文章列表
玄貓(BlackCat)

Jenkins SSH 認證設定與憑證管理

本文介紹如何在 Jenkins 中設定 SSH 認證,包含私鑰設定、認證提供者組態以及不同認證型別和範圍的說明。文章也涵蓋瞭如何在 Jenkins 工作中使用新建立的認證,並探討認證域和倉函式庫 URL 的影響。最後,文章詳細說明瞭如何在 Jenkins 中管理憑證,包含全域認證和使用者範圍認證的建立與設定。

DevOps CI/CD
Jenkins SSH 憑證管理 GitLab CI/CD 流程 DevOps 工具

在 Jenkins CI/CD 流程中,安全地管理和使用憑證至關重要。本文將深入探討如何在 Jenkins 中設定 SSH 認證,包括使用私鑰進行驗證,以及如何組態認證提供者。同時,我們也會討論不同認證型別(例如使用者名稱和密碼)以及如何根據需求設定全域或使用者範圍的認證。理解這些概念能確保你的 Jenkins 環境安全且有效率地運作,尤其在與 GitLab 等版本控制系統整合時,正確的憑證管理更能避免存取問題並簡化工作流程。

SSH 認證設定

在連線到系統時,例如 GitLab,需要設定認證。這包括了使用者名稱和私鑰。

建立 SSH 認證

  1. 選擇「直接輸入」選項,並貼上建立的私鑰。
  2. 如果有密碼,請在密碼欄位中輸入(參考圖 8-9)。
  3. 點選「確定」按鈕。

注意:在 Jenkins 中建立 SSH 認證之前,需要使用 ssh-keygen 命令建立公鑰和私鑰。這部分將在後續章節中詳細介紹。

使用新建立的認證

點選「確定」按鈕後,認證專案將被建立在 GitLabCredentialsDomain 中。圖 8-10 顯示如何在 Jenkins 工作中使用這個新建立的認證專案。

圖 8-10 中的認證下拉選單顯示了我們剛剛建立的認證專案。

認證提供者設定

在 Jenkins 中,可以設定不同的認證型別。這些設定可以用於不同的應用場合,例如 GitLab 或其他版本控制系統。

認證域和倉函式庫 URL

當更改倉函式庫 URL 時,可能會發生認證專案未被列出的情況(參考圖 8-11)。這個問題將在後續章節中討論 Jenkins 和 Git 整合時進行解釋。

內容解密:

  • 建立 SSH 認證需要使用私鑰和密碼(如果有)。
  • 認證專案可以在 Jenkins 工作中使用。
  • 不同的認證型別可以在 Jenkins 中設定。
  • 認證域和倉函式庫 URL 的變化可能會影響認證專案的可用性。

圖表翻譯:

@startuml
skinparam backgroundColor #FEFEFE

title Jenkins SSH 認證設定與憑證管理

|開發者|
start
:提交程式碼;
:推送到 Git;

|CI 系統|
:觸發建置;
:執行單元測試;
:程式碼品質檢查;

if (測試通過?) then (是)
    :建置容器映像;
    :推送到 Registry;
else (否)
    :通知開發者;
    stop
endif

|CD 系統|
:部署到測試環境;
:執行整合測試;

if (驗證通過?) then (是)
    :部署到生產環境;
    :健康檢查;
    :完成部署;
else (否)
    :回滾變更;
endif

stop

@enduml

圖表顯示了建立 SSH 認證、使用私鑰和密碼、點選確定按鈕、認證專案被建立、使用認證專案在 Jenkins 工作中、設定不同的認證型別以及認證域和倉函式庫 URL 的變化之間的關係。

管理憑證提供者

要管理Jenkins的憑證提供者,首先需要進入「管理Jenkins」頁面,然後點選「組態憑證提供者」鏈結。這將開啟「組態憑證提供者」頁面,該頁面顯示了兩個下拉選單:「提供者」和「型別」,預設選擇的是「所有可用」選項。

組態憑證提供者

在「組態憑證提供者」頁面上,有兩個重要的設定需要關注:

  • 提供者:在「提供者」下拉選單中,選擇「僅選擇」選項,這將顯示兩個選項:Jenkins憑證提供者和使用者憑證提供者。
  • Jenkins憑證提供者:此提供者從Jenkins根目錄提供憑證,並允許您在Jenkins(預設域)中建立全域性和系統型別的憑證,以及特定域(非預設域)的憑證。全域性型別的憑證對所有使用者的所有工作都可用。
  • 使用者憑證提供者:在使用者憑證提供者中建立的憑證僅對由玄貓建立和觸發的工作可用。

建立使用者憑證提供者中的憑證

要在使用者憑證提供者中建立憑證,請按照以下步驟進行:

  1. 點選使用者名稱旁邊的「憑證」鏈結。
  2. 然後,點選「儲存」欄中的鏈結。

這些步驟將引導您完成在使用者憑證提供者中建立新憑證的過程。

管理認證:範圍和型別

在 Jenkins 中,認證是用來存取不同資源的重要組成部分。瞭解如何管理認證對於維護 Jenkins 的安全性和功能性至關重要。在本章中,我們將探討如何建立具有不同範圍和型別的認證,並如何組態認證提供者以滿足不同的需求。

建立具有不同範圍的認證

Jenkins 允許您建立具有不同範圍的認證,包括全域認證和使用者範圍認證。全域認證可以被所有使用者存取,而使用者範圍認證則只對特定的使用者可見。

  1. 全域認證:要建立全域認證,您需要點選「全域認證(無限制)」連結,這將開啟「全域認證(無限制)」頁面。
  2. 使用者範圍認證:要建立使用者範圍認證,您需要點選使用者名稱連結,然後點選「儲存範圍到使用者」表格中的「新增認證」連結。

組態認證提供者

認證提供者是 Jenkins 中的一個重要元件,負責管理和提供認證。您可以組態認證提供者以控制可以建立哪些型別的認證。

  1. 選擇型別:在「型別」下拉選單中,選擇「僅選擇」選項,這將顯示可用的選項。
  2. 組態型別:您可以選擇要啟用的認證型別,例如「使用者名稱和密碼」。

認證型別和範圍

瞭解不同型別的認證及其適用範圍是非常重要的。例如,「使用者名稱和密碼」型別的認證適合於需要存取特定資源的場景。

內容解密:

上述流程圖展示了建立和管理 Jenkins 認證的基本步驟。從建立全域認證開始,到組態認證提供者和選擇適當的認證型別,每一步都對於維護 Jenkins 的安全性和功能性至關重要。

圖表翻譯:

此圖表展示了 Jenkins 認證管理流程的視覺化表示。透過這個流程圖,您可以清晰地看到建立和管理不同型別的認證所涉及的步驟,以及如何組態認證提供者以滿足特定的需求。這有助於您更好地理解和應用 Jenkins 的認證管理功能。

深入剖析 SSH 認證設定的流程與機制後,可以發現,安全有效地管理憑證是持續整合與佈署流程的關鍵環節。本文從建立 SSH 認證、使用新建立的認證、認證提供者設定,到管理憑證提供者、管理認證的範圍和型別,都進行了詳細的說明。多維度比較分析顯示,區分全域性認證和使用者範圍認證,並針對不同應用情境選擇合適的認證型別,例如「使用者名稱和密碼」或 SSH 私鑰,能有效提升系統安全性,同時兼顧使用便利性。技術限制深析指出,認證域和倉函式庫 URL 的變化可能影響認證專案的可用性,這需要開發者額外關注並妥善組態。未來3-5年,隨著 DevOps 理念的普及和自動化程度的提高,預計將出現更精細化、更自動化的認證管理工具和平臺,例如整合生物識別技術或根據角色的存取控制。玄貓認為,技術團隊應著重於建立完善的認證管理策略,並持續關注新興技術,才能確保系統安全並提升開發效率。