一、简介
许多三方网站和应用可以与 Jenkins 交互,如 Artifact 仓库,基于云的存储系统和服务等。
此类应用的系统管理员可以在应用程序中配置 credentials 供 Jenkins 使用,通常将访问控制应用于这些 credentials,以“锁定” Jenkins 可用的应用程序功能区域。一旦 Jenkins 管理员在Jenkins中添加/配置这些 credentials,Pipeline项目就可以使用 credentials 与三方应用交互。
存储在 Jenkins 中的credentials可以被使用:
- 适用于 Jenkins 的任何地方 (即全局 credentials)。
- 通过特定的 Pipeline 项目/项目。
- 由特定的 Jenkins 用户(如 Pipeline 项目中创建 Blue Ocean 的情况)。
Jenkins 可以存储以下类型的 credentials:
- Secret text - API token 之类的 token (如 GitHub 个人访问 token)。
- Username and password - 可以为独立的字段,也可以为冒号分隔的字符串:username:password。
- Secret file - 保存在文件中的加密内容。
- SSH Username with private key - SSH 公钥/私钥对。
- Certificate - a PKCS#12 证书文件和可选密码。
- Docker Host Certificate Authentication credentials。
二、Credential 安全
为了最大限度地提高安全性,在 Jenins 中配置的 credentials 以加密形式存储在Jenkins 主节点上(用 Jenkins ID 加密),并且只能通过 credentials ID 在 Pipeline 项目中获取。
这最大限度地减少了向 Jenkins 用户公开 credentials 真实内容的可能性,并且阻止了将 credentials 复制到另一台 Jenkins 实例。
评论