bitnamicharts/chainloop Docker Image Overview

bitnamicharts/chainloop

Bitnami提供的Helm chart，用于在Kubernetes环境中部署Chainloop。

0 次下载

⚠️ 线上容器拉取慢、不稳定？拉镜像别再赌运气

中文简介版本下载

⚠️ 线上容器拉取慢、不稳定？拉镜像别再赌运气

Chainloop 镜像文档

镜像概述和主要用途

Chainloop 是一个开源的软件供应链控制平面，作为元数据和工件的单一事实来源，以及声明式证明过程。它提供了对软件供应链的全面控制，确保供应链的透明度、安全性和可追溯性。

Chainloop 官方网站

商标说明：本软件列表由 Bitnami 打包。产品中提及的各个商标分别归各自公司所有，使用这些商标并不意味着任何关联或认可。

核心功能和特性

软件供应链控制平面：统一管理软件供应链的各个环节
元数据和工件管理：作为单一事实来源存储和管理所有相关元数据和工件
声明式证明过程：支持软件供应链的声明式证明和验证
多密钥管理后端：支持 Hashicorp Vault、AWS Secrets Manager、GCP Secret Manager 和 Azure KeyVault
灵活的部署模式：提供标准模式（生产环境）和开发模式（快速试用）
外部数据库支持：可连接外部 PostgreSQL 数据库或使用内置实例
自定义域名和 TLS：支持配置自定义域名和 TLS 加密
Prometheus 监控：暴露 Prometheus 兼容的指标端点
AirGap 环境支持：支持在隔离环境中部署

使用场景和适用范围

开发环境：通过开发模式快速部署完整的 Chainloop 环境，包含预配置的 Vault 和身份验证
生产环境：通过标准模式部署，连接外部安全的密钥管理服务和数据库
企业级软件供应链：为企业提供安全、透明、可追溯的软件供应链管理
合规性要求高的环境：满足严格的合规性和审计要求
隔离网络环境：支持在无互联网连接的 AirGap 环境中部署和使用

快速开始 (TL;DR)

console
helm install my-release oci://registry-1.docker.io/bitnamicharts/chainloop

如需在生产环境中使用 Chainloop，建议尝试 VMware Tanzu Application Catalog，这是 Bitnami 目录的商业版本。

安装指南

前提条件

Kubernetes 1.23+
Helm 3.2.0+
底层基础设施支持 PV 供应器（如果启用内置 PostgreSQL）

已验证兼容以下 Ingress 控制器，其他控制器可能工作也可能不工作：

Nginx Ingress Controller
Traefik

安装图表

此图表提供两种部署模式：标准模式 和 开发模式。

标准模式 (默认)

!部署架构

默认部署模式依赖预先可用的外部依赖项。

此模式下的 Helm Chart 包括：

Chainloop Controlplane
Chainloop Artifact proxy
默认启用的 PostgreSQL 依赖项

安装过程中，您需要提供：

Open ID Connect 身份提供程序 (IDp) 设置，即 Auth0 设置
密钥存储后端的连接设置，可以是 Hashicorp Vault 或 AWS Secrets Manager
用于 Controlplane 到 CAS 身份验证的 ECDSA (ES512) 密钥对

创建 ECDSA 密钥对的说明可在此处找到。

标准模式安装示例

注意：我们不建议以明文形式传递或存储敏感数据。对于生产环境，请考虑使用 Sops、Helm Secrets 或 Sealed Secrets 等工具对覆盖值进行加密。

部署 Chainloop，配置为使用捆绑的 PostgreSQL、外部 OIDC IDp 和 Vault 实例。

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \
    # Open ID Connect (OIDC)
    --set controlplane.auth.oidc.url=[OIDC URL] \
    --set controlplane.auth.oidc.clientID=[clientID] \
    --set controlplane.auth.oidc.clientSecret=[clientSecret] \
    # 密钥后端
    --set secretsBackend.vault.address="https://[vault address]:8200" \
    --set secretsBackend.vault.token=[token] \
    # 服务器身份验证密钥对
    --set casJWTPrivateKey="$(cat private.ec.key)" \
    --set casJWTPublicKey="$(cat public.pem)"

使用 AWS Secrets Manager 代替 Vault 进行部署：

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \
    # Open ID Connect (OIDC)
    # ...
    # 密钥后端
    --set secretsBackend.backend=awsSecretManager \
    --set secretsBackend.awsSecretManager.accessKey=[AWS ACCESS KEY ID] \
    --set secretsBackend.awsSecretManager.secretKey=[AWS SECRET KEY] \
    --set secretsBackend.awsSecretManager.region=[AWS region]\
    # 服务器身份验证密钥对
    # ...

使用 GCP Secret Manager：

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \
    # Open ID Connect (OIDC)
    # ...
    # 密钥后端
    --set secretsBackend.backend=gcpSecretManager \
    --set secretsBackend.gcpSecretManager.projectId=[GCP Project ID] \
    --set secretsBackend.gcpSecretManager.serviceAccountKey=[GCP Auth KEY] \
    # 服务器身份验证密钥对
    # ...

使用 Azure KeyVault：

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \
    # Open ID Connect (OIDC)
    # ...
    # 密钥后端
    --set secretsBackend.backend=azureKeyVault \
    --set secretsBackend.azureKeyVault.tenantID=[AD tenant ID] \
    --set secretsBackend.azureKeyVault.clientID=[Service Principal ID] \
    --set secretsBackend.azureKeyVault.clientSecret=[Service Principal secret] \
    --set secretsBackend.azureKeyVault.vaultURI=[Azure KeyVault URI]
    # 服务器身份验证密钥对
    # ...

连接到外部 PostgreSQL 数据库：

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \
    # Open ID Connect (OIDC)
    # ...
    # 密钥后端
    # ...
    # 服务器身份验证密钥对
    # ...
    # 外部数据库设置
    --set postgresql.enabled=false \
    --set controlplane.externalDatabase.host=[DB_HOST] \
    --set controlplane.externalDatabase.user=[DB_USER] \
    --set controlplane.externalDatabase.password=[DB_PASSWORD] \
    --set controlplane.externalDatabase.database=[DB_NAME]

开发模式

为了提供一种简单的方式来试用 Chainloop，此 Helm Chart 提供了一个可选的开发模式，可以通过标志 development=true 启用。

重要：请勿在生产环境中使用此模式

!开发环境部署

此模式下的 Helm Chart 包括：

Chainloop Controlplane
Chainloop Artifact proxy
默认启用的 PostgreSQL 依赖项
预先配置的 Hashicorp Vault 实例，以开发模式运行（未密封、内存中、不安全）
预先配置的 Dex OIDC 实例

图表上的预设用户配置包括两个用户，信息如下：

text
用户名: ***
密码: password

用户名: ***
密码: password

完整的 OIDC 配置可以在 values.yaml 文件中找到。

警告：不要在生产环境中使用此模式，生产环境应使用标准模式。

开发模式安装示例

利用内置的 Vault 和 PostgreSQL 实例进行部署：

console
helm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop --set development=true

配置说明

全局参数

名称	描述	默认值
`global.imageRegistry`	全局 Docker 镜像仓库	`""`
`global.imagePullSecrets`	全局 Docker 仓库密钥名称数组	`[]`
`global.security.allowInsecureImages`	允许跳过镜像验证	`false`
`global.compatibility.openshift.adaptSecurityContext`	调整部署的 securityContext 部分，使其与 Openshift restricted-v2 SCC 兼容：删除 runAsUser、runAsGroup 和 fsGroup，让平台使用其允许的默认 ID。可能的值：auto（如果检测到运行的集群是 Openshift，则应用），force（始终执行适配），disabled（不执行适配）	`auto`
`development`	部署预先配置的 Chainloop，仅用于开发。包括开发模式的 Vault 实例和预先配置的身份验证证书和密码	`true`

通用参数

名称	描述	默认值
`kubeVersion`	覆盖 Kubernetes 版本	`""`
`apiVersions`	覆盖 .Capabilities 报告的 Kubernetes API 版本	`[]`
`nameOverride`	部分覆盖 common.names.name 的字符串	`""`
`fullnameOverride`	完全覆盖 common.names.fullname 的字符串	`""`
`namespaceOverride`	完全覆盖 common.names.namespace 的字符串	`""`
`commonAnnotations`	要添加到所有部署对象的注解	`{}`
`commonLabels`	要添加到所有部署对象的标签	`{}`
`extraDeploy`	要与发布一起部署的额外对象数组	`[]`
`rbac.create`	指定是否应创建 RBAC 资源	`false`
`rbac.rules`	要设置的自定义 RBAC 规则	`[]`

密钥后端参数

名称	描述	默认值
`secretsBackend.backend`	密钥后端类型（"vault"、"awsSecretManager"、"gcpSecretManager" 或 "azureKeyVault"）	`vault`
`secretsBackend.secretPrefix`	将添加到存储后端中所有密钥的前缀	`chainloop`
`secretsBackend.vault.address`	Vault 地址	`""`
`secretsBackend.vault.token`	Vault 身份验证令牌	`""`
`secretsBackend.awsSecretManager.accessKey`	AWS 访问密钥 ID	`""`
`secretsBackend.awsSecretManager.secretKey`	AWS 密钥	`""`
`secretsBackend.awsSecretManager.region`	AWS Secrets Manager 区域	`""`
`secretsBackend.gcpSecretManager.projectId`	GCP 项目 ID	`""`
`secretsBackend.gcpSecretManager.serviceAccountKey`	GCP 身份验证密钥	`""`
`secretsBackend.azureKeyVault.tenantID`	Active Directory 租户 ID	`""`
`secretsBackend.azureKeyVault.clientID`	已注册应用程序/服务主体客户端 ID	`""`
`secretsBackend.azureKeyVault.clientSecret`	服务主体客户端密钥	`""`
`secretsBackend.azureKeyVault.vaultURI`	Azure Key Vault URL	`""`

高级使用指南

生成 ECDSA 密钥对

ECDSA 密钥对是控制平面和 Artifact CAS 之间执行身份验证所必需的。

您可以通过运行以下命令生成私钥和公钥：

bash
# 私钥 (private.ec.key)
openssl ecparam -name secp521r1 -genkey -noout -out private.ec.key
# 公钥 (public.pem)
openssl ec -in private.ec.key -pubout -out public.pem

然后，您可以在自定义的 values.yaml 文件覆盖中提供它们：

yaml
casJWTPrivateKey: |-
  -----BEGIN EC PRIVATE KEY-----
  REDACTED
  -----END EC PRIVATE KEY-----
casJWTPublicKey: |
  -----BEGIN PUBLIC KEY-----
  REDACTED
  -----END PUBLIC KEY-----

或者如前所示，在 Helm 安装/升级期间将它们作为命令式输入提供：--set casJWTPrivateKey="$(cat private.ec.key)" --set casJWTPublicKey="$(cat public.pem)"

CAS 上传速度慢，该怎么办？

Chainloop 使用 gRPC 流来执行工件上传。这种方法在高延迟场景下可能会非常慢。#375

要提高上传速度，您需要增加 http2 流控制缓冲区。这可以通过在 ingress 资源中设置以下注解在 NGINX 中完成：

yaml
# 通过添加 http2 控制流使用的客户端缓冲来提高上传速度
nginx.ingress.kubernetes.io/client-body-buffer-size: "3M"

注意：对于其他反向代理，您需要找到等效的配置。

配置自定义域名和 TLS

Chainloop 使用三个端点，因此我们需要为每个端点启用 ingress 资源。

以下是 values.yaml 覆盖的示例：

yaml
controlplane:
  ingress:
    enabled: true
    hostname: cp.chainloop.dev

  ingressAPI:
    enabled: true
    hostname: api.cp.chainloop.dev

cas:
  ingressAPI:
    enabled: true
    hostname: api.cas.chainloop.dev

使用以下组件的完整设置：

NGINX 作为 ingress 控制器
cert-manager 作为 TLS 提供程序

配置如下：

yaml
controlplane:
  ingress:
    enabled: true
    tls: true
    ingressClassName: nginx
    hostname: cp.chainloop.dev
    annotations:
      # 这取决于您配置的颁发者
      cert-manager.io/cluster-issuer: "letsencrypt-prod"

  ingressAPI:
    enabled: true
    tls: true
    ingressClassName: nginx
    hostname: api.cp.chainloop.dev
    annotations:
      nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
      cert-manager.io/cluster-issuer: "letsencrypt-prod"

cas:
  ingressAPI:
    enabled: true
    tls: true
    ingressClassName: nginx
    hostname: api.cas.chainloop.dev
    annotations:
      nginx.ingress.kubernetes.io/backend-protocol: "GRPC"
      cert-manager.io/cluster-issuer: "letsencrypt-prod"
      # 限制通过代理的文件大小
      # 0 表示不检查请求大小，这样我们不会收到 413 错误。
      # 现在我们将限制设置为 100MB 文件
      # 尽管我们以 1MB 的块发送数据，但此大小是指在流连接中发送的所有数据
      nginx.ingress.kubernetes.io/proxy-body-size: "100m"

请记住，设置域名后，确保使用指向您实例的 CLI 而不是默认值。

连接外部 PostgreSQL 数据库

yaml
# 禁用内置数据库
postgresql:
  enabled: false

# 提供外部连接
controlplane:
  externalDatabase:
    host: 1.2.3.4
    port: 5432
    user: chainloop
    password: [REDACTED]
    database: chainloop-controlplane-prod

或者，如果您使用 Google Cloud SQL 并在 Google Kubernetes Engine 中运行 Chainloop，您可以通过代理连接：

通过以下方式可以在此图表中轻松启用此方法：

yaml
# 禁用内置数据库
postgresql:
  enabled: false

# 提供外部连接
controlplane:
  sqlProxy:
    # 注入代理 sidecar
    enabled: true
    ## @param controlplane.sqlProxy.connectionName Google Cloud SQL 连接名称
    connectionName: "my-sql-instance"
  # 然后您需要将数据库设置配置为使用代理 IP 地址
  externalDatabase:
    host: [proxy-side

查看更多 chainloop 相关镜像 →

bitnami/chainloop-control-plane

Bitnami Secure Image for chainloop-control-plane是chainloop-control-plane的安全镜像，目前Docker Hub不再免费提供，需通过商业订阅获取Debian和Photon基础OS格式的OCI制品，具备高安全性、合规支持及供应链安全特性。

10K+ pulls

上次更新：未知

bitnami/chainloop-artifact-cas

chainloop-artifact-cas的Bitnami安全镜像，目前不再通过Docker Hub免费提供，可通过Bitnami商业订阅获取，提供Debian和Photon基础OS格式的OCI制品。

50K+ pulls

上次更新：未知

bitnami/chainloop-control-plane-migrations

Bitnami chainloop-control-plane-migrations安全镜像，提供Debian和Photon基础OS格式，需通过商业订阅获取，具备高安全性、合规性及供应链安全支持。

50K+ pulls