热门搜索:
ghcr.io/tektoncd/chains/controller-92006fd957c0afd31de6a40b3e33b39f:v0.26.2
ghcr.iolinux/amd64v0.26.2大小: 未知更新于 2026年5月23日
Tekton Chains
Tekton Pipelines 中的供应链安全
入门指南
Tekton Chains 是一个 Kubernetes Custom Resource Definition (CRD) 控制器,允许您在 Tekton 中管理供应链安全。
在默认操作模式下,Chains 通过观察集群中所有 TaskRuns 和 PipelineRuns 的执行情况工作。当它们完成时,Chains 会对其进行快照。然后,Chains 将此快照转换为一种或多种标准载荷格式,进行签名并存储在某处。
当前功能包括:
- 使用用户提供的加密密钥对
TaskRun和PipelineRun结果进行签名,包括TaskRun或PipelineRun本身以及 OCI 镜像 - 证明格式,如 slsa/v1
- 支持多种加密密钥类型和服务(x509、KMS)进行签名
- 支持多种签名存储后端
安装
前提条件:在安装 Chains 之前,您需要在集群上安装 https://github.com/tektoncd/pipeline/blob/main/docs/install.md%E3%80%82
要将最新版本的 Chains 安装到 Kubernetes 集群,请运行:
kubectl apply --filename https://infra.tekton.dev/tekton-releases/chains/latest/release.yaml
要安装特定版本的 Chains,请运行:
kubectl apply -f https://infra.tekton.dev/tekton-releases/chains/previous/${VERSION}/release.yaml
要验证安装是否成功,请等待所有 Pod 的状态变为 Running:
kubectl get po -n tekton-chains --watch
NAME READY STATUS RESTARTS AGE
tekton-chains-controller-c4f7c57c4-nrjb2 1/1 Running 0 160m
配置
要完成 Chains 的设置,请执行以下步骤:
- 为 Chains 控制器添加身份验证
- 生成加密密钥并配置 Chains 使用其进行签名
- 设置任何其他配置
厂商特定文档
特定云厂商的任何其他文档可在 https://github.com/tektoncd/chains/tree/main/docs/vendor 找到。
教程
要开始使用 Chains,请尝试我们的 入门教程。
要开始签名 OCI 镜像并为其生成签名溯源,请尝试我们的 签名溯源教程。
社区教程
Chains 社区也一直在努力创建教程:
- https://github.com/thesecuresoftwarefactory/ssf/blob/main/examples/buildpacks/dual-storage-backend.md 展示了如何使用多个存储后端并通过 https://github.com/sigstore/cosign 验证证明。
实验性功能
要了解有关实验性功能的更多信息,请查看 experimental.md
贡献指南
我们非常欢迎您的贡献!
- 请参阅 CONTRIBUTING.md 了解我们的流程概述
- 请参阅 DEVELOPMENT.md 了解如何开始
- 请参阅 ROADMAP.md 了解当前路线图。查看我们的良好入门问题和需要帮助的问题以开始贡献!
- 请参阅 releases.md 了解我们的发布节奏和流程
要了解有关 Chains 的更多信息:
- 在 Slack 频道 #chains 与我们交流
- 参加 Chains 工作组会议,详情请见 https://github.com/tektoncd/community/blob/main/working-groups.md#chains
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
轩辕镜像支持 docker push 上传本地镜像吗?
不支持 push
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"