热门搜索:
bitnamicharts/chainloop
bitnamicharts
Bitnami提供的Helm chart,用于在Kubernetes环境中部署Chainloop。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像最近更新:9 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Chainloop 镜像文档
镜像概述和主要用途
Chainloop 是一个开源的软件供应链控制平面,作为元数据和工件的单一事实来源,以及声明式证明过程。它提供了对软件供应链的全面控制,确保供应链的透明度、安全性和可追溯性。
Chainloop 官方网站
商标说明:本软件列表由 Bitnami 打包。产品中提及的各个商标分别归各自公司所有,使用这些商标并不意味着任何关联或认可。
核心功能和特性
- 软件供应链控制平面:统一管理软件供应链的各个环节
- 元数据和工件管理:作为单一事实来源存储和管理所有相关元数据和工件
- 声明式证明过程:支持软件供应链的声明式证明和验证
- 多密钥管理后端:支持 Hashicorp Vault、AWS Secrets Manager、GCP Secret Manager 和 Azure KeyVault
- 灵活的部署模式:提供标准模式(生产环境)和开发模式(快速试用)
- 外部数据库支持:可连接外部 PostgreSQL 数据库或使用内置实例
- 自定义域名和 TLS:支持配置自定义域名和 TLS 加密
- Prometheus 监控:暴露 Prometheus 兼容的指标端点
- AirGap 环境支持:支持在隔离环境中部署
使用场景和适用范围
- 开发环境:通过开发模式快速部署完整的 Chainloop 环境,包含预配置的 Vault 和身份验证
- 生产环境:通过标准模式部署,连接外部安全的密钥管理服务和数据库
- 企业级软件供应链:为企业提供安全、透明、可追溯的软件供应链管理
- 合规性要求高的环境:满足严格的合规性和审计要求
- 隔离网络环境:支持在无互联网连接的 AirGap 环境中部署和使用
快速开始 (TL;DR)
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/chainloop
如需在生产环境中使用 Chainloop,建议尝试 VMware Tanzu Application Catalog,这是 Bitnami 目录的商业版本。
安装指南
前提条件
- Kubernetes 1.23+
- Helm 3.2.0+
- 底层基础设施支持 PV 供应器(如果启用内置 PostgreSQL)
已验证兼容以下 Ingress 控制器,其他控制器可能工作也可能不工作:
- https://kubernetes.github.io/ingress-nginx/
- Traefik
安装图表
此图表提供两种部署模式:标准模式 和 开发模式。
标准模式 (默认)
!https://raw.githubusercontent.com/chainloop-dev/chainloop/main/docs/img/deployment.png
默认部署模式依赖预先可用的外部依赖项。
此模式下的 Helm Chart 包括:
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/controlplane
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/artifact-cas
- 默认启用的 PostgreSQL 依赖项
安装过程中,您需要提供:
- Open ID Connect 身份提供程序 (IDp) 设置,即 Auth0 设置
- 密钥存储后端的连接设置,可以是 Hashicorp Vault 或 AWS Secrets Manager
- 用于 Controlplane 到 CAS 身份验证的 ECDSA (ES512) 密钥对
创建 ECDSA 密钥对的说明可在此处找到。
标准模式安装示例
注意:我们不建议以明文形式传递或存储敏感数据。对于生产环境,请考虑使用 https://github.com/mozilla/sops%E3%80%81https://github.com/jkroepke/helm-secrets 或 https://github.com/bitnami-labs/sealed-secrets 等工具对覆盖值进行加密。
部署 Chainloop,配置为使用捆绑的 PostgreSQL、外部 OIDC IDp 和 Vault 实例。
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) --set controlplane.auth.oidc.url=[OIDC URL] \ --set controlplane.auth.oidc.clientID=[clientID] \ --set controlplane.auth.oidc.clientSecret=[clientSecret] \ # 密钥后端 --set secretsBackend.vault.address="https://[vault address]:8200" \ --set secretsBackend.vault.token=[token] \ # 服务器身份验证密钥对 --set casJWTPrivateKey="$(cat private.ec.key)" \ --set casJWTPublicKey="$(cat public.pem)"
使用 AWS Secrets Manager 代替 Vault 进行部署:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=awsSecretManager \ --set secretsBackend.awsSecretManager.accessKey=[AWS ACCESS KEY ID] \ --set secretsBackend.awsSecretManager.secretKey=[AWS SECRET KEY] \ --set secretsBackend.awsSecretManager.region=[AWS region]\ # 服务器身份验证密钥对 # ...
使用 GCP Secret Manager:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=gcpSecretManager \ --set secretsBackend.gcpSecretManager.projectId=[GCP Project ID] \ --set secretsBackend.gcpSecretManager.serviceAccountKey=[GCP Auth KEY] \ # 服务器身份验证密钥对 # ...
使用 Azure KeyVault:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=azureKeyVault \ --set secretsBackend.azureKeyVault.tenantID=[AD tenant ID] \ --set secretsBackend.azureKeyVault.clientID=[Service Principal ID] \ --set secretsBackend.azureKeyVault.clientSecret=[Service Principal secret] \ --set secretsBackend.azureKeyVault.vaultURI=[Azure KeyVault URI] # 服务器身份验证密钥对 # ...
连接到外部 PostgreSQL 数据库:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 # ... # 服务器身份验证密钥对 # ... # 外部数据库设置 --set postgresql.enabled=false \ --set controlplane.externalDatabase.host=[DB_HOST] \ --set controlplane.externalDatabase.user=[DB_USER] \ --set controlplane.externalDatabase.password=[DB_PASSWORD] \ --set controlplane.externalDatabase.database=[DB_NAME]
开发模式
为了提供一种简单的方式来试用 Chainloop,此 Helm Chart 提供了一个可选的开发模式,可以通过标志 development=true 启用。
重要:请勿在生产环境中使用此模式
!https://raw.githubusercontent.com/chainloop-dev/chainloop/main/docs/img/deployment-dev.png
此模式下的 Helm Chart 包括:
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/controlplane
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/artifact-cas
- 默认启用的 PostgreSQL 依赖项
- 预先配置的 Hashicorp Vault 实例,以开发模式运行(未密封、内存中、不安全)
- 预先配置的 Dex OIDC 实例
图表上的预设用户配置包括两个用户,信息如下:
text用户名: sarah@chainloop.local 密码: password 用户名: john@chainloop.local 密码: password
完整的 OIDC 配置可以在 values.yaml 文件中找到。
警告:不要在生产环境中使用此模式,生产环境应使用标准模式。
开发模式安装示例
利用内置的 Vault 和 PostgreSQL 实例进行部署:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop --set development=true
配置说明
全局参数
| 名称 | 描述 | 默认值 |
|---|---|---|
global.imageRegistry | 全局 Docker 镜像仓库 | "" |
global.imagePullSecrets | 全局 Docker 仓库密钥名称数组 | [] |
global.security.allowInsecureImages | 允许跳过镜像验证 | false |
global.compatibility.openshift.adaptSecurityContext | 调整部署的 securityContext 部分,使其与 Openshift restricted-v2 SCC 兼容:删除 runAsUser、runAsGroup 和 fsGroup,让平台使用其允许的默认 ID。可能的值:auto(如果检测到运行的集群是 Openshift,则应用),force(始终执行适配),disabled(不执行适配) | auto |
development | 部署预先配置的 Chainloop,仅用于开发。包括开发模式的 Vault 实例和预先配置的身份验证证书和密码 | true |
通用参数
| 名称 | 描述 | 默认值 |
|---|---|---|
kubeVersion | 覆盖 Kubernetes 版本 | "" |
apiVersions | 覆盖 .Capabilities 报告的 Kubernetes API 版本 | [] |
nameOverride | 部分覆盖 common.names.name 的字符串 | "" |
fullnameOverride | 完全覆盖 common.names.fullname 的字符串 | "" |
namespaceOverride | 完全覆盖 common.names.namespace 的字符串 | "" |
commonAnnotations | 要添加到所有部署对象的注解 | {} |
commonLabels | 要添加到所有部署对象的标签 | {} |
extraDeploy | 要与发布一起部署的额外对象数组 | [] |
rbac.create | 指定是否应创建 RBAC 资源 | false |
rbac.rules | 要设置的自定义 RBAC 规则 | [] |
密钥后端参数
| 名称 | 描述 | 默认值 |
|---|---|---|
secretsBackend.backend | 密钥后端类型("vault"、"awsSecretManager"、"gcpSecretManager" 或 "azureKeyVault") | vault |
secretsBackend.secretPrefix | 将添加到存储后端中所有密钥的前缀 | chainloop |
secretsBackend.vault.address | Vault 地址 | "" |
secretsBackend.vault.token | Vault 身份验证令牌 | "" |
secretsBackend.awsSecretManager.accessKey | AWS 访问密钥 ID | "" |
secretsBackend.awsSecretManager.secretKey | AWS 密钥 | "" |
secretsBackend.awsSecretManager.region | AWS Secrets Manager 区域 | "" |
secretsBackend.gcpSecretManager.projectId | GCP 项目 ID | "" |
secretsBackend.gcpSecretManager.serviceAccountKey | GCP 身份验证密钥 | "" |
secretsBackend.azureKeyVault.tenantID | Active Directory 租户 ID | "" |
secretsBackend.azureKeyVault.clientID | 已注册应用程序/服务主体客户端 ID | "" |
secretsBackend.azureKeyVault.clientSecret | 服务主体客户端密钥 | "" |
secretsBackend.azureKeyVault.vaultURI | Azure Key Vault URL | "" |
高级使用指南
生成 ECDSA 密钥对
ECDSA 密钥对是控制平面和 Artifact CAS 之间执行身份验证所必需的。
您可以通过运行以下命令生成私钥和公钥:
bash# 私钥 (private.ec.key) openssl ecparam -name secp521r1 -genkey -noout -out private.ec.key # 公钥 (public.pem) openssl ec -in private.ec.key -pubout -out public.pem
然后,您可以在自定义的 values.yaml 文件覆盖中提供它们:
yamlcasJWTPrivateKey: |- -----BEGIN EC PRIVATE KEY----- REDACTED -----END EC PRIVATE KEY----- casJWTPublicKey: | -----BEGIN PUBLIC KEY----- REDACTED -----END PUBLIC KEY-----
或者如前所示,在 Helm 安装/升级期间将它们作为命令式输入提供:--set casJWTPrivateKey="$(cat private.ec.key)" --set casJWTPublicKey="$(cat public.pem)"
CAS 上传速度慢,该怎么办?
Chainloop 使用 gRPC 流来执行工件上传。这种方法在高延迟场景下可能会非常慢。https://github.com/chainloop-dev/chainloop/issues/375
要提高上传速度,您需要增加 http2 流控制缓冲区。这可以通过在 ingress 资源中设置以下注解在 NGINX 中完成:
yaml# 通过添加 http2 控制流使用的客户端缓冲来提高上传速度 nginx.ingress.kubernetes.io/client-body-buffer-size: "3M"
注意:对于其他反向代理,您需要找到等效的配置。
配置自定义域名和 TLS
Chainloop 使用三个端点,因此我们需要为每个端点启用 ingress 资源。
以下是 values.yaml 覆盖的示例:
yamlcontrolplane: ingress: enabled: true hostname: cp.chainloop.dev ingressAPI: enabled: true hostname: api.cp.chainloop.dev cas: ingressAPI: enabled: true hostname: api.cas.chainloop.dev
使用以下组件的完整设置:
- https://kubernetes.github.io/ingress-nginx
- cert-manager 作为 TLS 提供程序
配置如下:
yamlcontrolplane: ingress: enabled: true tls: true ingressClassName: nginx hostname: cp.chainloop.dev annotations: # 这取决于您配置的颁发者 cert-manager.io/cluster-issuer: "letsencrypt-prod" ingressAPI: enabled: true tls: true ingressClassName: nginx hostname: api.cp.chainloop.dev annotations: nginx.ingress.kubernetes.io/backend-protocol: "GRPC" cert-manager.io/cluster-issuer: "letsencrypt-prod" cas: ingressAPI: enabled: true tls: true ingressClassName: nginx hostname: api.cas.chainloop.dev annotations: nginx.ingress.kubernetes.io/backend-protocol: "GRPC" cert-manager.io/cluster-issuer: "letsencrypt-prod" # 限制通过代理的文件大小 # 0 表示不检查请求大小,这样我们不会收到 413 错误。 # 现在我们将限制设置为 100MB 文件 # 尽管我们以 1MB 的块发送数据,但此大小是指在流连接中发送的所有数据 nginx.ingress.kubernetes.io/proxy-body-size: "100m"
请记住,设置域名后,确保使用指向您实例的 CLI 而不是默认值。
连接外部 PostgreSQL 数据库
yaml# 禁用内置数据库 postgresql: enabled: false # 提供外部连接 controlplane: externalDatabase: host: 1.2.3.4 port: 5432 user: chainloop password: [REDACTED] database: chainloop-controlplane-prod
或者,如果您使用 Google Cloud SQL 并在 Google Kubernetes Engine 中运行 Chainloop,您可以通过 代理 连接:
通过以下方式可以在此图表中轻松启用此方法:
yaml# 禁用内置数据库 postgresql: enabled: false # 提供外部连接 controlplane: sqlProxy: # 注入代理 sidecar enabled: true ## @param controlplane.sqlProxy.connectionName Google Cloud SQL 连接名称 connectionName: "my-sql-instance" # 然后您需要将数据库设置配置为使用代理 IP 地址 externalDatabase: host: [proxy-side
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 chainloop 镜像标签
docker pull docker.xuanyuan.run/bitnamicharts/chainloop:<标签>
DockerHub 原生拉取命令
docker pull bitnamicharts/chainloop:<标签>
更多 chainloop 镜像推荐
bitnami/chainloop-artifact-cas
Bitnami Secure Images(VMware Tanzu)
chainloop-artifact-cas的Bitnami安全镜像,目前不再通过Docker Hub免费提供,可通过Bitnami商业订阅获取,提供Debian和Photon基础OS格式的OCI制品。
5万+ 次下载
9 个月前更新
bitnami/chainloop-control-plane
Bitnami Secure Images(VMware Tanzu)
Bitnami Secure Image for chainloop-control-plane是chainloop-control-plane的安全镜像,目前Docker Hub不再免费提供,需通过商业订阅获取Debian和Photon基础OS格式的OCI制品,具备高安全性、合规支持及供应链安全特性。
1万+ 次下载
9 个月前更新
bitnami/chainloop-control-plane-migrations
Bitnami Secure Images(VMware Tanzu)
Bitnami chainloop-control-plane-migrations安全镜像,提供Debian和Photon基础OS格式,需通过商业订阅获取,具备高安全性、合规性及供应链安全支持。
5万+ 次下载
9 个月前更新
bitnamilegacy/chainloop-control-plane
bitnamilegacy
Bitnami旧版镜像(不再更新)
2.1千+ 次下载
9 个月前更新
bitnamilegacy/chainloop-artifact-cas
bitnamilegacy
Bitnami旧版镜像(不再更新),包含所有现有容器镜像的备份,仅用于临时迁移,无后续更新或支持。
2.1千+ 次下载
9 个月前更新
bitnamilegacy/chainloop-control-plane-migrations
bitnamilegacy
Bitnami旧版镜像(不再更新),包含现有容器镜像的备份,无进一步更新或支持,仅用于临时迁移,建议拉取后存储到私有容器仓库,未来可能被移除。
2.7千+ 次下载
9 个月前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"