热门搜索:
bitnamicharts/chainloop
bitnamicharts
Bitnami提供的Helm chart,用于在Kubernetes环境中部署Chainloop。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像最近更新:8 个月前
Chainloop 镜像文档
镜像概述和主要用途
Chainloop 是一个开源的软件供应链控制平面,作为元数据和工件的单一事实来源,以及声明式证明过程。它提供了对软件供应链的全面控制,确保供应链的透明度、安全性和可追溯性。
Chainloop 官方网站
商标说明:本软件列表由 Bitnami 打包。产品中提及的各个商标分别归各自公司所有,使用这些商标并不意味着任何关联或认可。
核心功能和特性
- 软件供应链控制平面:统一管理软件供应链的各个环节
- 元数据和工件管理:作为单一事实来源存储和管理所有相关元数据和工件
- 声明式证明过程:支持软件供应链的声明式证明和验证
- 多密钥管理后端:支持 Hashicorp Vault、AWS Secrets Manager、GCP Secret Manager 和 Azure KeyVault
- 灵活的部署模式:提供标准模式(生产环境)和开发模式(快速试用)
- 外部数据库支持:可连接外部 PostgreSQL 数据库或使用内置实例
- 自定义域名和 TLS:支持配置自定义域名和 TLS 加密
- Prometheus 监控:暴露 Prometheus 兼容的指标端点
- AirGap 环境支持:支持在隔离环境中部署
使用场景和适用范围
- 开发环境:通过开发模式快速部署完整的 Chainloop 环境,包含预配置的 Vault 和身份验证
- 生产环境:通过标准模式部署,连接外部安全的密钥管理服务和数据库
- 企业级软件供应链:为企业提供安全、透明、可追溯的软件供应链管理
- 合规性要求高的环境:满足严格的合规性和审计要求
- 隔离网络环境:支持在无互联网连接的 AirGap 环境中部署和使用
快速开始 (TL;DR)
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/chainloop
如需在生产环境中使用 Chainloop,建议尝试 VMware Tanzu Application Catalog,这是 Bitnami 目录的商业版本。
安装指南
前提条件
- Kubernetes 1.23+
- Helm 3.2.0+
- 底层基础设施支持 PV 供应器(如果启用内置 PostgreSQL)
已验证兼容以下 Ingress 控制器,其他控制器可能工作也可能不工作:
- https://kubernetes.github.io/ingress-nginx/
- Traefik
安装图表
此图表提供两种部署模式:标准模式 和 开发模式。
标准模式 (默认)
!https://raw.githubusercontent.com/chainloop-dev/chainloop/main/docs/img/deployment.png
默认部署模式依赖预先可用的外部依赖项。
此模式下的 Helm Chart 包括:
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/controlplane
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/artifact-cas
- 默认启用的 PostgreSQL 依赖项
安装过程中,您需要提供:
- Open ID Connect 身份提供程序 (IDp) 设置,即 Auth0 设置
- 密钥存储后端的连接设置,可以是 Hashicorp Vault 或 AWS Secrets Manager
- 用于 Controlplane 到 CAS 身份验证的 ECDSA (ES512) 密钥对
创建 ECDSA 密钥对的说明可在此处找到。
标准模式安装示例
注意:我们不建议以明文形式传递或存储敏感数据。对于生产环境,请考虑使用 https://github.com/mozilla/sops%E3%80%81https://github.com/jkroepke/helm-secrets 或 https://github.com/bitnami-labs/sealed-secrets 等工具对覆盖值进行加密。
部署 Chainloop,配置为使用捆绑的 PostgreSQL、外部 OIDC IDp 和 Vault 实例。
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) --set controlplane.auth.oidc.url=[OIDC URL] \ --set controlplane.auth.oidc.clientID=[clientID] \ --set controlplane.auth.oidc.clientSecret=[clientSecret] \ # 密钥后端 --set secretsBackend.vault.address="https://[vault address]:8200" \ --set secretsBackend.vault.token=[token] \ # 服务器身份验证密钥对 --set casJWTPrivateKey="$(cat private.ec.key)" \ --set casJWTPublicKey="$(cat public.pem)"
使用 AWS Secrets Manager 代替 Vault 进行部署:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=awsSecretManager \ --set secretsBackend.awsSecretManager.accessKey=[AWS ACCESS KEY ID] \ --set secretsBackend.awsSecretManager.secretKey=[AWS SECRET KEY] \ --set secretsBackend.awsSecretManager.region=[AWS region]\ # 服务器身份验证密钥对 # ...
使用 GCP Secret Manager:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=gcpSecretManager \ --set secretsBackend.gcpSecretManager.projectId=[GCP Project ID] \ --set secretsBackend.gcpSecretManager.serviceAccountKey=[GCP Auth KEY] \ # 服务器身份验证密钥对 # ...
使用 Azure KeyVault:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 --set secretsBackend.backend=azureKeyVault \ --set secretsBackend.azureKeyVault.tenantID=[AD tenant ID] \ --set secretsBackend.azureKeyVault.clientID=[Service Principal ID] \ --set secretsBackend.azureKeyVault.clientSecret=[Service Principal secret] \ --set secretsBackend.azureKeyVault.vaultURI=[Azure KeyVault URI] # 服务器身份验证密钥对 # ...
连接到外部 PostgreSQL 数据库:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop \ # Open ID Connect (OIDC) # ... # 密钥后端 # ... # 服务器身份验证密钥对 # ... # 外部数据库设置 --set postgresql.enabled=false \ --set controlplane.externalDatabase.host=[DB_HOST] \ --set controlplane.externalDatabase.user=[DB_USER] \ --set controlplane.externalDatabase.password=[DB_PASSWORD] \ --set controlplane.externalDatabase.database=[DB_NAME]
开发模式
为了提供一种简单的方式来试用 Chainloop,此 Helm Chart 提供了一个可选的开发模式,可以通过标志 development=true 启用。
重要:请勿在生产环境中使用此模式
!https://raw.githubusercontent.com/chainloop-dev/chainloop/main/docs/img/deployment-dev.png
此模式下的 Helm Chart 包括:
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/controlplane
- Chainloop https://github.com/chainloop-dev/chainloop/tree/main/app/artifact-cas
- 默认启用的 PostgreSQL 依赖项
- 预先配置的 Hashicorp Vault 实例,以开发模式运行(未密封、内存中、不安全)
- 预先配置的 Dex OIDC 实例
图表上的预设用户配置包括两个用户,信息如下:
text用户名: sarah@chainloop.local 密码: password 用户名: john@chainloop.local 密码: password
完整的 OIDC 配置可以在 values.yaml 文件中找到。
警告:不要在生产环境中使用此模式,生产环境应使用标准模式。
开发模式安装示例
利用内置的 Vault 和 PostgreSQL 实例进行部署:
consolehelm install [RELEASE_NAME] oci://REGISTRY_NAME/REPOSITORY_NAME/chainloop --set development=true
配置说明
全局参数
| 名称 | 描述 | 默认值 |
|---|---|---|
global.imageRegistry | 全局 Docker 镜像仓库 | "" |
global.imagePullSecrets | 全局 Docker 仓库密钥名称数组 | [] |
global.security.allowInsecureImages | 允许跳过镜像验证 | false |
global.compatibility.openshift.adaptSecurityContext | 调整部署的 securityContext 部分,使其与 Openshift restricted-v2 SCC 兼容:删除 runAsUser、runAsGroup 和 fsGroup,让平台使用其允许的默认 ID。可能的值:auto(如果检测到运行的集群是 Openshift,则应用),force(始终执行适配),disabled(不执行适配) | auto |
development | 部署预先配置的 Chainloop,仅用于开发。包括开发模式的 Vault 实例和预先配置的身份验证证书和密码 | true |
通用参数
| 名称 | 描述 | 默认值 |
|---|---|---|
kubeVersion | 覆盖 Kubernetes 版本 | "" |
apiVersions | 覆盖 .Capabilities 报告的 Kubernetes API 版本 | [] |
nameOverride | 部分覆盖 common.names.name 的字符串 | "" |
fullnameOverride | 完全覆盖 common.names.fullname 的字符串 | "" |
namespaceOverride | 完全覆盖 common.names.namespace 的字符串 | "" |
commonAnnotations | 要添加到所有部署对象的注解 | {} |
commonLabels | 要添加到所有部署对象的标签 | {} |
extraDeploy | 要与发布一起部署的额外对象数组 | [] |
rbac.create | 指定是否应创建 RBAC 资源 | false |
rbac.rules | 要设置的自定义 RBAC 规则 | [] |
密钥后端参数
| 名称 | 描述 | 默认值 |
|---|---|---|
secretsBackend.backend | 密钥后端类型("vault"、"awsSecretManager"、"gcpSecretManager" 或 "azureKeyVault") | vault |
secretsBackend.secretPrefix | 将添加到存储后端中所有密钥的前缀 | chainloop |
secretsBackend.vault.address | Vault 地址 | "" |
secretsBackend.vault.token | Vault 身份验证令牌 | "" |
secretsBackend.awsSecretManager.accessKey | AWS 访问密钥 ID | "" |
secretsBackend.awsSecretManager.secretKey | AWS 密钥 | "" |
secretsBackend.awsSecretManager.region | AWS Secrets Manager 区域 | "" |
secretsBackend.gcpSecretManager.projectId | GCP 项目 ID | "" |
secretsBackend.gcpSecretManager.serviceAccountKey | GCP 身份验证密钥 | "" |
secretsBackend.azureKeyVault.tenantID | Active Directory 租户 ID | "" |
secretsBackend.azureKeyVault.clientID | 已注册应用程序/服务主体客户端 ID | "" |
secretsBackend.azureKeyVault.clientSecret | 服务主体客户端密钥 | "" |
secretsBackend.azureKeyVault.vaultURI | Azure Key Vault URL | "" |
高级使用指南
生成 ECDSA 密钥对
ECDSA 密钥对是控制平面和 Artifact CAS 之间执行身份验证所必需的。
您可以通过运行以下命令生成私钥和公钥:
bash# 私钥 (private.ec.key) openssl ecparam -name secp521r1 -genkey -noout -out private.ec.key # 公钥 (public.pem) openssl ec -in private.ec.key -pubout -out public.pem
然后,您可以在自定义的 values.yaml 文件覆盖中提供它们:
yamlcasJWTPrivateKey: |- -----BEGIN EC PRIVATE KEY----- REDACTED -----END EC PRIVATE KEY----- casJWTPublicKey: | -----BEGIN PUBLIC KEY----- REDACTED -----END PUBLIC KEY-----
或者如前所示,在 Helm 安装/升级期间将它们作为命令式输入提供:--set casJWTPrivateKey="$(cat private.ec.key)" --set casJWTPublicKey="$(cat public.pem)"
CAS 上传速度慢,该怎么办?
Chainloop 使用 gRPC 流来执行工件上传。这种方法在高延迟场景下可能会非常慢。https://github.com/chainloop-dev/chainloop/issues/375
要提高上传速度,您需要增加 http2 流控制缓冲区。这可以通过在 ingress 资源中设置以下注解在 NGINX 中完成:
yaml# 通过添加 http2 控制流使用的客户端缓冲来提高上传速度 nginx.ingress.kubernetes.io/client-body-buffer-size: "3M"
注意:对于其他反向代理,您需要找到等效的配置。
配置自定义域名和 TLS
Chainloop 使用三个端点,因此我们需要为每个端点启用 ingress 资源。
以下是 values.yaml 覆盖的示例:
yamlcontrolplane: ingress: enabled: true hostname: cp.chainloop.dev ingressAPI: enabled: true hostname: api.cp.chainloop.dev cas: ingressAPI: enabled: true hostname: api.cas.chainloop.dev
使用以下组件的完整设置:
- https://kubernetes.github.io/ingress-nginx
- cert-manager 作为 TLS 提供程序
配置如下:
yamlcontrolplane: ingress: enabled: true tls: true ingressClassName: nginx hostname: cp.chainloop.dev annotations: # 这取决于您配置的颁发者 cert-manager.io/cluster-issuer: "letsencrypt-prod" ingressAPI: enabled: true tls: true ingressClassName: nginx hostname: api.cp.chainloop.dev annotations: nginx.ingress.kubernetes.io/backend-protocol: "GRPC" cert-manager.io/cluster-issuer: "letsencrypt-prod" cas: ingressAPI: enabled: true tls: true ingressClassName: nginx hostname: api.cas.chainloop.dev annotations: nginx.ingress.kubernetes.io/backend-protocol: "GRPC" cert-manager.io/cluster-issuer: "letsencrypt-prod" # 限制通过代理的文件大小 # 0 表示不检查请求大小,这样我们不会收到 413 错误。 # 现在我们将限制设置为 100MB 文件 # 尽管我们以 1MB 的块发送数据,但此大小是指在流连接中发送的所有数据 nginx.ingress.kubernetes.io/proxy-body-size: "100m"
请记住,设置域名后,确保使用指向您实例的 CLI 而不是默认值。
连接外部 PostgreSQL 数据库
yaml# 禁用内置数据库 postgresql: enabled: false # 提供外部连接 controlplane: externalDatabase: host: 1.2.3.4 port: 5432 user: chainloop password: [REDACTED] database: chainloop-controlplane-prod
或者,如果您使用 Google Cloud SQL 并在 Google Kubernetes Engine 中运行 Chainloop,您可以通过 代理 连接:
通过以下方式可以在此图表中轻松启用此方法:
yaml# 禁用内置数据库 postgresql: enabled: false # 提供外部连接 controlplane: sqlProxy: # 注入代理 sidecar enabled: true ## @param controlplane.sqlProxy.connectionName Google Cloud SQL 连接名称 connectionName: "my-sql-instance" # 然后您需要将数据库设置配置为使用代理 IP 地址 externalDatabase: host: [proxy-side
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 chainloop 镜像标签
docker pull docker.xuanyuan.run/bitnamicharts/chainloop:<标签>
DockerHub 原生拉取命令
docker pull bitnamicharts/chainloop:<标签>
更多 chainloop 镜像推荐
bitnami/chainloop-control-plane
Bitnami Secure Images(VMware Tanzu)
Bitnami Secure Image for chainloop-control-plane是chainloop-control-plane的安全镜像,目前Docker Hub不再免费提供,需通过商业订阅获取Debian和Photon基础OS格式的OCI制品,具备高安全性、合规支持及供应链安全特性。
1万+ 次下载
8 个月前更新
bitnami/chainloop-artifact-cas
Bitnami Secure Images(VMware Tanzu)
chainloop-artifact-cas的Bitnami安全镜像,目前不再通过Docker Hub免费提供,可通过Bitnami商业订阅获取,提供Debian和Photon基础OS格式的OCI制品。
5万+ 次下载
8 个月前更新
bitnami/chainloop-control-plane-migrations
Bitnami Secure Images(VMware Tanzu)
Bitnami chainloop-control-plane-migrations安全镜像,提供Debian和Photon基础OS格式,需通过商业订阅获取,具备高安全性、合规性及供应链安全支持。
5万+ 次下载
8 个月前更新
langchain/langchain
langchain
通过组合性构建基于大型语言模型(LLMs)的应用程序,支持将LLMs与其他计算或知识源结合,实现问答、聊天机器人、智能代理等功能。
366 次收藏5万+ 次下载
2 年前更新
airbyte/source-zenloop
airbyte
暂无描述
1万+ 次下载
1 年前更新
doctoolchain/doctoolchain
doctoolchain
运行docToolchain.org的主要镜像,包含其运行所需的几乎所有组件,是docToolchain包装器(dtcw)引用的核心镜像。
10万+ 次下载
1 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"