dyrnq/tektoncd-pipeline-cmd-imagedigestexporter

Tekton imagedigestexporter 镜像文档

镜像概述

gcr.io/tekton-releases/github.com/tektoncd/pipeline/cmd/imagedigestexporter 是 Tekton Pipeline 项目的核心组件镜像，用于导出容器镜像的摘要信息（通常为 SHA256 哈希值）。该镜像作为 Tekton 任务（Task）的步骤（Step）运行，可获取指定镜像的唯一摘要，支持在 CI/CD 流程中验证镜像一致性、记录镜像版本、确保部署准确性等场景。

核心功能与特性

核心功能

• 镜像摘要提取：解析容器镜像引用（如 gcr.io/my-project/my-image:v1），获取镜像的 SHA256 摘要（格式为 sha256:abc123...）。
• 跨仓库支持：兼容主流容器镜像仓库（Docker Hub、GCR、AWS ECR、Harbor 等），支持公开和私有仓库镜像。
• 标准化输出：将摘要信息输出至指定文件或标准输出，便于 Tekton 任务后续步骤读取和使用。

主要特性

• 轻量级设计：镜像体积小，启动速度快，适合嵌入 Tekton 任务步骤。
• 与 Tekton 原生集成：支持 Tekton Task 的输入输出机制，可将摘要作为任务结果传递给后续步骤。
• 安全可靠：仅读取镜像元数据（不执行镜像），降低运行风险。

使用场景

典型应用场景

1. 镜像一致性验证：在构建流程中提取镜像摘要，与预期值比对，确保镜像未被篡改。
2. 版本记录与审计：将镜像摘要写入元数据文件（如 digest.json），用于追踪部署版本。
3. 跨流程镜像传递：在多步骤任务中，通过摘要唯一标识镜像，避免因标签变更导致的版本混淆（如 latest 标签覆盖问题）。
4. 部署前校验：在部署步骤前验证镜像摘要，确保仅部署经过审核的镜像版本。

使用方法与配置说明

前置条件

• 运行环境：Kubernetes 集群（1.21+），已安装 Tekton Pipeline（v0.30.0+）。
• 权限要求：运行该镜像的 ServiceAccount 需具备访问目标镜像仓库的权限（公开仓库无需额外配置，私有仓库需挂载镜像拉取密钥）。

基本使用方式（Tekton Task 示例）

imagedigestexporter 通常作为 Tekton Task 的一个步骤运行，通过参数指定目标镜像，将摘要输出至文件。以下是一个完整的 Task 示例：

yaml
apiVersion: tekton.dev/v1beta1
kind: Task
metadata:
  name: export-image-digest
spec:
  params:
    - name: image
      type: string
      description: 目标镜像引用（如 gcr.io/my-project/my-app:v1.0.0）
  results:
    - name: digest
      description: 镜像摘要（格式为 sha256:xxx）
  steps:
    - name: export-digest
      image: gcr.io/tekton-releases/github.com/tektoncd/pipeline/cmd/imagedigestexporter
      command: ["/ko-app/imagedigestexporter"]
      args:
        - --image=$(params.image)
        - --digest-file=$(results.digest.path)

参数说明

任务执行与结果获取

1. 创建上述 Task 后，通过 TaskRun 触发执行：

yaml
apiVersion: tekton.dev/v1beta1
kind: TaskRun
metadata:
  name: test-export-digest
spec:
  taskRef:
    name: export-image-digest
  params:
    - name: image
      value: "gcr.io/tekton-releases/github.com/tektoncd/pipeline/cmd/imagedigestexporter:latest"

2. 执行完成后，通过以下命令获取镜像摘要：

bash
kubectl get taskrun test-export-digest -o jsonpath='{.status.results[0].value}'

高级配置

私有镜像仓库访问

若目标镜像是私有仓库的镜像，需为运行 Task 的 ServiceAccount 配置镜像拉取密钥（imagePullSecret）：

yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: tekton-sa
imagePullSecrets:
  - name: private-registry-secret  # 包含私有仓库认证信息的 Secret

在 TaskRun 中指定该 ServiceAccount：

yaml
spec:
  serviceAccountName: tekton-sa

自定义摘要输出格式

默认输出格式为 sha256:abc123...，若需仅输出哈希部分（不含 sha256: 前缀），可通过后续步骤处理结果文件：

yaml
steps:
  - name: export-digest
    # ... 上述 imagedigestexporter 步骤 ...
  - name: format-digest
    image: alpine:latest
    command: ["sh", "-c"]
    args:
      - "cat $(results.digest.path) | cut -d ':' -f 2 > $(results.formatted-digest.path)"
  results:
    - name: formatted-digest
      description: 仅包含哈希的摘要

注意事项

• 镜像兼容性：需使用与 Tekton Pipeline 版本匹配的 imagedigestexporter 镜像（版本标签通常与 Tekton 版本一致，如 v0.47.0）。
• 网络依赖：运行时需确保集群节点能访问目标镜像仓库（公网或私有仓库内网）。
• 镜像引用格式：支持 image:tag 或 image@digest 格式，若指定 image@digest，则直接提取该摘要（不重新解析）。