Especificação de segredos ao iniciar uma verificação

Ao iniciar um trabalho de verificação no processo de CI/CD, o registro que contém a imagem do verificador (o verificador lite ou with-db para a versão correspondente do Kaspersky Container Security) só pode ser acessado mediante autorização. Para a autorização, é possível passar os segredos necessários no trabalho de verificação.

Para receber autorização de acesso ao registro ao iniciar um trabalho de verificação:

1. Crie um segredo:

   kubectl create secret docker-registry ci-creds --docker-server=client.repo.example.com --docker-username=username --docker-password=password

2. No trabalho de verificação, especifique o valor da variável imagePullSecrets:

   imagePullSecrets:

   - name: ci-creds

3. Inicie o trabalho de verificação.

   Exemplo de um trabalho de verificação com segredos para autorização

   kind: Job

   metadata:

   name: my-job

   spec:

   template:

   spec:

   containers:

   - name: my-container

   image: client.repo.example.com/scanner:master

   command: ["/bin/sh"]

   args: ["entrypoint.sh", "apline:latest"]

   env:

   - name: COMPANY_EXT_REGISTRY_USERNAME

   value: another_username

   - name: COMPANY_EXT_REGISTRY_PASSWORD

   value: another_password

   - name: API_BASE_URL

   value: https://some.kcs.env.example

   - name: API_TOKEN

   value: kcs_blablabla

   - name: SKIP_API_SERVER_VALIDATION

   value: 'true'

   imagePullPolicy: Always

   restartPolicy: Never

   imagePullSecrets:

   - name: ci-creds

   backoffLimit: 0

Nesse exemplo, o trabalho de verificação contém os seguintes segredos:

• O segredo para download da imagem do verificador (especificado na variável imagePullSecrets).
• A senha para download da imagem a ser verificada, caso o acesso ao registro relevante seja restrito (especificada na variável COMPANY_EXT_REGISTRY_PASSWORD).

É possível omitir essas senhas se o registro que a solução acessa ao executar um trabalho de verificação puder ser acessado sem autorização.