网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

在Jenkins界面中配置Jenkins Agent

更新时间:2024-12-18 GMT+08:00
分享

在本章中,您需要完成以下部分:

  • 在Jenkins界面中安装Kubernetes的插件,并在Cloud中配置集群信息用于连接集群。
  • 在Cloud中配置Pod Template,作为后续在集群中动态创建Agent Pod的模板。

在执行上述安装和配置步骤前,请先完成集群的准备工作

集群的准备工作

在配置Jenkins Agent之前,集群侧需要提前进行一些操作,用来支持Jenkins Agent的后续配置。

  1. 返回CCE控制台,单击对应集群名称,在“总览”界面的右侧“连接信息”模块,单击“配置”,下载kubectl配置文件,作为Jenkins连接集群的凭证。

    图1 连接信息

  2. 在集群控制台左侧导航栏中单击“存储”,在右上角单击“创建存储卷声明 PVC”。在“创建存储卷声明 PVC”界面输入以下参数,单击“创建”。创建PVC,用于持久化存储Jenkins Agent完成任务过程中产生的数据。

    说明:

    在CCE控制台中,极速文件存储表示SFS Turbo类型存储。

    图2 创建PVC

    • 存储卷声明类型:极速文件存储
    • PVC名称:jenkins-agent
    • 创建方式:新建存储卷 PV
    • 极速文件存储:选择2中使用的极速文件存储
    • PV名称:pv-efs-jenkins-agent

  3. 返回ECS,依次执行下述命令,创建具有SWR认证信息的Secret,作为后续向SWR推送镜像的凭证。

    1. 下载jq命令,用于处理和操作JSON数据,支持查询、筛选、修改和格式化等功能。以下命令以CentOS 7.6操作系统为例。
      yum install jq
    2. 执行以下命令,创建docker-registry类型的Secret,用于存储SWR的认证信息。同时,提取并解码SWR的认证信息,保存至/tmp/config.json文件中。
      • docker-server:填写SWR的镜像仓库地址,格式为swr.[区域].myhuaweicloud.com。

        获取方式:需要先获取不同区域对应的值,请参见地区和终端节点。随后将swr.[区域].myhuaweicloud.com中的[区域]替换为对应值即可,如华东-上海一:swr.cn-east-3.myhuaweicloud.com。

      • docker-username:填写SWR登录指令中的用户名。

        获取方式:登录SWR控制台“总览”界面右上角单击“登录指令”,查看临时登录指令页签中命令,命令中-u后的内容即为用户名。

      • docker-password:填写SWR登录指令中的密码。

        获取方式:登录指令的命令中-p后的内容即为密码。

        说明:

        临时登录指令有效期为6小时,过期后需要重新配置。

        您可以在“登录指令”界面中选择“长期有效登录指令”,根据页面提示配置相关信息,获取“长期有效登录命令”,进而获得用户名和密码。

        图3 获取docker-username和docker-password

      kubectl create secret docker-registry swr-secret \
         --docker-server=https://swr.xxx.myhuaweicloud.com \
         --docker-username=xxx \
         --docker-password=xxx \
         --dry-run=client -o json | jq -r '.data.".dockerconfigjson"' | base64 -d > /tmp/config.json
    3. 利用/tmp/config.json文件创建一个generic类型的Secret,该Secret可以直接挂载在后续创建的Jenkins Agent的Pod实例中。
      kubectl create secret generic swr-secret --from-file=/tmp/config.json -n default

在Jenkins界面中配置Cloud信息

  1. 返回Jenkins界面,在左侧导航栏中单击“Manage Jenkins”,选择“System Configuration > Plugins > Available plugins”,在“Available plugins”页签中查找并安装“Kubernetes”插件。安装“Kubernetes”插件,用于在集群中动态创建Jenkins Agent(Pod形式呈现),并在每次构建完成后销毁Pod。

    本示例中安装的插件版本为Kubernetes pluginVersion:4295.v7fa_01b_309c95,插件版本可能随时间变化发生变动,请您自行选择。此外,您可以根据需要安装其他插件,如Kubernetes CLI Plugin(允许为Job配置kubectl工具,与Kubernetes集群进行交互)等。

    图4 查找“Kubernetes”插件

  2. 在当前界面左上方路径中单击“Manage Jenkins”,单击“Security > Security”。在“CSRF Protection”模块中勾选“Enable Proxy Compatibility”,最下方单击“Apply”

    说明:

    开启“Enable Proxy Compatibility”的主要目的是避免“Error 403 No valid crumb was included in the request”错误。

    Jenkins通过CSRF保护机制防止跨站请求伪造攻击。当用户执行敏感操作(如构建项目)时,Jenkins会要求提供有效的“crumb”。而在使用反向代理(如 Nginx 或 Apache)或负载均衡器时,请求会从客户端转发到Jenkins服务器。这些代理和负载均衡器可能会修改请求头,导致CSRF令牌(crumb)丢失或未能正确传递,从而引发“Error 403 No valid crumb was included in the request”错误。

    启用“Enable Proxy Compatibility”后 ,Jenkins会采取一种容错机制,使其能够在代理环境下能够正常处理传递的请求,确保CSRF令牌(crumb)能够正确通过代理传递并进行验证。

    图5 开启“Enable Proxy Compatibility”

  3. 在当前界面左上方路径中单击“Manage Jenkins” ,单击“Security > Credentials”,单击“Stores scoped to Jenkins > System > Global credentiials (unrestricted)”,在右侧单击“Add Credentials”,增加集群凭证。

    “New credentials”界面中,“Kind”选择“Secret file”“Scope”选择“Global (Jenkins, nodes, items, all child items, etc)”“File”选择下载的kubectl配置文件,其他参数保持默认,单击“Create”

    图6 上传凭证

  4. 创建Cloud,Cloud用于配置集群信息,帮助Jenkins匹配到正确的集群。

    1. 在当前界面左上方路径中单击“Manage Jenkins” ,单击“SystemConfiguration > Clouds”,单击“New Cloud”创建新Cloud,并填写Cloud基本信息。

      “Cloud name”输入Cloud名称,名称可自定义,“Type”勾选“Kubernetes”,单击“Create”

      图7 Cloud基本信息
    2. 填写集群相关信息。
      图8 集群详细信息
      表1 集群详细参数说明

      参数

      示例

      描述

      Kubernetes URL

      https://kubernetes.default.svc.cluster.local:443

      表示集群API Server地址。

      可直接填写“https://kubernetes.default.svc.cluster.local:443",该地址表示集群内部访问Kubernetes API Server的标准DNS地址。

      Kubernetes Namespace

      default

      表示动态创建的Jenkins Agent运行的命名空间。

      说明:

      该命名空间需与3创建的工作负载jenkins-master所在命名空间一致。

      Credentials

      xxx-kubeconfig.yaml

      表示集群连接凭证。

      请选择3中上传的连接凭证。

      说明:

      选择凭证之后,请单击右侧“Test Connection”,查看是否能正常连接集群。

      若左侧回显“Connected to Kubernetes xxx”,则说明集群能够正常连接。

      Jenkins URL

      http://10.247.22.139:8080

      表示Jenkins的访问路径。

      请填写4的集群内访问的IP地址,端口号为8080。

      Jenkins tunnel

      10.247.22.139:50000

      用于在Jenkins Master与Jenkins Agent之间建立连接。

      请填写4的集群内访问的IP地址,端口号为50000。

    3. 确保以上信息无误后,请单击“Save”

  5. 配置Pod模板。通过该模板Jenkins能够在集群中按需创建Jenkins Agent的Pod实例,并使用创建的Pod运行Jenkin任务。这些Pod是按需创建的,任务执行完毕后会被自动销毁。

    1. 单击新配置的Cloud名称,单击“Pod Templates > Add a pod template”
    2. 配置Pod模板基本参数。
      • Name:表示Pod模板的名称,可自定义,如jenkins-agent。
      • Namespace:表示创建Pod的命名空间,需要与Cloud中的命名空间一致,如default。
      • 其他参数:您可以根据需要进行填写,本示例保持默认。
      图9 Pod模板基本参数
    3. 添加容器模板。本示例需要依次添加3个容器模板,具体参数信息将以容器1、容器2和容器3的形式在表2中呈现,您可以按照表中信息添加3个容器模板。
      • 容器1:使用jenkins/inbound-agent:latest镜像,主要用于连接Jenkins Agent和Jenkins Master,保证任务的连续执行。
      • 容器2:使用maven:3.8.1-jdk-8镜像,主要用于执行流水线(Pipeline)中的打包任务。
      • 容器3:使用gcr.io/kaniko-project/executor:v1.23.2-debug,主要用于在容器内构建Docker镜像。
        说明:

        建议提前将上述3个镜像推送至SWR的镜像仓库中,这样可以提高构建速度和可靠性,具体操作步骤请参见客户端上传镜像

        将镜像存储在SWR的镜像仓库中,Jenkins在构建Pod时无需重新从外部源拉取镜像,从而加快镜像获取的速度并减少网络延迟。这不仅能够优化构建时间,还能有效减少因网络波动或镜像拉取失败而导致的构建失败风险,确保构建过程更加稳定和高效。

      图10 容器模板参数
      表2 容器模板参数说明

      参数

      示例

      描述

      Name

      容器1:jnlp

      容器2:maven

      容器3:kaniko

      表示在集群中构建的容器名称。

      容器1的名称通常固定为jnlp,其他可自定义。

      Docker image

      容器1:jenkins/inbound-agent:latest

      容器2:maven:3.8.1-jdk-8

      容器3:gcr.io/kaniko-project/executor:v1.23.2-debug

      表示构建容器时需要的镜像。

      如果您已将相应的镜像上传至SWR,则需要将对应值改为SWR中的镜像地址。

      Working directory

      容器1~3:/home/jenkins/agent

      表示容器在执行构建任务期间默认的文件存储位置,可自定义。

      Command to run

      容器1~3:sleep

      指定容器启动时要执行的命令。

      Arguments to pass to the command

      容器1~3:9999999

      指定传递给“Command to run”的参数。

      sleep 9999999命令表示容器持续运行,直到超过9999999秒或被手动终止。该配置主要用于让容器保持活跃状态,防止容器在没有任务时自动退出。

    4. 单击“Add Volume”,选择“Persistent Volume Claim”,配置Persistent Volume Claim信息。该PVC会被挂载到所有容器中,为各容器提供持久化存储。填写信息如下:
      • Claim Name:填写2中集群创建的PVC名称。
      • Mount path:表示挂载路径,固定填写/root/.m2。
      图11 配置Persistent Volume Claim
    5. 再次单击“Add Volume”,选择“Secret Volume”,配置Secret Volume信息。执行Pipeline作业时,该Secret作为kaniko容器向SWR中推送镜像的凭证。填写信息如下:
      • Secret Name:填写3中集群创建的Secret名称。
      • Mount path:表示挂载路径,固定填写/kaniko/.docker。
      图12 配置Secret Volume
    6. 配置拉取镜像的密钥,本示例使用默认密钥default-secret。
      说明:

      拉取本账号的SWR镜像时,可以使用默认密钥default-secret。如果需要使用其他账号的SWR镜像,则需要创建第三方镜像仓库的密钥,具体操作请参见创建第三方镜像仓库的密钥

      图13 配置Image Pull Secret
    7. 确保以上信息无误后,单击“Save”

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容