跳到主要内容

Jenkins 凭证注入

在现代软件开发中,持续集成和持续交付(CI/CD)是不可或缺的一部分。Jenkins作为最流行的自动化服务器之一,广泛用于构建、测试和部署应用程序。然而,随着自动化流程的复杂性增加,如何安全地管理和使用敏感信息(如密码、API密钥等)成为了一个重要问题。Jenkins凭证注入(Credential Injection)正是为了解决这一问题而设计的。

本文将详细介绍Jenkins凭证注入的概念、使用方法以及实际应用场景,帮助初学者掌握这一关键技能。

什么是Jenkins凭证注入?

Jenkins凭证注入是指在Jenkins中安全地存储和管理敏感信息,并在需要时将这些信息注入到构建或部署流程中。通过这种方式,开发者可以避免将敏感信息硬编码在脚本或配置文件中,从而提高安全性。

Jenkins提供了多种类型的凭证,包括:

  • 用户名和密码:用于访问需要身份验证的资源。
  • SSH私钥:用于通过SSH连接到远程服务器。
  • Secret文本:用于存储API密钥、令牌等。
  • 证书:用于存储SSL/TLS证书。

如何在Jenkins中管理凭证?

1. 添加凭证

在Jenkins中,可以通过以下步骤添加凭证:

  1. 登录到Jenkins控制台。
  2. 点击左侧菜单中的“Manage Jenkins”。
  3. 选择“Manage Credentials”。
  4. 在“Stores scoped to Jenkins”下,点击“System”。
  5. 点击“Global credentials (unrestricted)”。
  6. 点击“Add Credentials”。

在添加凭证时,您需要选择凭证类型并填写相关信息。例如,如果您要添加一个用户名和密码凭证,您需要输入用户名、密码以及一个唯一的ID(可选)。

2. 使用凭证

在Jenkins Pipeline中,可以通过withCredentials步骤将凭证注入到构建环境中。以下是一个简单的示例:

groovy
pipeline {
    agent any
    stages {
        stage('Example') {
            steps {
                withCredentials([usernamePassword(credentialsId: 'my-credentials', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD')]) {
                    sh 'echo "Username is $USERNAME"'
                    sh 'echo "Password is $PASSWORD"'
                }
            }
        }
    }
}

在这个示例中,withCredentials步骤将my-credentials凭证中的用户名和密码注入到环境变量USERNAMEPASSWORD中,然后在sh步骤中使用这些变量。

实际应用场景

1. 部署到远程服务器

假设您需要将应用程序部署到远程服务器,并且需要通过SSH连接到该服务器。您可以使用SSH私钥凭证来安全地管理SSH连接。

groovy
pipeline {
    agent any
    stages {
        stage('Deploy') {
            steps {
                withCredentials([sshUserPrivateKey(credentialsId: 'ssh-credentials', keyFileVariable: 'SSH_KEY')]) {
                    sh 'ssh -i $SSH_KEY user@remote-server "deploy-script.sh"'
                }
            }
        }
    }
}

在这个示例中,sshUserPrivateKey步骤将SSH私钥注入到SSH_KEY环境变量中,然后在sh步骤中使用该变量连接到远程服务器并执行部署脚本。

2. 访问API

假设您需要访问一个需要API密钥的REST API。您可以使用Secret文本凭证来安全地管理API密钥。

groovy
pipeline {
    agent any
    stages {
        stage('Call API') {
            steps {
                withCredentials([string(credentialsId: 'api-key', variable: 'API_KEY')]) {
                    sh 'curl -H "Authorization: Bearer $API_KEY" https://api.example.com/data'
                }
            }
        }
    }
}

在这个示例中,string步骤将API密钥注入到API_KEY环境变量中,然后在sh步骤中使用该变量调用API。

总结

Jenkins凭证注入是确保CI/CD管道安全性的重要工具。通过安全地管理和使用敏感信息,您可以避免将敏感信息硬编码在脚本或配置文件中,从而降低安全风险。本文介绍了如何在Jenkins中添加和使用凭证,并通过实际应用场景展示了凭证注入的强大功能。

附加资源

练习

  1. 在Jenkins中添加一个用户名和密码凭证,并在Pipeline中使用它。
  2. 创建一个Pipeline,使用SSH私钥凭证连接到远程服务器并执行一个简单的命令。
  3. 尝试使用Secret文本凭证访问一个需要API密钥的REST API。

通过这些练习,您将更好地理解Jenkins凭证注入的概念和应用。