下午好,又是奋斗的一天。
登录注册
2022-09-30 15:26:54

在极狐 Gitlab 流水线配置里设置镜像拉取策略

在极狐 Gitlab 流水线配置里设置镜像拉取策略

你是否对流水线执行效率有执念?想各种优化手段加快流水线的运行?

在极狐 Gitlab 15.2 中已经支持配置镜像拉取策略啦!关键字是 pull_policy

配置拉取策略

在项目的 .gitlab-ci.yml 中配置 pull_policy:

job2:
  script: echo "Multiple pull policies."
  image:
    name: ruby:3.0
    pull_policy: if-not-present


其中pull_policy 可以选择三种:always(默认)总下载,if-not-present 本地版本镜像不存在时才下载,而 never 只使用本地版本镜像(从不下载镜像)。

功能虽好,但我有些担心安全问题,下面我们讨论一下安全。

安全隐患

上面我们知道 runner 可以本地缓存镜像,会不会出现这种情况:

  • 用户 renfei 使用共享 runner 运行私有项目,构建了一个私有镜像:renfei/blog,使用了镜像缓存策略,私有镜像被共享 runner 缓存到本地。
  • 用户 laoliu 使用共享 runner 运行他的项目,但是他的 .gitlab-ci.yml 中要拉取 renfei/blog 镜像,由于有本地缓存,这个 renfei 的私有镜像被 laoliu 用户使用了。

如果在共享 runner 中可以读取所有其他用户的私有镜像,这会不会造成安全隐患?

以上只是我所推理担心的问题,并未做实验求证,仅供讨论!

综上所述,我还是建议在私有 runner 上使用本地缓存镜像,私有项目不要使用共享 runner 本地缓存功能。


如果 runner 不支持定义的拉取策略,则作业将失败并出现类似于以下内容的错误: 

ERROR: Job failed (system failure): the configured PullPolicies ([always]) are not allowed by AllowedPullPolicies ([never])。

评论与留言

以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!
微信订阅号
扫码关注「任霏博客」微信订阅号
反馈与讨论
感谢您的关注与反馈
如果您发现了BUG、安全漏洞、或者希望讨论技术内容,请点击下方链接对我进行反馈。
feedback