在极狐 Gitlab 流水线配置里设置镜像拉取策略
2022年09月30日 15:26:54 · 本文共 701 字阅读时间约 2分钟 · 2,409 次浏览你是否对流水线执行效率有执念?想各种优化手段加快流水线的运行?
在极狐 Gitlab 15.2 中已经支持配置镜像拉取策略啦!关键字是 pull_policy
配置拉取策略
在项目的 .gitlab-ci.yml 中配置 pull_policy:
job2:
script: echo "Multiple pull policies."
image:
name: ruby:3.0
pull_policy: if-not-present
其中pull_policy 可以选择三种:always(默认)总下载,if-not-present 本地版本镜像不存在时才下载,而 never 只使用本地版本镜像(从不下载镜像)。
功能虽好,但我有些担心安全问题,下面我们讨论一下安全。
安全隐患
上面我们知道 runner 可以本地缓存镜像,会不会出现这种情况:
- 用户 renfei 使用共享 runner 运行私有项目,构建了一个私有镜像:renfei/blog,使用了镜像缓存策略,私有镜像被共享 runner 缓存到本地。
- 用户 laoliu 使用共享 runner 运行他的项目,但是他的 .gitlab-ci.yml 中要拉取 renfei/blog 镜像,由于有本地缓存,这个 renfei 的私有镜像被 laoliu 用户使用了。
如果在共享 runner 中可以读取所有其他用户的私有镜像,这会不会造成安全隐患?
以上只是我所推理担心的问题,并未做实验求证,仅供讨论!
综上所述,我还是建议在私有 runner 上使用本地缓存镜像,私有项目不要使用共享 runner 本地缓存功能。
如果 runner 不支持定义的拉取策略,则作业将失败并出现类似于以下内容的错误:
ERROR: Job failed (system failure): the configured PullPolicies ([always]) are not allowed by AllowedPullPolicies ([never])。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003534
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003534
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
热评文章
- 前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
- OmniGraffle 激活/破解 密钥/密匙/Key/License
- CleanMyMac X 破解版 [TNT] 4.6.0
- OmniPlan 激活/破解 密钥/密匙/Key/License
- 人大金仓 KingbaseES V8 R3 安装包、驱动包和 License 下载地址
- Parallels Desktop For Mac 16.0.1.48911 破解版 [TNT]
- Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿
- Parallels Desktop For Mac 15.1.4.47270 破解版 [TNT]
- Sound Control 破解版 2.4.2
- 向谷歌搜索引擎主动推送网页的教程 Google Indexing API 接口实现
热文排行
- 博客完全迁移上阿里云,我所使用的阿里云架构
- 微软确认Windows 10存在bug 部分电脑升级后被冻结
- 大佬们在说的AQS,到底啥是个AQS(AbstractQueuedSynchronizer)同步队列
- 比特币(BTC)钱包客户端区块链数据同步慢,区块链数据离线下载
- Java中说的CAS(compare and swap)是个啥
- 小心免费主题!那些WordPress主题后门,一招拥有管理员权限
- 强烈谴责[wamae.win]恶意反向代理我站并篡改我站网页
- 讨论下Java中的volatile和JMM(Java Memory Model)Java内存模型
- 新版个人网站 NEILREN4J 上线并开源程序源码
- 我站近期遭受到恶意不友好访问攻击公告