下午好,准备准备要上班了!

编程开发

在极狐 Gitlab 流水线配置里设置镜像拉取策略

2022年09月30日 15:26:54 · 本文共 701 字阅读时间约 2分钟 · 2,409 次浏览
在极狐 Gitlab 流水线配置里设置镜像拉取策略

你是否对流水线执行效率有执念?想各种优化手段加快流水线的运行?

在极狐 Gitlab 15.2 中已经支持配置镜像拉取策略啦!关键字是 pull_policy

配置拉取策略

在项目的 .gitlab-ci.yml 中配置 pull_policy:

job2:
  script: echo "Multiple pull policies."
  image:
    name: ruby:3.0
    pull_policy: if-not-present


其中pull_policy 可以选择三种:always(默认)总下载,if-not-present 本地版本镜像不存在时才下载,而 never 只使用本地版本镜像(从不下载镜像)。

功能虽好,但我有些担心安全问题,下面我们讨论一下安全。

安全隐患

上面我们知道 runner 可以本地缓存镜像,会不会出现这种情况:

  • 用户 renfei 使用共享 runner 运行私有项目,构建了一个私有镜像:renfei/blog,使用了镜像缓存策略,私有镜像被共享 runner 缓存到本地。
  • 用户 laoliu 使用共享 runner 运行他的项目,但是他的 .gitlab-ci.yml 中要拉取 renfei/blog 镜像,由于有本地缓存,这个 renfei 的私有镜像被 laoliu 用户使用了。

如果在共享 runner 中可以读取所有其他用户的私有镜像,这会不会造成安全隐患?

以上只是我所推理担心的问题,并未做实验求证,仅供讨论!

综上所述,我还是建议在私有 runner 上使用本地缓存镜像,私有项目不要使用共享 runner 本地缓存功能。


如果 runner 不支持定义的拉取策略,则作业将失败并出现类似于以下内容的错误: 

ERROR: Job failed (system failure): the configured PullPolicies ([always]) are not allowed by AllowedPullPolicies ([never])。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003534
评论与留言

以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

微信搜一搜:任霏博客