在极狐 Gitlab 流水线配置里设置镜像拉取策略

你是否对流水线执行效率有执念？想各种优化手段加快流水线的运行？

在极狐 Gitlab 15.2 中已经支持配置镜像拉取策略啦！关键字是 pull_policy

配置拉取策略

在项目的 .gitlab-ci.yml 中配置 pull_policy：

job2:
  script: echo "Multiple pull policies."
  image:
    name: ruby:3.0
    pull_policy: if-not-present

其中pull_policy 可以选择三种：always（默认）总下载，if-not-present 本地版本镜像不存在时才下载，而 never 只使用本地版本镜像（从不下载镜像）。

功能虽好，但我有些担心安全问题，下面我们讨论一下安全。

安全隐患

上面我们知道 runner 可以本地缓存镜像，会不会出现这种情况：

• 用户 renfei 使用共享 runner 运行私有项目，构建了一个私有镜像：renfei/blog，使用了镜像缓存策略，私有镜像被共享 runner 缓存到本地。
• 用户 laoliu 使用共享 runner 运行他的项目，但是他的 .gitlab-ci.yml 中要拉取 renfei/blog 镜像，由于有本地缓存，这个 renfei 的私有镜像被 laoliu 用户使用了。

如果在共享 runner 中可以读取所有其他用户的私有镜像，这会不会造成安全隐患？

以上只是我所推理担心的问题，并未做实验求证，仅供讨论！

综上所述，我还是建议在私有 runner 上使用本地缓存镜像，私有项目不要使用共享 runner 本地缓存功能。

如果 runner 不支持定义的拉取策略，则作业将失败并出现类似于以下内容的错误： 

ERROR: Job failed (system failure): the configured PullPolicies ([always]) are not allowed by AllowedPullPolicies ([never])。