VR
Ему не надо dockercfg, он будет под запускать - https://docs.gitlab.com/runner/install/kubernetes.html - и опеншифт сам имадж пуллит
Size: a a a
2018 July 18
SM
Ну вот пишуь Docker registries can be secured to prevent unauthorized parties from accessing certain images. If you are using OpenShift Container Platform’s internal registry and are pulling from image streams located in the same project, then your pod’s service account should already have the correct permissions and no additional action should be required.
SM
Но что-то пошло не так
VR
это всё про дефолтный сервисаккаунт, тем что создал ручками нужно роль давать
VR
еще нужно смотреть под каким SA запускаются воркер поды гитлабовского билдера
SM
YML есть такое - imagePullSecrets:
- name: sa-gitlab-runner-dockercfg-ptwp8
- name: sa-gitlab-runner-dockercfg-ptwp8
SM
serviceAccount: sa-gitlab-runner
serviceAccountName: sa-gitlab-runner
serviceAccountName: sa-gitlab-runner
VR
не знаю, нужны ли imagePullSecrets, но наверное не повредит
SM
в /var/run/secrets/kubernetes.io лежит нечто
SM
внутри пода
VR
угу, это секреты сервисаккаунта. А нужно запустить какой-то под из имаджа во внутреннем регистре - или потом в .gitlab-ci.yml залогиниться?
VR
в первом случае нужно глядеть какой сервисаккаунт - во втором немного сложнее
SM
Просто не очень понимаю - когда gitlab runner видит что в gitlab-ci.yml указан некий имадж - он что делает? в режиме did?
VR
ничего, эта часть не знает про опеншифт и внутреннюю регистри
SM
Он типа говорит опеншифту (как кластеру) - стартуй под с этим имаджем?
VR
насколько я понял да. Нужно посмотреть какой сервисаккуант юзается
SM
в настройках toml?
VR
нет, уже живой под
VR
когда стартует билд
SM
Configuration loaded builds=0
metricsserveraddress: ""
listenaddress: ""
concurrent: 2
checkinterval: 0
loglevel: debug
user: gitlab-runner ...
kubernetes:
...
serviceaccount: ""
serviceaccountoverwriteallowed: ""
metricsserveraddress: ""
listenaddress: ""
concurrent: 2
checkinterval: 0
loglevel: debug
user: gitlab-runner ...
kubernetes:
...
serviceaccount: ""
serviceaccountoverwriteallowed: ""