Jenkins-Kubernetes插件实战：从零到一构建Pod Agent流水线

1. 为什么需要Kubernetes Pod作为Jenkins Agent

刚接触Jenkins和Kubernetes集成的开发者经常会问：为什么要把构建任务放到Kubernetes Pod里运行？直接在本机或者固定节点上执行不香吗？这个问题我也曾经困惑过，直到在实际项目中踩过几次坑才真正理解它的价值。

想象一下这样的场景：你的团队同时有Java、Python和Go三个语言的项目需要构建。Java项目需要Maven环境，Python项目需要特定版本的pip，而Go项目又需要配置GOPATH。如果使用固定节点，要么得准备三台不同环境的机器，要么就得在一台机器上安装所有依赖——后者很快就会把机器搞得一团糟，各种环境冲突让你怀疑人生。

而Kubernetes Pod Agent方案完美解决了这个问题。每次构建时，Jenkins会根据项目需求动态创建包含特定环境的Pod，构建完成后立即销毁。这带来了几个明显优势：

• 环境隔离：每个构建都在全新的独立环境中运行，不会相互干扰
• 资源弹性：Kubernetes集群可以按需分配资源，构建高峰期自动扩容
• 一致性：通过容器镜像确保所有构建环境完全一致
• 成本优化：构建完成后立即释放资源，不会长期占用节点

我在去年负责的一个微服务项目中，有超过20个服务需要同时构建。采用传统方式需要维护十多台构建节点，而改用Kubernetes Pod Agent后，只需要一个中等规模的K8s集群就轻松应对了所有构建需求，资源利用率提升了近3倍。

2. 环境准备与插件安装

2.1 基础环境检查

在开始配置前，我们需要确保以下基础环境已经就绪：

1. Kubernetes集群：可以是Minikube本地集群，也可以是生产环境的K8s集群。建议版本1.14+
2. Jenkins实例：2.277.1或更高版本，可以运行在K8s集群内或外
3. kubectl配置：确保能正常访问目标集群

验证K8s集群状态：

kubectl cluster-info kubectl get nodes

2.2 插件安装与配置

在Jenkins的插件管理页面搜索并安装"Kubernetes"插件。这里有个小技巧：我建议同时安装"Pipeline"和"Docker Pipeline"插件，它们经常与Kubernetes插件配合使用。

安装完成后，进入系统配置：

1. 点击"Manage Jenkins" → "Manage Nodes and Clouds"
2. 选择"Configure Clouds"
3. 点击"Add a new cloud" → 选择"Kubernetes"

3. 连接Kubernetes集群

3.1 Jenkins运行在集群内部的情况

如果你的Jenkins本身就部署在K8s集群中，配置会简单很多。这是我推荐的部署方式，因为它能自动继承集群的RBAC权限。

主要配置项：

• Kubernetes地址：通常填写https://kubernetes.default.svc
• 命名空间：填写Jenkins所在的namespace
• 凭据：选择"Kubernetes Service Account"

测试连接时，如果看到返回了集群版本号，说明配置正确。

3.2 Jenkins运行在集群外部的情况

当Jenkins运行在集群外时，需要额外配置访问凭证。这里我分享一个实际项目中遇到的坑：我们一开始使用了admin账户的kubeconfig，后来发现权限过大存在安全隐患。

更安全的做法是：

1. 为Jenkins创建专用ServiceAccount
2. 配置适当的RBAC权限
3. 使用Token方式认证

创建ServiceAccount的示例：

kubectl create serviceaccount jenkins-agent -n jenkins kubectl create clusterrolebinding jenkins-agent --clusterrole=edit --serviceaccount=jenkins:jenkins-agent

获取Token：

kubectl get secret $(kubectl get serviceaccount jenkins-agent -n jenkins -o jsonpath='{.secrets[0].name}') -n jenkins -o jsonpath='{.data.token}' | base64 --decode

在Jenkins中创建"Secret text"类型的凭据，填入获取到的Token。

4. 配置Pod模板

4.1 基础Pod模板

Pod模板定义了构建容器的基本环境。我强烈建议从简单的配置开始，逐步增加复杂度。下面是一个Java项目的基础模板配置：

• 名称：java-agent
• 命名空间：jenkins
• 标签：java-builder
• 容器模板：
  • 名称：jnlp（必须保留）
  • 镜像：jenkins/inbound-agent:4.11-1-jdk11
  • 工作目录：/home/jenkins/agent

这里有个重要细节：jnlp容器必须保留，它是Jenkins agent的核心组件。我见过有人误删这个容器导致agent无法连接。

4.2 多容器模板配置

现代项目往往需要多个工具配合。比如一个Java项目可能同时需要：

• Maven进行构建
• Docker打包镜像
• kubectl部署到集群

我们可以这样配置多容器模板：

containers: - name: jnlp image: jenkins/inbound-agent:4.11-1-jdk11 - name: maven image: maven:3.8.6-jdk-11 command: sleep args: 999999 tty: true - name: docker image: docker:20.10 command: sleep args: 999999 tty: true volumeMounts: - mountPath: /var/run/docker.sock name: docker-sock volumes: - name: docker-sock hostPath: path: /var/run/docker.sock

4.3 YAML方式定义模板

对于复杂需求，直接使用YAML定义Pod会更灵活。这是我常用的一个生产级模板：

apiVersion: v1 kind: Pod metadata: labels: project: ${POD_LABEL} spec: securityContext: runAsUser: 1000 fsGroup: 1000 containers: - name: jnlp image: jenkins/inbound-agent:4.11-1-jdk11 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "500m" memory: "512Mi" - name: builder image: maven:3.8.6-jdk-11 command: ["sleep"] args: ["999999"] resources: limits: cpu: "2" memory: "4Gi" requests: cpu: "1" memory: "2Gi" volumeMounts: - mountPath: /root/.m2 name: maven-cache volumes: - name: maven-cache emptyDir: {}

5. Pipeline实战

5.1 基础Pipeline示例

下面是一个最简单的Pipeline示例，展示如何使用Pod模板：

podTemplate(yaml: ''' apiVersion: v1 kind: Pod spec: containers: - name: maven image: maven:3.8.6-jdk-11 command: ['sleep'] args: ['999999'] ''') { node(POD_LABEL) { stage('Build') { container('maven') { sh 'mvn --version' } } } }

5.2 多阶段构建

实际项目通常需要多个构建阶段。这个示例展示了完整的CI流程：

podTemplate(containers: [ containerTemplate(name: 'maven', image: 'maven:3.8.6-jdk-11', tty: true, command: 'sleep'), containerTemplate(name: 'docker', image: 'docker:20.10', tty: true, command: 'sleep'), containerTemplate(name: 'kubectl', image: 'bitnami/kubectl:1.25', tty: true, command: 'sleep') ], volumes: [ hostPathVolume(mountPath: '/var/run/docker.sock', hostPath: '/var/run/docker.sock') ]) { node(POD_LABEL) { stage('Checkout') { checkout scm } stage('Build') { container('maven') { sh 'mvn clean package -DskipTests' } } stage('Docker Build') { container('docker') { sh 'docker build -t myapp:${BUILD_NUMBER} .' } } stage('Deploy') { container('kubectl') { sh 'kubectl set image deployment/myapp myapp=myapp:${BUILD_NUMBER}' } } } }

5.3 高级技巧：模板继承

当你有多个相似项目时，可以使用模板继承避免重复配置。比如先定义一个基础模板：

def baseTemplate = """ apiVersion: v1 kind: Pod metadata: labels: project: ${POD_LABEL} spec: containers: - name: jnlp image: jenkins/inbound-agent:4.11-1-jdk11 - name: docker image: docker:20.10 command: ['sleep'] args: ['999999'] volumeMounts: - mountPath: /var/run/docker.sock name: docker-sock volumes: - name: docker-sock hostPath: path: /var/run/docker.sock """

然后在具体项目中继承并扩展：

podTemplate(inheritFrom: 'base', yaml: """ apiVersion: v1 kind: Pod spec: containers: - name: maven image: maven:3.8.6-jdk-11 command: ['sleep'] args: ['999999'] """) { node(POD_LABEL) { // 构建步骤 } }

6. 常见问题排查

6.1 Agent无法连接

这是最常见的问题，通常表现为Pod创建成功但Jenkins显示agent离线。检查步骤：

1. 确认Pod状态：

kubectl get pods -n jenkins kubectl logs <pod-name> jnlp -n jenkins

2. 检查Jenkins系统配置中的"Jenkins URL"是否正确
3. 确保Jenkins的JNLP端口(默认50000)已开放

6.2 资源不足问题

当看到Pod处于Pending状态时，通常是因为资源不足。可以通过以下命令查看原因：

kubectl describe pod <pod-name> -n jenkins

解决方案：

1. 调整Pod的资源请求/限制
2. 扩容Kubernetes集群
3. 设置合理的并发构建数

6.3 权限问题

容器内操作失败可能是权限问题导致的。比如Docker操作需要挂载/var/run/docker.sock，Maven构建可能需要持久化缓存。

建议的权限配置：

securityContext: runAsUser: 1000 fsGroup: 1000

7. 性能优化实践

7.1 镜像缓存策略

频繁拉取大镜像会显著降低构建速度。我常用的优化方法：

1. 使用集群本地镜像仓库
2. 配置imagePullPolicy为IfNotPresent
3. 对基础镜像使用更小的变体（如alpine版本）

7.2 资源配额管理

不当的资源请求会导致集群利用率低下。经过多次测试，我总结出这些经验值：

• 小型Java项目：

  • 请求：CPU 500m，内存 1Gi
  • 限制：CPU 1，内存 2Gi

• 中型微服务：

  • 请求：CPU 1，内存 2Gi
  • 限制：CPU 2，内存 4Gi

7.3 持久化存储

对于Maven/Gradle这类需要下载大量依赖的项目，使用持久化存储可以大幅提升构建速度：

volumes: - name: maven-repo persistentVolumeClaim: claimName: maven-repo-pvc containers: - name: maven volumeMounts: - mountPath: /root/.m2 name: maven-repo

创建PVC的示例：

kubectl apply -f - <<EOF apiVersion: v1 kind: PersistentVolumeClaim metadata: name: maven-repo-pvc namespace: jenkins spec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi EOF

8. 安全最佳实践

8.1 最小权限原则

永远不要给Jenkins Agent过高的权限。我建议：

1. 创建专用的ServiceAccount
2. 限制namespace访问
3. 使用RBAC精细控制权限

8.2 镜像安全

• 只使用受信任的基础镜像
• 定期扫描镜像漏洞
• 使用私有镜像仓库

8.3 网络隔离

• 将Jenkins Agent部署在单独命名空间
• 配置网络策略限制Pod间通信
• 敏感数据使用Kubernetes Secret存储

apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: jenkins-agent-policy namespace: jenkins spec: podSelector: matchLabels: role: jenkins-agent policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: role: jenkins-master ports: - protocol: TCP port: 50000