要件

GitLabでkanikoを利用するには、以下のいずれかのexecutorを使用したGitLab Runnerが必要です：

kanikoによるDockerイメージの構築

kanikoとGitLab CI/CDを使ってイメージをビルドする際には、いくつかの重要な点に注意する必要があります：

kanikoのデバッグイメージが推奨されています(gcr.io/kaniko-project/executor:debug)。これはCI/CDでGitLabのイメージを使うにはシェルが必要だからです。
エントリーポイントをオーバーライドしないと、ビルドスクリプトは実行されません。
目的のコンテナレジストリの認証情報を含む Dockerconfig.json ファイルを作成する必要があります。

次の例では、kanikoを使用しています：

Dockerイメージをビルドします。
その後、GitLabコンテナレジストリにプッシュします。

ジョブはタグがプッシュされた時だけ実行されます。/kaniko/.docker の下に、GitLab CI/CD が提供する環境変数から取得した必要な GitLab コンテナレジストリの認証情報でconfig.json ファイルが作成されます。

最後のステップで、kanikoはプロジェクトのルートディレクトリ下のDockerfile 、Dockerイメージをビルドし、Gitタグを付けながらプロジェクトのコンテナレジストリにプッシュします：

build:
  stage: build
  image:
    name: gcr.io/kaniko-project/executor:debug
    entrypoint: [""]
  script:
    - echo "{\"auths\":{\"$CI_REGISTRY\":{\"username\":\"$CI_REGISTRY_USER\",\"password\":\"$CI_REGISTRY_PASSWORD\"}}}" > /kaniko/.docker/config.json
    - /kaniko/executor --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/Dockerfile --destination $CI_REGISTRY_IMAGE:$CI_COMMIT_TAG
  only:
    - tags

カスタム証明書でのレジストリの使用

カスタムCAによって署名された証明書を使用しているDockerレジストリにプッシュしようとすると、以下のエラーが発生することがあります：

$ /kaniko/executor --context $CI_PROJECT_DIR --dockerfile $CI_PROJECT_DIR/Dockerfile --no-push
INFO[0000] Downloading base image registry.gitlab.example.com/group/docker-image
error building image: getting stage builder for stage 0: Get https://registry.gitlab.example.com/v2/: x509: certificate signed by unknown authority

これは、あなたのCAの証明書をkaniko証明書ストアに追加することで解決できます：

  before_script:
    - mkdir -p /kaniko/.docker
    - echo "{\"auths\":{\"$CI_REGISTRY\":{\"username\":\"$CI_REGISTRY_USER\",\"password\":\"$CI_REGISTRY_PASSWORD\"}}}" > /kaniko/.docker/config.json
    - |
      echo "-----BEGIN CERTIFICATE-----
      ...
      -----END CERTIFICATE-----" >> /kaniko/ssl/certs/ca-certificates.crt

動作例のビデオ・ウォークスルー

TheLeast Privilege Container Builds with Kaniko onGitLab videoはKaniko Docker BuildGuided Explorationプロジェクトパイプラインのウォークスルーです。これはGitLabでテストされました：

このサンプルは、自分のグループやインスタンスにコピーしてテストすることができます。他のGitLab CIパターンがどのようにデモされているかの詳細は、プロジェクトページで確認できます。

クリエーションラインについて

私たちクリエーションラインは、日本で最も古く2017年にGitLabサービスの提供を開始し、2022年には「Asia-Pacific Partner of the Year」も獲得。GitLabのサブスクリプション販売やテクニカルサポートだけでなく、GitLab Enterpriseの導入支援やGitLabトレーニングなど多様なサービスを提供し、エンタープライズを中心に豊富な実績を誇ります。GitLabに関するお悩みがありましたら、ぜひお気軽にお問い合わせください。日本で唯一、3度にわたるMVPを獲得したGitLabエバンジェリストをはじめとしたエキスパートチームが、あなたの課題解決をご支援します。