Kubesphere 离线环境中修正 Jenkins JNLP 代理镜像拉取问题

问题背景

在 Kubesphere 的 DevOps 模块中，Jenkins 默认会使用 Kubernetes 插件创建动态的 JNLP 代理容器。当环境处于离线状态时，如果配置不当，这些容器仍会尝试从公共镜像仓库拉取镜像，导致流水线执行失败。

核心原理

Jenkins 的 Kubernetes 插件通过 Pod 模板定义 JNLP 代理容器的规格，其中包含镜像地址等重要参数。在离线环境中，必须确保所有镜像都指向内部私有镜像仓库。

解决方案

1. 确认配置位置

通过 Jenkins 的 Configuration-as-Code 插件（JCasC），可以在 jenkins-casc-config 配置文件中定义 Kubernetes 云的相关参数，包括 Pod 模板和容器镜像。

2. 修改 Pod 模板配置

在 JCasC 配置中需要明确指定 JNLP 容器的镜像地址，例如：

jenkins:
  clouds:
    - kubernetes:
        templates:
          - containers:
              - name: jnlp
                image: "registry.example.com/library/jenkins-inbound-agent:4.3-4"

3. 验证配置生效

部署后需要检查：

1. 确认 Jenkins 系统配置中 Kubernetes 插件的 Pod 模板显示正确的镜像地址
2. 触发流水线时通过 kubectl describe pod 查看实际创建的 Pod 是否使用了正确的镜像

注意事项

1. 镜像同步：确保私有仓库中已同步所需的 JNLP 镜像及其依赖的基础镜像
2. 标签固定：建议使用确定的镜像标签而非 latest，避免版本不一致问题
3. 网络策略：确保 Kubernetes 节点可以访问私有镜像仓库

最佳实践

对于生产环境，建议：

1. 使用 Helm Chart 部署时通过 values.yaml 覆盖默认镜像配置
2. 为不同业务场景创建专用的 Pod 模板
3. 定期更新镜像安全补丁

通过以上配置，可以确保 Kubesphere DevOps 在离线环境中稳定运行，避免因镜像拉取问题导致流水线中断。