Tag 1: Grundlagen, Architektur und erste Tekton Tasks

Cloud-native CI/CD mit Kubernetes

• Einordnung von Tekton im CI/CD-Ökosystem
• Unterschied zwischen klassischem CI-Server und Kubernetes-nativem CI/CD
• Vorteile und Grenzen Kubernetes-nativer Pipelines
• Tekton-Komponenten im Überblick:
  • Tekton Pipelines
  • Tekton CLI tkn
  • Tekton Dashboard
  • Tekton Triggers
  • Tekton Catalog
  • Tekton Chains
  • Pipelines-as-Code
• Zusammenspiel von Kubernetes API, Custom Resources und Controllern

Installation und Arbeitsumgebung

• Kubernetes-Cluster für das Training vorbereiten
• Installation von Tekton Pipelines
• Installation und Nutzung der Tekton CLI
• Überblick über Namespaces, CRDs, Controller und Webhooks
• Verifikation der Installation
• Abgrenzung Quickstart-Installation und produktionsnahe Installation
  Für produktive Installationen verweist die Tekton-Dokumentation auf den Operator zur Installation, Aktualisierung und Verwaltung von Tekton-Komponenten. 

Tekton-Grundobjekte

• Task
• Step
• TaskRun
• Pipeline
• PipelineRun
• Parameter
• Results
• Workspaces
• ServiceAccounts
• Secrets

Ein Tekton Task besteht aus einer definierten Folge von Steps und wird als Pod im Kubernetes-Cluster ausgeführt. Wichtig: ClusterTasks sind laut aktueller Tekton-Dokumentation deprecated; für clusterweite Wiederverwendung wird der Cluster Resolver empfohlen.

Praxisübungen Tag 1

• Tekton Pipelines installieren
• erste Tasks schreiben und ausführen
• TaskRuns mit Parametern starten
• Logs mit kubectl und tkn auswerten
• Fehler in Tasks analysieren
• einfache Build- und Testschritte als Tekton Task modellieren

Tag 2: Pipelines modellieren, Daten übergeben und Builds strukturieren

Von Tasks zu Pipelines

• Aufbau einer Pipeline
• Reihenfolge und Abhängigkeiten zwischen Tasks
• sequentielle und parallele Task-Ausführung
• Verwendung von runAfter
• Verwendung von finally
• Fehlerverhalten, Retries und Timeouts
• PipelineRuns als konkrete Ausführung einer Pipeline
  Ein PipelineRun instanziiert und startet eine Pipeline im Cluster; dabei erzeugt Tekton automatisch die zugehörigen TaskRuns. 

Parameter, Results und Workspaces

• Pipeline-Parameter definieren und übergeben
• Task-Parameter und Pipeline-Parameter verbinden
• Results zwischen Tasks weiterreichen
• Workspaces für gemeinsame Daten verwenden
• Persistente Volumes, EmptyDir und Secrets als Workspace-Quellen
• typische Fehler bei Workspaces und Volume-Berechtigungen

Git, Source Code und Build-Kontext

• Repository auschecken
• Branches, Commits und Revisionen verwenden
• Build-Kontext strukturieren
• Umgang mit Monorepos
• Wiederverwendbare Tasks aus Catalog oder eigenen Repositories nutzen
• Remote Resolver und Git Resolver
• Versionierung von Pipeline-Bausteinen

Container-Images bauen

• Build-Strategien in Kubernetes
• Image-Builds mit Kaniko, Buildah oder alternativen Buildern
• Authentifizierung gegenüber Container-Registries
• Image-Tags, Commit-SHA und reproduzierbare Builds
• Umgang mit privaten Registries
• Push in Registry

Praxisübungen Tag 2

• mehrstufige Pipeline erstellen
• Git-Repository klonen
• Tests ausführen
• Container-Image bauen
• Image in Registry pushen
• Results zwischen Tasks übergeben
• Workspace-basierten Build-Kontext verwenden
• PipelineRun für verschiedene Branches und Parameter starten

Tag 3: Automatisierung mit Triggers, Webhooks und Deployments

Tekton Triggers

• Event-getriebene CI/CD-Prozesse
• EventListener
• Trigger
• TriggerTemplate
• TriggerBinding
• Interceptors
• GitHub-, GitLab-, Bitbucket- und CEL-Interceptors
• Validierung und Filterung eingehender Events

Tekton Triggers dient dazu, externe Ereignisse zu erkennen, Informationen aus Events zu extrahieren und daraus deterministisch TaskRuns oder PipelineRuns zu erzeugen.

Webhook-basierte Pipeline-Ausführung

• Git-Provider-Webhooks einrichten
• Payloads verstehen und auswerten
• Branch- und Event-Filter
• Pull-Request-Workflows
• Push-Workflows
• Tag-basierte Release-Pipelines
• Absicherung von Webhooks

Pipelines-as-Code

• Git-native CI/CD mit Tekton
• .tekton/-Verzeichnis im Repository
• Pipeline-Definitionen im Anwendungscode verwalten
• Pull-Request- und Merge-basierte Workflows
• Integration mit GitHub, GitLab, Bitbucket und Forgejo
  Tekton beschreibt Pipelines-as-Code als Git-nativen Ansatz, bei dem Pipelines in einem .tekton/-Verzeichnis neben dem Quellcode definiert werden. 

Deployment nach Kubernetes

• Deployment-Strategien aus Tekton
• kubectl, Kustomize oder Helm aus Pipelines verwenden
• Trennung von Build- und Deploy-Stufen
• Umgang mit Umgebungen: Dev, Test, Stage, Production
• Freigabepunkte und manuelle Gates
• Übergang zu GitOps mit Argo CD oder Flux
• Grenzen direkter Deployments aus CI-Pipelines

Praxisübungen Tag 3

• EventListener erstellen
• Git-Webhooks anbinden
• Push-Event löst PipelineRun aus
• Pull-Request-Workflow modellieren
• Branch-Filter mit Interceptors umsetzen
• Deployment in ein Kubernetes-Namespace ausführen
• einfache Promotion von Dev nach Stage abbilden

Tag 4: Betrieb, Security, Troubleshooting und Abschlussprojekt

Betrieb und Observability

• Tekton Dashboard verwenden
• PipelineRuns und TaskRuns überwachen
• Logs lesen und korrelieren
• Status, Conditions und Events analysieren
• typische Fehlerbilder:
  • fehlende RBAC-Rechte
  • ImagePullBackOff
  • Workspace-Probleme
  • Registry-Authentifizierung
  • Webhook-Fehler
  • falsch gebundene Parameter
• Debugging mit kubectl, tkn und Kubernetes Events
  Die Tekton CLI tkn ist für die einfachere Interaktion mit Tekton-Komponenten vorgesehen und kann auch als kubectl-Plugin genutzt werden. 

Security und Rechtekonzepte

• ServiceAccounts für Pipeline-Ausführung
• RBAC für Tasks und Deployments
• Secrets sicher einbinden
• Registry Credentials
• Namespace-Isolation
• Least Privilege für CI/CD
• Absicherung von Build- und Deploy-Stufen
• Umgang mit sensiblen Variablen
• Risiken privilegierter Builds

Supply Chain Security mit Tekton Chains

• Einführung in Software Supply Chain Security
• Build-Provenance
• Signaturen und Attestations
• Cosign-Grundlagen
• SLSA-Einordnung
• Nachvollziehbarkeit von Builds
• Grenzen und organisatorische Anforderungen

Tekton Chains erzeugt, speichert und signiert Provenance für Artefakte, die mit Tekton Pipelines gebaut werden. Provenance beschreibt nachvollziehbar, wo, wann und wie ein Software-Artefakt entstanden ist.

Wiederverwendbarkeit und Plattformbetrieb

• gemeinsame Task-Bibliotheken
• Tekton Catalog
• interne Standard-Pipelines
• Namenskonventionen
• Mandantenfähigkeit
• Upgrade-Strategien
• Versionierung von Pipeline-Komponenten
• produktionsnahe Best Practices
• Governance für Plattform-Teams

Abschlussprojekt

Die Teilnehmenden bauen eine vollständige CI/CD-Strecke:

1. Git-Repository wird durch Commit oder Pull Request ausgelöst
2. Tekton Trigger startet einen PipelineRun
3. Source Code wird ausgecheckt
4. Tests werden ausgeführt
5. Container-Image wird gebaut
6. Image wird in eine Registry gepusht
7. Kubernetes-Deployment wird aktualisiert
8. PipelineRun wird analysiert und dokumentiert
9. optionale Signatur oder Provenance wird erzeugt
10. Fehlerfall wird simuliert und behoben

Nutzen für Teilnehmende

Die Teilnehmenden erhalten ein belastbares Verständnis dafür, wie CI/CD in Kubernetes ohne externen Build-Monolithen umgesetzt werden kann. Sie lernen Tekton nicht nur als Werkzeug kennen, sondern als Plattformbaustein für wiederverwendbare, standardisierte und teamübergreifende CI/CD-Prozesse.

Nach dem Kurs können sie:

• CI/CD-Pipelines deklarativ als Kubernetes-Ressourcen beschreiben
• Tekton in bestehende Kubernetes- und GitOps-Umgebungen integrieren
• Pipeline-Bausteine für Teams standardisieren
• Build-, Test- und Deployment-Prozesse automatisieren
• typische Fehler im Tekton-Betrieb systematisch diagnostizieren
• Sicherheits- und Governance-Anforderungen besser berücksichtigen

Wir schulen die jeweils letzte, verfügbare Version der Software in unseren Seminaren.