Добрый день, подскажите как интегрировать данные для авторизации в registry

из variables gilab проекта при деплое helm чарта уже в кластере
использую шаблон
https://ru.werf.io/getting_started/?usage=ci&ci=gitlabCiCd&runnerType=dockerRunner&os=linux&buildBackend=buildah&projectType=simplified&sharedCICD=no&repoType=application
но получаю ошибку авторизации
failed to authorize: failed to fetch anonymous token: unexpected status from GET request to https://gitlab.com/jwt/auth?scope=repository%!A(MISSING)whitepapyrus%!
F(MISSING)werf%!A(MISSING)pull&service=container_registry: 403 Forbidden

Не очень понял, опишите подробнее, как используете

werf.yaml configVersion: 1 project: werf --- image: werf dockerfile: Dockerfile context: . gitlab-ci: stages: - staging - cleanup default: image: name: "registry.werf.io/werf/werf:2-stable" pull_policy: always before_script: - source "$(werf ci-env gitlab --as-file)" tags: ["werf"] staging: stage: staging script: - werf converge environment: name: dev rules: - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH && $CI_PIPELINE_SOURCE != "schedule" when: manual images:cleanup: stage: cleanup script: - werf cr login -u nobody -p "${WERF_IMAGES_CLEANUP_PASSWORD:?}" "${WERF_REPO:?}" - werf cleanup rules: - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH && $CI_PIPELINE_SOURCE == "schedule" помимо KUBECONFIG и WERF_IMAGES_CLEANUP_PASSWORD добавил еще WERF_REPO_PASSWORD и WERF_REPO_USERNAME в переменные variable при выкатке образ собирается и грузится в registry без ошибок, но в момент деплоя на шаге staging получаю ошибку в контейнере в поде что не может спулить контейнер с regestry.

прочтите эту статью https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

Подсунуть секрет в манифесте деплоя - вы это имеете ввиду?

Ну и не забыть создать его) в нужном неймспейсе

Вопрос был больше, как это передать/создать средствами werf

Как я понял он сам не создаётся и нужно на пулл отдельно посредством werf kubectl создать, такое ограничение

Специальных средств в werf нет. Надо создать Secret (можно через werf, описав его в templates, а можно руками), и выставить imagePullSecrets в нужных подах

А почему кстати? Можно было бы дёрнуть .Values.werf.regcred, было бы удобно

Такой вариант у меня отработал, предположил что если деплой сам создаёт ns, sa то и может прокинуть авторизацию. Ведь на этапе сборки он использует креды для авторизации и пуша образа.

что-то такое можно добавить