目录

1. 从私有仓库拉取镜像的方式

2. 配置方式

2.1 配置节点私有仓库认证

2.2 在Pod中设置ImagePullSecrets

2.2.1 命令行创建secerets

2.2.2 通过config.json文件创建secrets

3. 部署配置免密拉取

4.总结

1. 从私有仓库拉取镜像的方式

K8S从私有仓库拉取镜像的几种方式如下:

  • 所有节点配置私有仓库身份认证
  • 在Pod中设置ImagePullSecrets
  • 云厂商的扩展或者本地扩展名密拉取(如阿里的acr-credential-helper,腾讯的TCR插件),都可以实现内网免密拉取内部私有仓库镜像
  • 最后一种比较少见,预拉取镜像替代私有仓库认证

以上几种方式任选一种即可,具体根据实际环境情况进行配置,这里主要对ImagePullSecrets这种方式进行讨论

2. 配置方式

以下配置方式任选一种即可

2.1 配置节点私有仓库认证

在各个节点上登录镜像仓库

docker login harbor_url
# 根据提示输入用户和密码

登录成功后会生成config.json文件,用于更新保存镜像仓库的授权凭证

cat ~/.docker/config.json
# 输出结果包含类似于以下
{
    "auths": {
        "https://my-registry.cn/images": {
            "auth": "**********"
        }
    }
}
# 单个config.json中可存在多个镜像仓库授权凭证

2.2 在Pod中设置ImagePullSecrets

官方建议运行使用私有仓库中镜像的容器时,建议使用ImagePullSecrets这种方法。

注意:secrets是按namespace存放的,pod只能引用位于自身所在namespace中的 Secret,因此每个pod所在的namespace下都必须存在对应的仓库secrets凭证。

secrets有两种创建方法,分别是

  • 命令行创建secrets
  • 使用config.json文件创建secrets

命令行创建的仅适用于单个私有容器仓库的 Secret,config.json文件创建secrets适用于有多个私有容器仓库的情况。

2.2.1 命令行创建secerets

将以下变量名改成对应的帐号,密码,仓库地址即可

# 创建命令
kubectl create secret docker-registry regcred \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>
# 查看
kubectl get secret secrets_name

2.2.2 通过config.json文件创建secrets

运行了 docker login 命令,可以复制该镜像仓库的凭证(config.json)文件,用以下命令创建secret凭证

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

3. 部署配置免密拉取

通过docker login在节点登录后,则不需要做任何操作就能拉取私有仓库镜像,但必须保证所有节点已完成了docker login这个操作。

通过secrets的方式,需要在 deployment/statefulset或Pod 定义中增加 imagePullSecrets 来引用该 Secret,即可实现免密位取对应的私有仓库镜像,要注意imagePullSecrets 只能引用同一namespace中的 Secret。

# 如例:pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

4.总结

K8S从私有仓库拉取镜像有多种方式,其中用云托管的K8S,可以使用云厂商的扩展实现免密拉取,如果是自建K8S集群,则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret,即可以通过命令行直接创建secret的方式,也可以通过文件(config.json)创建的方式,两者实现的功能一样,区别在于命令行创建只支持单个私有仓库使用,而 .docker/config.json文件创建的方式支持多个私有仓库,如有多个私有仓库,建议文件创建的方式使用。

觉得好用点个收藏吧

# docker # 容器 # 运维
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes