拉取私有仓库镜像配置
当我们制作好一个镜像后，我们可以传到公共镜像仓库，供所有人拉取使用，不需要指定拉取镜像的用户、密码。我们也可以将镜像推送到自己搭建的镜像库，比如harbor镜像仓库中，如果我们在镜像仓库中的项目是公开项目，拉取镜像也是不要用户名、密码的。但如果是私有项目，则需要指定用户名、密码才能拉取。下面将介绍两种方式通过用户名、密码拉取私有镜像

制作拉取镜像secret
不论是何种姿势拉取私有镜像，都需要先创建拉取镜像的secret。创建拉取镜像secret有两种方式，如下

1.根据config.json文件生成secret
docker login登录到镜像需要推到的目标仓库，此时在本地/root/.docker目录下会生成一个config.json文件，config.json文件包含登录镜像仓库认证信息

2.将config.json文件编码成base64,执行下面命令

base64 -w 0 /root/.docker/config.json

3.创建下面的secret yaml文件，

apiVersion: v1
data:
  .dockerconfigjson: 第二步中生成的Base64编码
kind: Secret
metadata:
  name: secret名称
  namespace: 命名空间
type: kubernetes.io/dockerconfigjson

这个步骤也可以在阿里ack的yaml上执行，会生成到保密字典里面

 4.执行下面命令创建secret

kubectl apply -f secret文件名 -n 命名空间

直接通过用户名、密码创建secret

1. 执行下面命令创建secret

kubectl create secret docker-registry secret名称 --docker-server=仓库地址 --docker-username=用户名 --docker-password=密码 --docker-email=邮箱地址（如果没有可以不指定）-n 命名空间

使用制作的secret拉取镜像
通过上面的方式创建完secret之后，我们接下来使用这个secret来拉取私有镜像。有两种方式可供使用

直接在拉取镜像的资源yaml中指定拉取镜像secret
如果我们自己维护的yaml资源，我们完全可以在制作yaml文件时直接通过imagePullSecrets指定拉取镜像的secret
 

apiVersion: v1
kind: Pod
metadata:
  name: private-pod
spec:
  imagePullSecrets:
  - name: secret名称
  containers:
  - image: 镜像仓库地址
    name: main

实际应用

    spec:
      imagePullSecrets:  
      - name: osale-secret    
      containers:  
      - name: @APP_NAME@
        image: ${IMAGE}