创建secret有两种方式,一种是通过docker凭证,另外一种是使用kubectl命令创建secret
使用kubectl命令创建密钥

kubectl create secret docker-registry <name> --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

通过docker凭证文件来创建secret
通过docker login登录,本地生成凭证配置文件config.json

docker login -uadmin -pHarbor12345 172.20.59.190:81

查看生成的认证文件(一般路径为/root/.docker/config.json)

ls -l /root/.docker/config.json

查看文件内容

[root@node-08 ~]# cat /root/.docker/config.json 
{
  "auths": {
    "172.20.59.190:81": {
      "auth": "YWRtaW46SGFyYm9yMTIzNDU="
    }
  },
  "HttpHeaders": {
    "User-Agent": "Docker-Client/19.03.13 (linux)"
  }
}

基于该凭证文件创建secret

kubectl create secret generic harborkey \
    --from-file=.dockerconfigjson=/root/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

secret中保存了登录harbor镜像仓库需要的凭证信息,如:用户名、密码、仓库地址
为了更好地理解.dockerconfigjson 字段,将它格式化一下就可以看出来具体内容了:

kubectl get secret myregcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode

在Pod上引用imagePullSecrets
修改pod的yaml配置,增加imagePullSecrets信息

cat <<EOF > pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: jan/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey
EOF


cat <<EOF >> ./kustomization.yaml
resources:
- pod.yaml
EOF

这样,当pod启动的时候,就会获取到secret,然后根据其中保存的harbor仓库的地址,账户名,密码等信息进行认证,然后拉取对应的镜像,启动容器。