目录
1. 从私有仓库拉取镜像的方式
2. 配置方式
2.1 配置节点私有仓库认证
2.2 在Pod中设置ImagePullSecrets
2.2.1 命令行创建secerets
2.2.2 通过config.json文件创建secrets
3. 部署配置免密拉取
4.总结
1. 从私有仓库拉取镜像的方式
K8S从私有仓库拉取镜像的几种方式如下:
- 所有节点配置私有仓库身份认证
- 在Pod中设置ImagePullSecrets
- 云厂商的扩展或者本地扩展名密拉取(如阿里的acr-credential-helper,腾讯的TCR插件),都可以实现内网免密拉取内部私有仓库镜像
- 最后一种比较少见,预拉取镜像替代私有仓库认证
以上几种方式任选一种即可,具体根据实际环境情况进行配置,这里主要对ImagePullSecrets这种方式进行讨论
2. 配置方式
以下配置方式任选一种即可
2.1 配置节点私有仓库认证
在各个节点上登录镜像仓库
docker login harbor_url
# 根据提示输入用户和密码
登录成功后会生成config.json文件,用于更新保存镜像仓库的授权凭证
cat ~/.docker/config.json
# 输出结果包含类似于以下
{
"auths": {
"https://my-registry.cn/images": {
"auth": "**********"
}
}
}
# 单个config.json中可存在多个镜像仓库授权凭证
2.2 在Pod中设置ImagePullSecrets
官方建议运行使用私有仓库中镜像的容器时,建议使用ImagePullSecrets这种方法。
注意:secrets是按namespace存放的,pod只能引用位于自身所在namespace中的 Secret,因此每个pod所在的namespace下都必须存在对应的仓库secrets凭证。
secrets有两种创建方法,分别是
- 命令行创建secrets
- 使用config.json文件创建secrets
命令行创建的仅适用于单个私有容器仓库的 Secret,config.json文件创建secrets适用于有多个私有容器仓库的情况。
2.2.1 命令行创建secerets
将以下变量名改成对应的帐号,密码,仓库地址即可
# 创建命令
kubectl create secret docker-registry regcred \
--docker-server=<你的镜像仓库服务器> \
--docker-username=<你的用户名> \
--docker-password=<你的密码> \
--docker-email=<你的邮箱地址>
# 查看
kubectl get secret secrets_name
2.2.2 通过config.json文件创建secrets
运行了 docker login 命令,可以复制该镜像仓库的凭证(config.json)文件,用以下命令创建secret凭证
kubectl create secret generic regcred \
--from-file=.dockerconfigjson=<path/to/.docker/config.json> \
--type=kubernetes.io/dockerconfigjson
3. 部署配置免密拉取
通过docker login在节点登录后,则不需要做任何操作就能拉取私有仓库镜像,但必须保证所有节点已完成了docker login这个操作。
通过secrets的方式,需要在 deployment/statefulset或Pod 定义中增加 imagePullSecrets 来引用该 Secret,即可实现免密位取对应的私有仓库镜像,要注意imagePullSecrets 只能引用同一namespace中的 Secret。
# 如例:pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: foo
namespace: awesomeapps
spec:
containers:
- name: foo
image: janedoe/awesomeapp:v1
imagePullSecrets:
- name: myregistrykey
4.总结
K8S从私有仓库拉取镜像有多种方式,其中用云托管的K8S,可以使用云厂商的扩展实现免密拉取,如果是自建K8S集群,则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret,即可以通过命令行直接创建secret的方式,也可以通过文件(config.json)创建的方式,两者实现的功能一样,区别在于命令行创建只支持单个私有仓库使用,而 .docker/config.json文件创建的方式支持多个私有仓库,如有多个私有仓库,建议文件创建的方式使用。