K8S免密拉取私有仓库容器镜像

目录

1. 从私有仓库拉取镜像的方式

2. 配置方式

2.1 配置节点私有仓库认证

2.2 在Pod中设置ImagePullSecrets

2.2.1 命令行创建secerets

2.2.2 通过config.json文件创建secrets

3. 部署配置免密拉取

4.总结

---

1. 从私有仓库拉取镜像的方式

K8S从私有仓库拉取镜像的几种方式如下：

• 所有节点配置私有仓库身份认证
• 在Pod中设置ImagePullSecrets
• 云厂商的扩展或者本地扩展名密拉取（如阿里的acr-credential-helper，腾讯的TCR插件），都可以实现内网免密拉取内部私有仓库镜像
• 最后一种比较少见，预拉取镜像替代私有仓库认证

以上几种方式任选一种即可，具体根据实际环境情况进行配置，这里主要对ImagePullSecrets这种方式进行讨论

2. 配置方式

以下配置方式任选一种即可

2.1 配置节点私有仓库认证

在各个节点上登录镜像仓库

docker login harbor_url
# 根据提示输入用户和密码

登录成功后会生成config.json文件，用于更新保存镜像仓库的授权凭证

cat ~/.docker/config.json
# 输出结果包含类似于以下
{
    "auths": {
        "https://my-registry.cn/images": {
            "auth": "**********"
        }
    }
}
# 单个config.json中可存在多个镜像仓库授权凭证

2.2 在Pod中设置ImagePullSecrets

官方建议运行使用私有仓库中镜像的容器时，建议使用ImagePullSecrets这种方法。

注意：secrets是按namespace存放的，pod只能引用位于自身所在namespace中的 Secret，因此每个pod所在的namespace下都必须存在对应的仓库secrets凭证。

secrets有两种创建方法，分别是

• 命令行创建secrets
• 使用config.json文件创建secrets

命令行创建的仅适用于单个私有容器仓库的 Secret，config.json文件创建secrets适用于有多个私有容器仓库的情况。

2.2.1 命令行创建secerets

将以下变量名改成对应的帐号，密码，仓库地址即可

# 创建命令
kubectl create secret docker-registry regcred \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>
# 查看
kubectl get secret secrets_name 

2.2.2 通过config.json文件创建secrets

运行了 docker login 命令，可以复制该镜像仓库的凭证(config.json)文件，用以下命令创建secret凭证

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

3. 部署配置免密拉取

通过docker login在节点登录后，则不需要做任何操作就能拉取私有仓库镜像，但必须保证所有节点已完成了docker login这个操作。

通过secrets的方式，需要在 deployment/statefulset或Pod 定义中增加 imagePullSecrets 来引用该 Secret，即可实现免密位取对应的私有仓库镜像，要注意imagePullSecrets 只能引用同一namespace中的 Secret。

# 如例：pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

4.总结

K8S从私有仓库拉取镜像有多种方式，其中用云托管的K8S，可以使用云厂商的扩展实现免密拉取，如果是自建K8S集群，则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret，即可以通过命令行直接创建secret的方式，也可以通过文件（config.json）创建的方式，两者实现的功能一样，区别在于命令行创建只支持单个私有仓库使用，而 .docker/config.json文件创建的方式支持多个私有仓库，如有多个私有仓库，建议文件创建的方式使用。

觉得好用点个收藏吧

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。