kubernetes從私有倉庫拉取鏡像，制定你的docker-registry

kubernetes官方文檔：https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/

從私有倉庫拉取鏡像

本文介紹如何使用 Secret 從私有的 Docker 鏡像倉庫或代碼倉庫拉取鏡像來創建 Pod。

登錄 Docker 鏡像倉庫

在個人電腦上，要想拉取私有鏡像必須在鏡像倉庫上進行身份驗證。

#此方式默認登錄的是docker官方倉庫
docker login 

#如果需要登錄私有倉庫或其他公有云倉庫，需要在後面加上地址
docker login harbor.xxx.com

當提示時，輸入 Docker 用戶名和密碼。

登錄過程會創建或更新保存有授權令牌的 config.json 文件。

查看 config.json 文件：

cat ~/.docker/config.json

輸出結果包含類似於以下內容的部分：

{
    "auths": {
        "https://index.docker.io/v1/": {
            "auth": "c3R...zE2"
        }
    }
}

說明： 如果使用 Docker 憑證倉庫，則不會看到 `auth` 條目，看到的將是以倉庫名稱作爲值的 `credsStore` 條目。

在集羣中創建保存授權令牌的 Secret

Kubernetes 集羣使用 docker-registry 類型的 Secret 來通過容器倉庫的身份驗證，進而提取私有映像。

第一種方式：命令式創建secret

創建 Secret，命名爲 regcred：

kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>

在這裏：

• <your-registry-server> 是你的私有 Docker 倉庫全限定域名（FQDN）。(參考 https://index.docker.io/v1/ 中關於 DockerHub 的部分)
• <your-name> 是你的 Docker 用戶名。
• <your-pword> 是你的 Docker 密碼。
• <your-email> 是你的 Docker 郵箱。

這樣您就成功地將集羣中的 Docker 憑據設置爲名爲 regcred 的 Secret。

 

第二種方式，使用聲明式文件

#注意複製到文件裏，是一行的，不能換行
cat ~/.docker/config.json | base64 -w 0

# 將secret內容 寫到docker-registry-secret.yaml

vim docker-registry-secret.yaml

 docker-registry-secret.yaml 內容

 apiVersion: v1
    kind: Secret
    metadata:
      name: regcred
      namespace: default
    type: kubernetes.io/dockerconfigjson
    data:
      .dockerconfigjson: ewoJImF1dGhzIjogewoJCSJodHRwczovL215aHViLmZkY2Nsb3VkLmNvbS8iOiB7CgkJCSJhdXRoIjogIllXUnRhVzQ2VFhsemIyWjBPVFU1TXpnPSIsCgkJCSJlbWFpbCI6ICJ5YW53MDJAbXlzb2Z0LmNvbS5jbiIKCQl9Cgl9Cn0=

# 創建docker-registry-secret

kubectl create -f docker-registry-secret.yaml

檢查 Secret regcred

要了解你創建的 regcred Secret 的內容，可以用 YAML 格式進行查看：

kubectl get secret regcred --output=yaml

輸出和下面類似：

apiVersion: v1
data:
  .dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
  ...
  name: regcred
  ...
type: kubernetes.io/dockerconfigjson

.dockerconfigjson 字段的值是 Docker 憑據的 base64 表示。

要了解 dockerconfigjson 字段中的內容，請將 Secret 數據轉換爲可讀格式：

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode

輸出和下面類似：

{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"[email protected]","auth":"c3R...zE2"}}}

要了解 auth 字段中的內容，請將 base64 編碼過的數據轉換爲可讀格式：

echo "c3R...zE2" | base64 --decode

輸出結果中，用戶名和密碼用 : 鏈接，類似下面這樣：

janedoe:xxxxxxxxxxx

注意，Secret 數據包含與本地 ~/.docker/config.json 文件類似的授權令牌。

這樣您就已經成功地將 Docker 憑據設置爲集羣中的名爲 regcred 的 Secret。

創建一個使用您的 Secret 的 Pod

下面是一個 Pod 配置文件，它需要訪問 regcred 中的 Docker 憑據：

pods/private-reg-pod.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: <your-private-image>
  imagePullSecrets:
  - name: regcred

下載上述文件：

wget -O my-private-reg-pod.yaml https://k8s.io/examples/pods/private-reg-pod.yaml

在my-private-reg-pod.yaml 文件中，使用私有倉庫的鏡像路徑替換 <your-private-image>，例如：

janedoe/jdoe-private:v1

要從私有倉庫拉取鏡像，Kubernetes 需要憑證。 配置文件中的 imagePullSecrets 字段表明 Kubernetes 應該通過名爲 regcred 的 Secret 獲取憑證。

創建使用了你的 Secret 的 Pod，並檢查它是否正常運行：

kubectl create -f my-private-reg-pod.yaml
kubectl get pod private-reg