kubernetes官方文檔:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/
從私有倉庫拉取鏡像
本文介紹如何使用 Secret 從私有的 Docker 鏡像倉庫或代碼倉庫拉取鏡像來創建 Pod。
登錄 Docker 鏡像倉庫
在個人電腦上,要想拉取私有鏡像必須在鏡像倉庫上進行身份驗證。
#此方式默認登錄的是docker官方倉庫
docker login
#如果需要登錄私有倉庫或其他公有云倉庫,需要在後面加上地址
docker login harbor.xxx.com
當提示時,輸入 Docker 用戶名和密碼。
登錄過程會創建或更新保存有授權令牌的 config.json
文件。
查看 config.json
文件:
cat ~/.docker/config.json
輸出結果包含類似於以下內容的部分:
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
說明: 如果使用 Docker 憑證倉庫,則不會看到 `auth` 條目,看到的將是以倉庫名稱作爲值的 `credsStore` 條目。
在集羣中創建保存授權令牌的 Secret
Kubernetes 集羣使用 docker-registry
類型的 Secret 來通過容器倉庫的身份驗證,進而提取私有映像。
第一種方式:命令式創建secret
創建 Secret,命名爲 regcred
:
kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>
在這裏:
<your-registry-server>
是你的私有 Docker 倉庫全限定域名(FQDN)。(參考 https://index.docker.io/v1/ 中關於 DockerHub 的部分)<your-name>
是你的 Docker 用戶名。<your-pword>
是你的 Docker 密碼。<your-email>
是你的 Docker 郵箱。
這樣您就成功地將集羣中的 Docker 憑據設置爲名爲 regcred
的 Secret。
第二種方式,使用聲明式文件
#注意複製到文件裏,是一行的,不能換行
cat ~/.docker/config.json | base64 -w 0
# 將secret內容 寫到docker-registry-secret.yaml
vim docker-registry-secret.yaml
docker-registry-secret.yaml 內容
apiVersion: v1
kind: Secret
metadata:
name: regcred
namespace: default
type: kubernetes.io/dockerconfigjson
data:
.dockerconfigjson: ewoJImF1dGhzIjogewoJCSJodHRwczovL215aHViLmZkY2Nsb3VkLmNvbS8iOiB7CgkJCSJhdXRoIjogIllXUnRhVzQ2VFhsemIyWjBPVFU1TXpnPSIsCgkJCSJlbWFpbCI6ICJ5YW53MDJAbXlzb2Z0LmNvbS5jbiIKCQl9Cgl9Cn0=
# 創建docker-registry-secret
kubectl create -f docker-registry-secret.yaml
檢查 Secret regcred
要了解你創建的 regcred
Secret 的內容,可以用 YAML 格式進行查看:
kubectl get secret regcred --output=yaml
輸出和下面類似:
apiVersion: v1
data:
.dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
...
name: regcred
...
type: kubernetes.io/dockerconfigjson
.dockerconfigjson
字段的值是 Docker 憑據的 base64 表示。
要了解 dockerconfigjson
字段中的內容,請將 Secret 數據轉換爲可讀格式:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
輸出和下面類似:
{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"[email protected]","auth":"c3R...zE2"}}}
要了解 auth
字段中的內容,請將 base64 編碼過的數據轉換爲可讀格式:
echo "c3R...zE2" | base64 --decode
輸出結果中,用戶名和密碼用 :
鏈接,類似下面這樣:
janedoe:xxxxxxxxxxx
注意,Secret 數據包含與本地 ~/.docker/config.json
文件類似的授權令牌。
這樣您就已經成功地將 Docker 憑據設置爲集羣中的名爲 regcred
的 Secret。
創建一個使用您的 Secret 的 Pod
下面是一個 Pod 配置文件,它需要訪問 regcred
中的 Docker 憑據:
pods/private-reg-pod.yaml |
---|
|
下載上述文件:
wget -O my-private-reg-pod.yaml https://k8s.io/examples/pods/private-reg-pod.yaml
在my-private-reg-pod.yaml
文件中,使用私有倉庫的鏡像路徑替換 <your-private-image>
,例如:
janedoe/jdoe-private:v1
要從私有倉庫拉取鏡像,Kubernetes 需要憑證。 配置文件中的 imagePullSecrets
字段表明 Kubernetes 應該通過名爲 regcred
的 Secret 獲取憑證。
創建使用了你的 Secret 的 Pod,並檢查它是否正常運行:
kubectl create -f my-private-reg-pod.yaml
kubectl get pod private-reg