【TKE Serverless 集群】镜像仓库相关实践

本文链接：https://blog.csdn.net/2401_89314348/article/details/144128055

Serverless 集群如何使用容器镜像服务 TCR？

Serverless 集群如需使用容器镜像服务 TCR，需要确保已选择对应的镜像访问凭证和 Serverless 集群到镜像服务网络打通。

确保已选择对应的镜像访问凭证

容器镜像默认私有，因此在创建工作负载时：

不指定访问凭证，自动匹配命名空间下已有访问凭证，需要确保当前命名空间下，已有镜像仓库所属的 TCR 实例的访问凭证。

手动指定访问凭证，支持同时指定多个访问凭证。

您可参考以下步骤创建镜像访问凭证：

登录容器服务控制台。

在集群列表页面，单击您需要创建访问凭证的 Serverless 集群名称，进入 Serverless 集群详情页。

在左侧导航中选择命名空间-配置管理-Secret，单击新建。

选择 Dockercfg(镜像仓库访问凭证)，选择需要下发的命名空间，并配置仓库域名、用户名、密码。

确保 Serverless 集群到镜像服务网络打通

Serverless 集群与容器镜像服务之间的网络默认不通，因此在拉取镜像时会报网络不通的错误：

dial tcp x.x.x.x:443: i/o timeout

解决步骤

处理方式有以下两种：

处理方式	说明
方式1：内网访问方式（推荐）	容器镜像服务新建内网访问链路，并配置内网域名解析，Serverless 集群通过新建的内网链路访问容器镜像服务。
方式2：外网访问方式	Serverless 集群开启外网访问，通过公网访问容器镜像服务，同时容器镜像服务也需允许公网访问。

方式1：内网访问方式（推荐）

方式2：外网访问方式

新建内网访问链路

登录容器镜像服务控制台，选择左侧导航栏中的访问控制 > 内网访问。

在“内网访问”页面中选择对应的地域和实例，单击新建。

在弹出的“新建内网访问链路”窗口中，配置私有网络及子网信息。如下图所示：

配置完成并单击确定，该内网访问链路将启动新建，并自动配置内网解析。

常见报错指引

报错：Error: failed to do request: Head "xxxx/manifests/late-st": dial tcp xxx:443: i/o timeout

如果报错信息中包含 “443: i/o timeout”，大部分情况是因为 TKE Serverless 到 TCR 网络不通。请参考上文确保 Serverless 集群到镜像服务网络打通，选择其中一种访问方式，打通 TKE Serverless 到 TCR 的网络。注意，<tcr-name>.tencentcloudcr.com 的域名默认会解析成公网 IP，报错时请注意识别 “dial tcp xxx” 里的 IP 地址是公网还是内网，按实际情况处理。

报错：Error: code = Unknown, pull access denied, repository does not exist or may require authorization: server message: insufficient_scope: authorization failed

如果报错信息中包含 “insufficient_scope: authorization failed”，说明 TKE Serverless 到 TCR 网络已经开通，但权限不足。可能原因为命名空间不存在、密钥不正确、密钥不适用正在拉取的镜像等。

报错：Error: code = NotFound, failed to resolve reference "xxx:xxx": not found

如果报错信息中包含 “not found”，说明镜像不存在。

如果以上报错指引无法解决问题，请参见容器镜像服务常见问题指引。

Serverless 集群如何使用自建的自签名镜像仓库或 HTTP 协议镜像仓库？

问题描述

在 Serverless 集群使用自建镜像仓库的镜像创建工作负载，可能会遇到 “ErrImagePull” 报错，拉取镜像失败。如下图所示：

问题原因

通常在保证网络连通性的前提下，可能有以下两个原因导致该问题：

自建镜像仓库采用 HTTPS 协议，但是 HTTPS 协议证书是自签名。

自建镜像仓库采用 HTTP 协议。

上述两个问题都可以通过在工作负载 Yaml 配置里的 PodTemplate 中添加 Annotation 来解决。

解决步骤

HTTPS 自签名镜像仓库

HTTP 协议镜像仓库

如果自建的镜像仓库是 HTTPS 协议且证书是自签名。则需要在 PodTemplate 中，添加如下 Annotation，使其跳过证书检验： eks.tke.cloud.tencent.com/registry-insecure-skip-verify: 镜像仓库地址（多个用“,”隔开，或者填写 all）

如下图所示：

说明

如果 Pod 内多个容器的镜像从不同仓库拉取，可填写多个镜像仓库地址，中间用 “,” 隔开。或填写 “all”，表示 Pod 内所有容器镜像的相关仓库均跳过证书检验。

镜像仓库地址填写说明

以上两个 Annotation 均涉及镜像仓库地址的填写，多个仓库地址可用 “,” 隔开。

注意

如果镜像仓库有端口号，则需要带上端口号。

例如，镜像地址为 10.16.100.174:5000/busybox:latest，则 Annotation 的 value 应填为 “10.16.100.174:5000”，即 “eks.tke.cloud.tencent.com/registry-insecure-skip-verify: 10.16.100.174:5000”。