Kubernetes如何使用nexus作为私有镜像仓库

最新推荐文章于 2024-08-09 08:19:16 发布
最新推荐文章于 2024-08-09 08:19:16 发布
阅读量3.7k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/79423657
版权

概述

  Harbor使用了基于角色的访问控制策略,当从nexus/docker-register中拉去镜像的时候,首先要进行身份认证,认证通过后才可以拉取镜像。在命令行模式下,需要先执行docker login,登陆成功后,才可以docker pull。通常情况下,在私有云环境中使用kubernetes时,我们要从docker registry拉取镜像的时候,都会给docker daemo配置 --insecure-registry 属性来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,但是如果要使用nexus作为kubernetes的镜像仓库的话,这种方式就不适用了,下面让我们看看如何来使用nexus作为kubernetes的镜像仓库。

实现探索

  我们在命令行方式下,输入docker login登陆成功后,会在/root/.docker/目前下生成一个config.json文件。打开后可以看到如下的内容:

root@k8s-master:~/pods/kuber/jenkins # cat ~/.docker/config.json 
{
"auths": {
"10.30.30.127:4443": {
"auth": "YWRtaW46YWRtaW4xMjM="
},
"10.30.30.127:8082": {
"auth": "YWRtaW46YWRtaW4xMjM="
},

}#             

Secret

Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: 
Opaque(default): 任意字符串 
kubernetes.io/service-account-token: 作用于ServiceAccount
kubernetes.io/dockercfg: 作用于Docker registry(nexus),用户下载docker镜像认证使用。

Opaque Secret

Opaque Secret就是字符串

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

在使用的时候可以选择已volume方式或者是已环境变量的方式放到容器内使用。

{
 "apiVersion": "v1",
 "kind": "Pod",
  "metadata": {
    "name": "mypod",
    "namespace": "default"
  },
  "spec": {
    "containers": [{
      "name": "mypod",
      "image": "busybox",
      "command": ["sleep","3600"],
      "imagePullPolicy": "IfNotPresent",
      "volumeMounts": [{
        "name": "foo",
        "mountPath": "/etc/foo",
        "readOnly": true
      }]
    }],
    "volumes": [{
      "name": "foo",
      "secret": {
        "secretName": "mysecret"
      }
    }]
  }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

这样就可以通过文件的方式挂载到容器内,在/etc/foo目录下回生成这个文件。

如果是环境变量当然也是ok的

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
    - name: mycontainer
      image: busybox
      imagePullPolicy: IfNotPresent
      command:
        - sleep
        - "3600"
      env:
        - name: SECRET_USERNAME
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

进入容器通过env命令,你将可以看到这两个环境变量被注入到容器内。

imagePullSecrets

当在需要安全验证的环境中拉取镜像的时候,需要通过用户名和密码。

apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
  namespace: awesomeapps
data:
  .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

或者直接通过命令创建

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
  • 1

接下来拉取镜像的时候,就可以使用了

apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

其实本质上还是kubelet把这个认证放到了docker的目录下面,如下:

cat ~/.docker/config.json 
{
    "auths": {
        "10.39.0.118": {
            "auth": "Y2hlbm1vOmNtMTM4MTE2NjY3ODY="
        },
        "10.39.0.12:5000": {
            "auth": "dXNlcjAxOjEyMzQ1YQ=="
        },
        "http://10.39.0.12:5000": {
            "auth": "dXNlcjAxOjEyMzQ1YQ=="
        }
    }
}
https://www.kubernetes.org.cn/1991.html

这里的内容就是docker daemon用来与docker registry进行认证的,其中,10.30.30.127:4443是docker registry server的地址,auth部分是加密后的认证信息,格式为:username:password,当输入命令docker pull的时候,docker daemon会获取该文件中的信息,并将auth部分的信息携带在请求的头部向docker registry server发送请求,docker registry server对请求认证通过后,就可以开始拉取镜像了,这部分的交互细节请参阅《从源码看Docker Registry v2中的Token认证实现机制》。那么如何使kubernetes通过docker registry的认证来获取镜像呢?通过翻阅kubernetes的相关文档,我们发现,kubernetes提供了2个对象:secret和serviceAccount,我们先来看下官方给出的定义:

  - secret:是一个保存少量诸如密码,token等敏感数据的对象,采用secret方式保存可以获取更好的控制力和减少敏感数据意外暴露的风险。secret对象的用途有:作为文件挂载到容器中或者是在kubelet拉取镜像时使用。

  - serviceAccount:为运行在pod中的进程提供身份信息。

看到了吗,kubernetes已经告诉了我们问题的答案。没错,使用secret和serviceAccount就可以实现kubernetes在创建pod的时候通过docker registry server的认证来拉取镜像。下面我们看下如何来使用这2个对象。

    1. 创建secret:

    有2种方式可以创建secret:

    a. 使用命令行:

kubectl create secret docker-registry SECRET_NAME --namespace=NAME_SPACE \      --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER \
      --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

   其中,
docker-server 为通过docker login登陆时输入的地址
docker-username 为登陆时的账号
docker-password 为登陆时的密码

docker-email 为注册的账号时的邮箱地址


图中data部分,dockercfg为data的类型,后面的一长串即为进过base64加密的内容,通过解密后,你就会发现,里面的内容基本上就是/root/.docker/config.json中的内容。

b. 定义yaml文件: 


   其中的type必须是:kubernetes.io/dockercfg

2. 创建serviceAccount 

serviceaccount.yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
name: build-robot

$ kubectl create -f serviceaccount.yaml
serviceaccounts/build-robot

$ kubectl get serviceaccounts/build-robot -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: 2015-08-14T09:59:39Z
name: build-robot
namespace: default
resourceVersion: "538168"
selfLink: /api/v1/namespaces/default/serviceaccounts/build-robot
uid: 2d55527f-426b-11e5-91cd-005056817c3e
secrets:
- name: build-robot-token-3uazg

可以看到ServiceAccount默认创建一个secret,也可以手动创建secret然后添加到ServiceAccount。

创建Pod使用ServiceAccount,
busybox-pod.yaml:

apiVersion: v1
kind: Pod
metadata:
name: busybox
spec:
containers:
- image: busybox
command:
  - sleep
  - "3600"
imagePullPolicy: IfNotPresent
name: busybox
serviceAccountName: build-robot

 3.在pod中使用: 

04.png
参考:http://dockone.io/article/599                                       
Michaelwubo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3-5 使用secret实现私有仓库镜像下载认证
分享云原生,容器,运维等干货知识
08-15 270
单机拉取私有仓库镜像可以先docker login登录,后保存成认证文件。但在K8s集群,不可能每台node都登录一次,于是可以使用secret实现镜像拉取的认证功能。
K8S部署java项目,解决拉取私有镜像仓库报错no basic auth credentials
weixin_47665032的博客
10-17 1万+
接上文,制作java项目Docker镜像并推送到AWS ECR私有镜像仓库https://blog.csdn.net/weixin_47665032/article/details/109120635 kubetl 基本命令 kubectl get pods kubectl get svc kubectl apply -f deployment.yaml kubectl describe po podName kubectl scale deployment xxxx --replicas=3 1 生成可
kubernetes容器镜像仓库nexus
李炜伦的博客
11-01 680
kubernetes的容器镜像仓库有几种,cncf官网上有这几种容器镜像仓库的项目,虽然这里面没有nexus 但是我们可以从nexus提供丰富的仓库列表里面看到,docker镜像赫然在列。而且还提供helm chart的存储,基本上nexus在通用性上是无敌了。 首先我们来创建nexus,这里我们直接使用hostpath进行存储,再添加节点亲和性进行存储目录的固定。 svc端口则与我们后面要建立docker仓库的端口相对应。 apiVersion: apps/v1 kind: Deployment met
Kubernetes 使用私有镜像仓库 Nexus
shida's blog
05-04 1410
一、前情提要       关于 Nexus 的配置,请参照前文:https://blog.csdn.net/shida_csdn/article/details/80006645二、k8s 集成 Nexus 仓库配置步骤2.1  全部节点,需要预先导入证书,该证书是 Nexus 使用的自签名证书,具体参考【前情提要】2.2  k8s 创建 Secret      由于私有仓库需要登录后才能拉取镜像...
Nexus3 Docker 镜像使用教程
最新发布
gitblog_01128的博客
08-09 451
Nexus3 Docker 镜像使用教程 docker-nexus3Dockerized version of Nexus Repo Manager 3项目地址:https://gitcode.com/gh_mirrors/do/docker-nexus3 项目介绍 Nexus3 是一个强大的 Maven 仓库管理器,它极大地简化了本地内部仓库的维护和外部仓库的访问。Nexus3 不仅支持 Ma...
kubernetes(K8S)从零开始搭建Nexus 3 作为私有镜像仓库
Mr.zhao
03-05 5448
Linux上 Nexus 安装方式有很多种,譬如二进制安装、镜像安装等等,具体情况具体处理吧。 现在记录下二进制安装的过程: 一 、Nuxus安装过程 1.下载Nexus 下载最新版的nexus下载地址:https://www.sonatype.com/oss-thank-you-tar.gz 2.linux上创建nexus的文件夹并进入文件夹:mkdir /nexus&...
基于k8s搭建部署Nexus服务
redrose2100的博客
10-09 1806
本文详细介绍了如何在k8s平台安装部署Nexus以及Nexus的基本配置使用
Kubernetes Nexus搭建Docker私有仓库
weixin_45531197的博客
02-14 808
一.创建命名空间 1.命令方式 通过命令方式创建一个名为nexus3的namespace kubectl create namespace nexus3 2.yaml方式 通过yaml文件方式创建一个名为nexus3的namespace apiVersion: v1 kind: Namespace metadata: name: nexus3 labels: name: nexus3 kubectl apply repo-nexus-ns.yam...
Kubernetes中的私有Docker仓库搭建与使用
## 1.1 为什么需要在Kubernetes使用私有Docker仓库? 在Kubernetes集群中使用私有Docker仓库有许多重要的原因: - **安全性**:私有仓库可以确保镜像的安全性,避免因使用公共仓库而带来的潜在安全风险。 - **...
kubernetes的安装和使用
我真不是李华的博客
11-07 904
1 kubernetes介绍 1.1 kubernetes功能 自动装箱 基于容器对应用运行环境的资源配置要求自动部署应用容器 自我修复(自愈能力) 当容器失败时,会对容器进行重启 当所部署的Node节点有问题时,会对容器进行重新部署和重新调度 当容器未通过监控检查时,会关闭此容器 直到容器正常运行时,才会对外提供服务 水平扩展 通过简单的命令、用户UI界面或基于CPU等资源使用情况,对应用容器进行规模扩大或规模剪裁 服务发现 用户不需要使用额外的服务发现机制,就能够基于Kubernetes
nexus配置docker代理,maven push docker镜像nexus
mygirle的博客
05-24 2292
1.预先配置nexus docker仓库 1)hosted私库配置 2)proxy代理仓库配置 3)docker仓库组合 4)配置Realms 2:配置nexus https及docker 一键配置脚本 #!/bin/bash #参数配置 NEXUS_HOME=/usr/local/nexus-3.16.1-02/ NEXUS_DOMAIN=...
nexus-operator:基于Operator SDK的Sonatype Nexus OSS Kubernetes Operator
05-23
目录 使用NodePort OpenShift上的网络 Kubernetes上的网络1.14 NGINX入口故障排除 TLS / SSL 坚持不懈迷你库 服务帐号 控制随机管理员密码生成 红帽认证图像 图片拉取政策 仓库自动创建 缩放比例 贡献 Nexus运算子 基于Operator SDK的Nexus OSS Kubernetes Operator。 您可以在OperatorShift或OpenShift 4.x Web控制台的“操作员”选项卡中找到我们,只需搜索“ Nexus”即可。 如果您无权访问OLM ,请尝试按照我们的快速安装指南手动进行安装。 如果您有任何疑问,请打开一个问题或将电子邮件发送到邮件列表: nexus-operator@googlegroups.com 。 前提条件 安装了kubectl 提供Kubernetes或OpenShift集群(也支持min
kubeadm k8s部署
xuying0906的博客
09-08 385
kubeadm部署k8s方案和步骤
准备k8s集群镜像
heiwa110的博客
10-21 6544
准备k8s集群镜像 一、在安装kubernetes集群之前,必须要提前准备好集群需要的镜像,所需平面镜像可以通过下面命令查看 kubeadm config images list 二、由于网络原因registry.k8s.io这个镜像仓库源访问不了,就需要变通一下切换镜像仓库地址为阿里云的地址,并打上镜像标签 https://kubernetes.io/zh-cn/docs/reference...
Nexus 3 安装 Kubernetes Helm 插件
热门推荐
shida's blog
05-14 1万+
一、背景介绍       Nexus 3.10 默认没有集成 Helm 插件,不利于基于 Helm 开发部署 K8S 应用       高兴的是,Nexus 社区发布了一款 Nexus 3 Helm 插件,我们可以自行手动安装       GitHub 地址:https://github.com/sonatype-nexus-community/nexus-repository-helm二、 安装...
kubernetes 集成nexus私服 并且用自签证书
殷龙飞的专栏
05-02 1387
kubernetes images no basic auth credentials 利用二进制方式k8s 安装好后,想让k8s下载docker镜像,自己以为k8s可以读取docker的~/.docker/config信息,然后自己在k8s所在的宿主机上登陆自己的可用账户 docker login xx xxx 10.1.4.139:6000 登录后,在k8s上部署应用,照样出现如下错...
sonatype Nexus3 install on Kubernetes
lyj1005353553的专栏
02-28 766
一、Nexus安装 1、安装方式一 使用nexus-builder.yaml文件进行安装: $ kubectl create -f ./nexus-builder.yaml namespace "nexus" created deployment "nexus3" created service "nexus3" created 安装完成后,查找对应端口进行访问: $ kubec
使用nexus3搭建私有仓库
qq_34618853的博客
04-14 2920
nexus是广为人知的搭建maven私有仓库的工具。 本文记录nexus在安装配置过程中的一些笔记。 使用docker安装nexus docker-compose.yml配置: version: '2' services: nexus: image: sonatype/nexus3:3.2.0 ports: - 8081:8081 volu
使用harbor和nexus作为docker registry
weixin_34088838的博客
02-23 6578
容器化的环境下,公司内部使用镜像不可能直接放在 dockerhub 上,更不可能只放在某台机器上,所以一个公司内部的私有的 docker 镜像仓库(registry)必须存在。 目前来讲,docker registry 的实现还蛮多,包括官方的 registry、harbor,以及 nexus 等。 本文会讲 nexus 和 harbor 的使用,为什么要使用两个而不是其中一个呢?因为它们都有缺...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值