Kubernetes如何使用nexus作为私有镜像仓库

最新推荐文章于 2023-07-04 17:10:09 发布
最新推荐文章于 2023-07-04 17:10:09 发布
阅读量3.7k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/79423657
版权

概述

  Harbor使用了基于角色的访问控制策略,当从nexus/docker-register中拉去镜像的时候,首先要进行身份认证,认证通过后才可以拉取镜像。在命令行模式下,需要先执行docker login,登陆成功后,才可以docker pull。通常情况下,在私有云环境中使用kubernetes时,我们要从docker registry拉取镜像的时候,都会给docker daemo配置 --insecure-registry 属性来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,但是如果要使用nexus作为kubernetes的镜像仓库的话,这种方式就不适用了,下面让我们看看如何来使用nexus作为kubernetes的镜像仓库。

实现探索

  我们在命令行方式下,输入docker login登陆成功后,会在/root/.docker/目前下生成一个config.json文件。打开后可以看到如下的内容:

root@k8s-master:~/pods/kuber/jenkins # cat ~/.docker/config.json 
{
"auths": {
"10.30.30.127:4443": {
"auth": "YWRtaW46YWRtaW4xMjM="
},
"10.30.30.127:8082": {
"auth": "YWRtaW46YWRtaW4xMjM="
},

}#             

Secret

Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: 
Opaque(default): 任意字符串 
kubernetes.io/service-account-token: 作用于ServiceAccount
kubernetes.io/dockercfg: 作用于Docker registry(nexus),用户下载docker镜像认证使用。

Opaque Secret

Opaque Secret就是字符串

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

在使用的时候可以选择已volume方式或者是已环境变量的方式放到容器内使用。

{
 "apiVersion": "v1",
 "kind": "Pod",
  "metadata": {
    "name": "mypod",
    "namespace": "default"
  },
  "spec": {
    "containers": [{
      "name": "mypod",
      "image": "busybox",
      "command": ["sleep","3600"],
      "imagePullPolicy": "IfNotPresent",
      "volumeMounts": [{
        "name": "foo",
        "mountPath": "/etc/foo",
        "readOnly": true
      }]
    }],
    "volumes": [{
      "name": "foo",
      "secret": {
        "secretName": "mysecret"
      }
    }]
  }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

这样就可以通过文件的方式挂载到容器内,在/etc/foo目录下回生成这个文件。

如果是环境变量当然也是ok的

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
    - name: mycontainer
      image: busybox
      imagePullPolicy: IfNotPresent
      command:
        - sleep
        - "3600"
      env:
        - name: SECRET_USERNAME
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

进入容器通过env命令,你将可以看到这两个环境变量被注入到容器内。

imagePullSecrets

当在需要安全验证的环境中拉取镜像的时候,需要通过用户名和密码。

apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
  namespace: awesomeapps
data:
  .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

或者直接通过命令创建

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
  • 1

接下来拉取镜像的时候,就可以使用了

apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

其实本质上还是kubelet把这个认证放到了docker的目录下面,如下:

cat ~/.docker/config.json 
{
    "auths": {
        "10.39.0.118": {
            "auth": "Y2hlbm1vOmNtMTM4MTE2NjY3ODY="
        },
        "10.39.0.12:5000": {
            "auth": "dXNlcjAxOjEyMzQ1YQ=="
        },
        "http://10.39.0.12:5000": {
            "auth": "dXNlcjAxOjEyMzQ1YQ=="
        }
    }
}
https://www.kubernetes.org.cn/1991.html

这里的内容就是docker daemon用来与docker registry进行认证的,其中,10.30.30.127:4443是docker registry server的地址,auth部分是加密后的认证信息,格式为:username:password,当输入命令docker pull的时候,docker daemon会获取该文件中的信息,并将auth部分的信息携带在请求的头部向docker registry server发送请求,docker registry server对请求认证通过后,就可以开始拉取镜像了,这部分的交互细节请参阅《从源码看Docker Registry v2中的Token认证实现机制》。那么如何使kubernetes通过docker registry的认证来获取镜像呢?通过翻阅kubernetes的相关文档,我们发现,kubernetes提供了2个对象:secret和serviceAccount,我们先来看下官方给出的定义:

  - secret:是一个保存少量诸如密码,token等敏感数据的对象,采用secret方式保存可以获取更好的控制力和减少敏感数据意外暴露的风险。secret对象的用途有:作为文件挂载到容器中或者是在kubelet拉取镜像时使用。

  - serviceAccount:为运行在pod中的进程提供身份信息。

看到了吗,kubernetes已经告诉了我们问题的答案。没错,使用secret和serviceAccount就可以实现kubernetes在创建pod的时候通过docker registry server的认证来拉取镜像。下面我们看下如何来使用这2个对象。

    1. 创建secret:

    有2种方式可以创建secret:

    a. 使用命令行:

kubectl create secret docker-registry SECRET_NAME --namespace=NAME_SPACE \      --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER \
      --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

   其中,
docker-server 为通过docker login登陆时输入的地址
docker-username 为登陆时的账号
docker-password 为登陆时的密码

docker-email 为注册的账号时的邮箱地址


图中data部分,dockercfg为data的类型,后面的一长串即为进过base64加密的内容,通过解密后,你就会发现,里面的内容基本上就是/root/.docker/config.json中的内容。

b. 定义yaml文件: 


   其中的type必须是:kubernetes.io/dockercfg

2. 创建serviceAccount 

serviceaccount.yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
name: build-robot

$ kubectl create -f serviceaccount.yaml
serviceaccounts/build-robot

$ kubectl get serviceaccounts/build-robot -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: 2015-08-14T09:59:39Z
name: build-robot
namespace: default
resourceVersion: "538168"
selfLink: /api/v1/namespaces/default/serviceaccounts/build-robot
uid: 2d55527f-426b-11e5-91cd-005056817c3e
secrets:
- name: build-robot-token-3uazg

可以看到ServiceAccount默认创建一个secret,也可以手动创建secret然后添加到ServiceAccount。

创建Pod使用ServiceAccount,
busybox-pod.yaml:

apiVersion: v1
kind: Pod
metadata:
name: busybox
spec:
containers:
- image: busybox
command:
  - sleep
  - "3600"
imagePullPolicy: IfNotPresent
name: busybox
serviceAccountName: build-robot

 3.在pod中使用: 

04.png
参考:http://dockone.io/article/599                                       
Michaelwubo
关注
docker安装nexus并配置为镜像仓库
weixin_43334878的博客
08-26 258
13、因为楼主用的是http,docker不允许非https推送镜像,所以需要配置一下,在每台需要登录的机器上都要配置如下,不然无法推送拉取以及登录,那台需要推送下载,哪台就需要配置http。3、输入用户名,然后输入刚刚设置的docker上传下载登录的端口号28082,剩下的默认,或者选择自己需要的功能;按自己需求选择,禁止匿名访问还是允许,这里楼主选择禁止,点击下一步,直到最后一步,nexus3就安装好了。11、创建名字,邮箱,密码,把刚刚新建的规则加过去。17、开始推送镜像仓库,输入。
3-5 使用secret实现私有仓库镜像下载认证
分享云原生,容器,运维等干货知识
08-15 276
单机拉取私有仓库镜像可以先docker login登录,后保存成认证文件。但在K8s集群,不可能每台node都登录一次,于是可以使用secret实现镜像拉取的认证功能。
kubernetes容器镜像仓库nexus
李炜伦的博客
11-01 688
kubernetes的容器镜像仓库有几种,cncf官网上有这几种容器镜像仓库的项目,虽然这里面没有nexus 但是我们可以从nexus提供丰富的仓库列表里面看到,docker镜像赫然在列。而且还提供helm chart的存储,基本上nexus在通用性上是无敌了。 首先我们来创建nexus,这里我们直接使用hostpath进行存储,再添加节点亲和性进行存储目录的固定。 svc端口则与我们后面要建立docker仓库的端口相对应。 apiVersion: apps/v1 kind: Deployment met
Kubernetes 使用私有镜像仓库 Nexus
shida's blog
05-04 1419
一、前情提要       关于 Nexus 的配置,请参照前文:https://blog.csdn.net/shida_csdn/article/details/80006645二、k8s 集成 Nexus 仓库配置步骤2.1  全部节点,需要预先导入证书,该证书是 Nexus 使用的自签名证书,具体参考【前情提要】2.2  k8s 创建 Secret      由于私有仓库需要登录后才能拉取镜像...
基于k8s搭建部署Nexus服务
redrose2100的博客
10-09 1822
本文详细介绍了如何在k8s平台安装部署Nexus以及Nexus的基本配置使用
kubernetes(K8S)从零开始搭建Nexus 3 作为私有镜像仓库
Mr.zhao
03-05 5458
Linux上 Nexus 安装方式有很多种,譬如二进制安装、镜像安装等等,具体情况具体处理吧。 现在记录下二进制安装的过程: 一 、Nuxus安装过程 1.下载Nexus 下载最新版的nexus下载地址:https://www.sonatype.com/oss-thank-you-tar.gz 2.linux上创建nexus的文件夹并进入文件夹:mkdir /nexus&...
k8s拉取私有镜像配置kubernetes.io/dockerconfigjson
码农的专栏
05-27 1063
第一步:登录一下私有镜像仓库
Kubernetes中的私有Docker仓库搭建与使用
## 1.1 为什么需要在Kubernetes使用私有Docker仓库? 在Kubernetes集群中使用私有Docker仓库有许多重要的原因: - **安全性**:私有仓库可以确保镜像的安全性,避免因使用公共仓库而带来的潜在安全风险。 - **...
K8S部署java项目,解决拉取私有镜像仓库报错no basic auth credentials
weixin_47665032的博客
10-17 1万+
接上文,制作java项目Docker镜像并推送到AWS ECR私有镜像仓库https://blog.csdn.net/weixin_47665032/article/details/109120635 kubetl 基本命令 kubectl get pods kubectl get svc kubectl apply -f deployment.yaml kubectl describe po podName kubectl scale deployment xxxx --replicas=3 1 生成可
kubernetes的安装和使用
我真不是李华的博客
11-07 910
1 kubernetes介绍 1.1 kubernetes功能 自动装箱 基于容器对应用运行环境的资源配置要求自动部署应用容器 自我修复(自愈能力) 当容器失败时,会对容器进行重启 当所部署的Node节点有问题时,会对容器进行重新部署和重新调度 当容器未通过监控检查时,会关闭此容器 直到容器正常运行时,才会对外提供服务 水平扩展 通过简单的命令、用户UI界面或基于CPU等资源使用情况,对应用容器进行规模扩大或规模剪裁 服务发现 用户不需要使用额外的服务发现机制,就能够基于Kubernetes
nexus配置docker代理,maven push docker镜像nexus
mygirle的博客
05-24 2301
1.预先配置nexus docker仓库 1)hosted私库配置 2)proxy代理仓库配置 3)docker仓库组合 4)配置Realms 2:配置nexus https及docker 一键配置脚本 #!/bin/bash #参数配置 NEXUS_HOME=/usr/local/nexus-3.16.1-02/ NEXUS_DOMAIN=...
nexus-3.19.1-01-win64.zip
11-07
2019年10月nexus,win64版资源, 国内无法下载,转自https://help.sonatype.com/repomanager3/download/download-archives---repository-manager-3 可用于maven搭建,文件165M
私有镜像仓库Nexus3 搭建及使用
最新发布
dxwd的专栏
07-04 1500
usr/local/nexus3/nexus-3.31.1-01/etc/jetty/jetty-https.xml 中的password。使用Nexus 不用提前上传镜像私有镜像仓库Nexus 会自动从配置的remote repository 进行下载。到/etc/systemd/system/目录下创建一个nexus.service 文件即可。重启nexus3 后,使用浏览器打开:https://ip:8443。使用浏览器打开:http://ip:8081。密码保存在如下文件中,首次登陆后修改。
kubernetes创建本地镜像仓库
热门推荐
mryang125的博客
09-07 1万+
通过k8s部署应用,需要从远程镜像仓库拉取镜像,默认的远程镜像为dock hub,访问这个仓库难免出现各种超时和龟速问题。那么有什么解决方案吗? k8s直接运行本地镜像 我们可以将直接用k8s运行本地镜像将容器跑起来。但是前置条件得保证所有的node节点都有这个镜像,然后指定镜像拉取策略为imagePullPolicy: Never 即可。 1)将镜像同步到所有node节点: 假设当前镜像为spring-app:20200906-130657,将镜像tar包,然后scp到各个node节点: docker s
k8s集群使用私有镜像仓库
wuzhenxu1995的博客
04-25 844
k8s集群使用私有镜像仓库
Kubernetes Nexus搭建Docker私有仓库
weixin_45531197的博客
02-14 813
一.创建命名空间 1.命令方式 通过命令方式创建一个名为nexus3的namespace kubectl create namespace nexus3 2.yaml方式 通过yaml文件方式创建一个名为nexus3的namespace apiVersion: v1 kind: Namespace metadata: name: nexus3 labels: name: nexus3 kubectl apply repo-nexus-ns.yam...
Nexus3搭建Docker私有仓库并push镜像
老柴菜鸟
11-21 1万+
在前面的文章中,我们已经安装好了docker,也已启动了Nexus3,接下来我们就在Nexus3中搭建一个docker的私服。
maven之Nexus的配置【setting.xml配置镜像<mirror>】(七)
卡洛~carlo的博客
11-04 1万+
maven的镜像配置【setting.xml配置镜像<mirror>】
kubernetes&&私有镜像仓库部署
dfq737211338的博客
05-30 1075
kubernetes&&私有镜像仓库部署固化IP地址关闭firewalld并禁止自启动,安装iptables并清空规则并保存并设置开机自启关闭SELINUX设置时区并重启与时间有关的服务安装docker软件安装docker-compose离线安装harbordocker服务上传镜像文件到私有镜像仓库 固化IP地址 [root@192 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33 TYPE=Ethernet PROXY_METHOD=n
使用Nexus搭建Maven私有仓库
"本文档介绍了如何使用Nexus搭建Maven私有仓库,旨在解决团队开发中因频繁从公共仓库下载构件导致的网络带宽浪费和效率降低问题。Nexus作为一个强大的Maven仓库管理工具,可以帮助团队在内网环境中高效地管理和分发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值