k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像

已于 2024-04-21 15:33:14 修改
阅读量4.7k 收藏 13
点赞数 3
分类专栏: kubernetes 文章标签: kubernetes docker 容器
于 2022-10-14 13:11:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MssGuo/article/details/127312239
版权

前言

环境:centos 7.9 k8s-v1.22.6 harbor--v2.4.3-85ef1409

harbor私有镜像仓库搭建

docker的私有镜像仓库使用harbor,harbor的搭建请参考 https://blog.csdn.net/MssGuo/article/details/126210184?,这里不在陈诉,默认你已经搭建好了harbor,能正常上传下载镜像到harbor。

Secret 的三种类型

查看官方文档我们得知,Secret原来一共有三种类型的,分别是:

Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

原来,就是使用kubernetes.io/dockerconfigjson这种类型的Secret存储私有docker registry的认证信息

创建私有镜像仓库Secret 的两种方式

1、先在docker上登录harbor镜像仓库地址,得到 /root/.docker/config.json 文件,使用该文件进行创建,可以查看官网: https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry/
2、使用命令行镜像创建;这里主要讲解使用命令行创建。

k8s使用命令行创建Secret 配置harbor私有镜像仓库地址

# 直接使用命令行创建一个名称叫做harbor-registry的secret 
# docker-registry是关键字,harbor-registry才是我们起的名称
# 指定命名空间,注意secret资源对象是区分命名空间的
kubectl -n default create secret docker-registry harbor-registry  \		
  --docker-email=baidu.com@example \
  --docker-username=admin \
  --docker-password=TestHarbor123 \
  --docker-server=192.168.118.119:443

#查看secret,已经创建成功
[root@master ~]# kubectl get secret harbor-registry
NAME              TYPE                             DATA   AGE
harbor-registry   kubernetes.io/dockerconfigjson   1      16s
#查看secret
[root@master ~]# kubectl describe  secret harbor-registry
Name:         harbor-registry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  141 bytes
[root@master ~]# 

# 对.data.dockerconfigjson 内容进行转储并执行 base64 解码可以发现:
[root@master ~]# kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d                   
{"auths":{"192.168.118.119:443":{"username":"admin","password":"TestHarbor123","email":"baidu.com@example","auth":"YWRtaW46SGFyYm9yMTIzNDU="}}}[root@master ~]#
 #格式化一下,其实这就是一个有效的docker用户配置文件:
 {
	"auths": {
		"192.168.118.119:443": {
			"username": "admin",
			"password": "TestHarbor123",
			"email": "baidu.com@example",
			"auth": "YWRtaW46SGFyYm9yMTIzNDU="
		}
	}
}
还记的当你登陆docker的时候吗, docker login -u admin -p TestHarbor123 192.168.118.119:443 其实生成的用户信息配置文件就
是/root/.docker/config.json,这个文件和上面的基本是一样的。

pod使用imagePullSecrets参数指定镜像拉取秘钥

[root@master deployment]# cat test_nginx.yaml 
apiVersion: apps/v1
kind: Deployment
metadata: 
  name: test-nginx
  labels: 
    env: dev
    tiar: front
  namespace: default					#命名空间,要与secret的一致,不要找不到对应的secret
spec:
  replicas: 1
  selector:
     matchLabels:
         app: test-nginx
  template:
     metadata:
       labels:
         app: test-nginx
     spec:
         imagePullSecrets: 				#使用imagePullSecrets参数指定镜像拉取秘钥
         - name: harbor-registry		#使用我们的secret,即harbor-registry 
         containers:
         - image: 192.168.118.119:443/my_harbor/nginx:v1	#指定拉取的镜像,注意这里的镜像名称只需要写到ip地址,端口号,仓库名,镜像名,版本
           name: nginx-container
           imagePullPolicy: IfNotPresent
           ports:
           - name: http 
             containerPort: 80
[root@master deployment]#

注意:在node节点上需要docker能正常请求到私有镜像仓库地址,还需要将harbor镜像仓库地址添加到/etc/docker/daemon.json ,如下所示:

[root@node1 ~]# cat /etc/docker/daemon.json 
{
    "registry-mirrors": ["https://b9pmyelo.mirror.aliyuncs.com"],
    "exec-opts": ["native.cgroupdriver=systemd"],
    "insecure-registries": ["192.168.118.119:443"]		#添加这一句,不加的话docker login将会报错的
}
[root@node1 ~]# 
[root@node1 ~]#  systemctl  daemon-reload		#重载
[root@node1 ~]#  systemctl  restart docker		#重启docker,生产环境不要随便重启docker

[root@master deployment]# kubectl apply -f test_nginx.yaml 						#创建deployment
[root@master deployment]# kubectl get pods 										#查看pods
NAME                                READY   STATUS              RESTARTS      AGE
test-nginx-bcb85475b-6tcwz          0/1     ContainerCreating   0             10s
[root@master deployment]# kubectl describe  pods test-nginx-bcb85475b-6tcwz		#查看pods,pods被分配到node1上,镜像正常拉取
  ----    ------     ----  ----               -------
  Normal  Scheduled  37s   default-scheduler  Successfully assigned default/test-nginx-75c88cc97d-556lt to node1
  Normal  Pulling    35s   kubelet            Pulling image "192.168.118.119:443/my_harbor/nginx:v1"
  Normal  Pulled     35s   kubelet            Successfully pulled image "192.168.118.119:443/my_harbor/nginx:v1" in 110.79546ms
  Normal  Created    35s   kubelet            Created container nginx-container
  Normal  Started    35s   kubelet            Started container nginx-container
[root@master deployment]# 

[root@node1 ~]# docker images | grep nginx		#到node1上查看,镜像已经正常拉取下来了
192.168.118.119:443/my_harbor/nginx                      v1        605c77e624dd   9 months ago    141MB
[root@node1 ~]#

总结

1、创建一个secret 用于存储私有镜像的地址账号信息:

# 查看官网的样例 https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#using-imagepullsecrets
# 没有指定命名空间,默认这个secret 是创建在当前命名空间下
kubectl create secret docker-registry secret-tiger-docker \		#docker-registry是关键字 secret-tiger-docker是自定义的名称
  --docker-email=tiger@acme.example \				#定义邮箱
  --docker-username=tiger \							#用户名
  --docker-password=pass1234 \						#密码
  --docker-server=my-registry.example:5000			#仓库地址+端口

#创建完成之后对secret 进行解码可以看到私有仓库的信息
[root@master ~]# kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d

2、先确保每个node节点都能正常登录harbor私有镜像仓库地址,如果不能正常登录harbor仓库,可以试下配置下面这几行:

[root@node1 ~]# cat /etc/docker/daemon.json 
{
    "registry-mirrors": ["https://b9pmyelo.mirror.aliyuncs.com"],
    "exec-opts": ["native.cgroupdriver=systemd"],
    "insecure-registries": ["192.168.118.119:443"]		#添加这一句,不加的话docker login将会报错的
}
[root@node1 ~]# 
[root@node1 ~]#  systemctl  daemon-reload		#重载
[root@node1 ~]#  systemctl  restart docker		#重启docker,生产环境不要随便重启docker

3、 pod使用imagePullSecrets参数指定镜像拉取秘钥,注意pod的所在命名空间要与secret的命名空间一样,不要会找不到secret。

spec:
         imagePullSecrets: 				#使用imagePullSecrets参数指定镜像拉取秘钥,这个秘钥要与pod所在命名空间一样
         - name: harbor-registry		#使用我们的secret,即harbor-registry
         containers:
         - image: 192.168.118.119:443/my_harbor/nginx:v1	#注意镜像名称需要写到ip地址,端口号,仓库名,镜像名,版本
           name: nginx-container
           imagePullPolicy: IfNotPresent
           ports:
           - name: http 
             containerPort: 80

4、官方不建议pod中使用imagePullSecrets进行仓库地址的配置,而是建议使用serveraccount的方式。

排错、经验教训

1、pod一直拉取不了镜像。
首先确保单个node节点是能正常拉取镜像的,其次检查image的名字是否正确,一定要是这样写 ip地址,端口号,仓库名,镜像名,版本,没有ip地址端口号,只写到仓库名,镜像名,版本是不行的。
其次,检查secret的命名空间是否与pod的命名空间一致。
最后,检查 你的secret配置,kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d 解码,确保配置的信息是正确无误的。

检查以上几步,基本能保证一切正常了。

MssGuo
关注
专栏目录
云原生之容器编排实践-在K8S集群使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1716
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
K8S的ServiceAccount和useraccount并配置私有仓库用户名密码Harbor拉取私有镜像
风水道人
09-06 484
K8S的ServiceAccount和useraccount并配置私有仓库用户名密码Harbor拉取私有镜像
k8s使用secret从私有仓库拉取镜像
y_hai_yang的博客
12-02 1667
使用docker从私有仓库拉取经销,可以使用docker login [私有仓库地址] 然后输入用户名和密码登录后就可以拉取镜像了,但如果使用k8s时,node 节点过多,难道需要跑到每个node节点去执行一次登录么?当然不是.这里就牵扯到k8s的一个secret的东西. Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes...
K8s搭建过程,新手闭眼入!!!超详细教程
最新发布
hotslow的博客
09-02 1914
前提:在另一台主机已搭建好harbor私人仓库,之前博客有详细记录环境:准备三台主机,一台master,一台node1,一台noed2。
K8S对象-secret及应用(k8s 使用harbor镜像仓库,http,https 自签CA证书)
运维玄德公
06-07 1657
1. 概述 1.1 作用 1.2 三种类型 2. docker registry 2.1 http库的使用 2.2 https仓库使用 2.2.1 获取config.json的编码 2.2.2 创建secret 2.2.3 使用 3. generic 4. tls
k8s私有镜像仓库secret创建
司隶校尉博客
07-07 3830
一、 opaque类型的secret k8s常见常用的secret 类型opaque,通过base64 decode解码获得秘钥信息,安全性这块较弱,创建例子如下: apiVersion: v1 kind: Secret metadata: name: secret_userinfo type: Opaque data: name: 5bCP5piO age: Ng== 创建的secret的使用方法有挂载和环境变量两种,以下只介绍在环境变量使用方法: env: - name:
k8s使用harbor私有仓库镜像 —— 筑梦之路
筑梦之路
04-17 1420
官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,并不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。
k8s集群之Pod镜像管理+私有仓库harbor搭建
qq_28361541的博客
05-13 4000
文章目录一、pod容器分类1.1、Pod 特点1.2、Pod容器分类二、镜像拉取策略 (image PullPolicy)2.1、尝试编辑一个pod并指定拉取策略三、搭建 k8s 的私有仓库 一、pod容器分类 1.1、Pod 特点 最小部署单元 一组容器的集合 一个Pod容器共享网络命名空间 Pod是短暂的,有自己的生命周期。 1.2、Pod容器分类 1、infrastructure container:基础容器 维护整个pod网络空间:可以在node节点操作查看容器的网络 [root@l
k8s,盘他!pod容器镜像管理和k8s私有仓库harbor搭建
CN_TangZheng的博客
05-11 1007
文章目录前言1.1:pod容器分类与镜像拉取策略1.2:k8sharbor私有仓库部署如有疑问可评论区交流! 前言 1.1:pod容器分类与镜像拉取策略 podk8s是: 1、最小部署单页 2、一组容器的集合 3、一个pod容器共享网络命名空间 4、pod是短暂的 pod容器分类: 1、infrastructure container:基础容器 维护整个pod网络空间:可以在node节点操作查看容器的网络 [root@node01 ~]# cat /opt/k8s/cfg/
【云原生K8SKubernetes对接harbor私人仓库
m0_71518373的博客
11-10 1787
K8S对接建立私人harbor仓库,避免远程镜像源拉取超时
k8s-kubeadm和Harbor私有仓库部署
勤能补拙,知行合一
04-05 709
部署k8s-kubeadm 文章目录环境准备需求:环境部署部署K8S集群//设定kubectl//所有节点部署网络插件flannel//测试 pod 资源创建部署 Dashboard安装Harbor私有仓库 环境准备 主机 IP 组件 master 192.168.100.135 docker、kubeadm、kubelet、kubectl、flannel node01 192.168.100.142 docker、kubeadm、kubelet、kubectl、flannel no
K8S 配置Docker镜像仓库密码
zhangxiangui40542的专栏
10-17 5724
K8S 配置Docker镜像仓库密码 一、创建指定命名空间下的账号密码 kubectl create secret docker-registry default --docker-server=hub.harbor.com --docker-username=admin --docker-password=Harbor12345 --docker-email=&quot;test@qq.com&quot; --na...
K8S通过Yaml配置镜像仓库 imagePullSecrets
SHELLCODE_8BIT的博客
07-21 511
k8s可以通过配置
通过kubectl创建登录harborSecret
尹曦的博客
08-07 316
k8s创建secret
k8s创建secret并在container获取secret
HELLOWORLD2424的博客
08-06 546
可以看得到secret已经可以成功范围了,并且值得注意的是,当作为volume挂载进来Pod的时候,secret会自动的进行base64解码,这里直接就可以访问明文了。本文使用的deployment和service与我的上一篇文章一样。下面我们通过一个命令把secret绑定到我们需要部署的命名空间,即dev-apisecret的名字叫db-user-pass,存放有两对keypairs。secret是我们自己收到创建的,我们需要先通过下面的命令来创建分别存放username和password的文件。
dockerk8s系列之 —— harbor的安装及配置
qq_35422470的博客
02-14 1522
转换crt为cert,供Docker使用Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。提供了企业级的Docker Registry 仓库服务,图形化的ui,提供restapi供外部系统集成。harbordocker镜像的私服仓库工具,我们可以通过harbor搭建个人或者公司私有镜像仓库。# 将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹。# 使用该v3.ext文件为您的Harbor主机生成证书。# 例如docker配置
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1682
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用Secret,◆Opaque:通用型Secret,默认类型;
【云原生】Kubernetes----k8s免密使用harbor私有仓库
hy199707的博客
07-29 984
Kubernetesk8s)环境使用私有镜像仓库Harbor来存储和管理容器镜像是一种常见做法。Harbor是由VMware公司开源的企业级Docker Registry管理项目,支持丰富的权限控制和完善的架构设计,尤其适合大规模Docker集群部署。然而,每次Pod拉取私有镜像时都需要进行身份验证,这可能会增加系统的复杂性和运维成本。本文将介绍如何在Kubernetes配置免密使用Harbor私有仓库的方法。
Kubernetes 上拉取 Harbor 私有仓库镜像并部署服务
你是我的天晴
06-13 1186
今天来讲解下怎么让k8s直接拉取Harbor 私有仓库上面的镜像
阿里云镜像仓库Harbor的部署教程与SSL配置
本文档详细介绍了如何在企业环境部署和配置一个安全可靠的容器镜像仓库Harbor。首先,部署Harbor前需确保系统已安装DockerDocker Compose,因为它们是Harbor运行的基础。安装Docker的步骤可以通过执行`curl -...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值