k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像

已于 2024-04-21 15:33:14 修改
阅读量3.3k 收藏 11
点赞数 2
分类专栏: kubernetes 文章标签: kubernetes docker 容器
于 2022-10-14 13:11:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MssGuo/article/details/127312239
版权

前言

环境:centos 7.9 k8s-v1.22.6 harbor--v2.4.3-85ef1409

harbor私有镜像仓库搭建

docker的私有镜像仓库使用harbor,harbor的搭建请参考 https://blog.csdn.net/MssGuo/article/details/126210184?,这里不在陈诉,默认你已经搭建好了harbor,能正常上传下载镜像到harbor。

Secret 的三种类型

查看官方文档我们得知,Secret原来一共有三种类型的,分别是:

Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

原来,就是使用kubernetes.io/dockerconfigjson这种类型的Secret存储私有docker registry的认证信息

创建私有镜像仓库Secret 的两种方式

1、先在docker上登录harbor镜像仓库地址,得到 /root/.docker/config.json 文件,使用该文件进行创建,可以查看官网: https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry/
2、使用命令行镜像创建;这里主要讲解使用命令行创建。

k8s使用命令行创建Secret 配置harbor私有镜像仓库地址

# 直接使用命令行创建一个名称叫做harbor-registry的secret 
# docker-registry是关键字,harbor-registry才是我们起的名称
# 指定命名空间,注意secret资源对象是区分命名空间的
kubectl -n default create secret docker-registry harbor-registry  \		
  --docker-email=baidu.com@example \
  --docker-username=admin \
  --docker-password=TestHarbor123 \
  --docker-server=192.168.118.119:443

#查看secret,已经创建成功
[root@master ~]# kubectl get secret harbor-registry
NAME              TYPE                             DATA   AGE
harbor-registry   kubernetes.io/dockerconfigjson   1      16s
#查看secret
[root@master ~]# kubectl describe  secret harbor-registry
Name:         harbor-registry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  141 bytes
[root@master ~]# 

# 对.data.dockerconfigjson 内容进行转储并执行 base64 解码可以发现:
[root@master ~]# kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d                   
{"auths":{"192.168.118.119:443":{"username":"admin","password":"TestHarbor123","email":"baidu.com@example","auth":"YWRtaW46SGFyYm9yMTIzNDU="}}}[root@master ~]#
 #格式化一下,其实这就是一个有效的docker用户配置文件:
 {
	"auths": {
		"192.168.118.119:443": {
			"username": "admin",
			"password": "TestHarbor123",
			"email": "baidu.com@example",
			"auth": "YWRtaW46SGFyYm9yMTIzNDU="
		}
	}
}
还记的当你登陆docker的时候吗, docker login -u admin -p TestHarbor123 192.168.118.119:443 其实生成的用户信息配置文件就
是/root/.docker/config.json,这个文件和上面的基本是一样的。

pod使用imagePullSecrets参数指定镜像拉取秘钥

[root@master deployment]# cat test_nginx.yaml 
apiVersion: apps/v1
kind: Deployment
metadata: 
  name: test-nginx
  labels: 
    env: dev
    tiar: front
  namespace: default					#命名空间,要与secret的一致,不要找不到对应的secret
spec:
  replicas: 1
  selector:
     matchLabels:
         app: test-nginx
  template:
     metadata:
       labels:
         app: test-nginx
     spec:
         imagePullSecrets: 				#使用imagePullSecrets参数指定镜像拉取秘钥
         - name: harbor-registry		#使用我们的secret,即harbor-registry 
         containers:
         - image: 192.168.118.119:443/my_harbor/nginx:v1	#指定拉取的镜像,注意这里的镜像名称只需要写到ip地址,端口号,仓库名,镜像名,版本
           name: nginx-container
           imagePullPolicy: IfNotPresent
           ports:
           - name: http 
             containerPort: 80
[root@master deployment]#

注意:在node节点上需要docker能正常请求到私有镜像仓库地址,还需要将harbor镜像仓库地址添加到/etc/docker/daemon.json ,如下所示:

[root@node1 ~]# cat /etc/docker/daemon.json 
{
    "registry-mirrors": ["https://b9pmyelo.mirror.aliyuncs.com"],
    "exec-opts": ["native.cgroupdriver=systemd"],
    "insecure-registries": ["192.168.118.119:443"]		#添加这一句,不加的话docker login将会报错的
}
[root@node1 ~]# 
[root@node1 ~]#  systemctl  daemon-reload		#重载
[root@node1 ~]#  systemctl  restart docker		#重启docker,生产环境不要随便重启docker

[root@master deployment]# kubectl apply -f test_nginx.yaml 						#创建deployment
[root@master deployment]# kubectl get pods 										#查看pods
NAME                                READY   STATUS              RESTARTS      AGE
test-nginx-bcb85475b-6tcwz          0/1     ContainerCreating   0             10s
[root@master deployment]# kubectl describe  pods test-nginx-bcb85475b-6tcwz		#查看pods,pods被分配到node1上,镜像正常拉取
  ----    ------     ----  ----               -------
  Normal  Scheduled  37s   default-scheduler  Successfully assigned default/test-nginx-75c88cc97d-556lt to node1
  Normal  Pulling    35s   kubelet            Pulling image "192.168.118.119:443/my_harbor/nginx:v1"
  Normal  Pulled     35s   kubelet            Successfully pulled image "192.168.118.119:443/my_harbor/nginx:v1" in 110.79546ms
  Normal  Created    35s   kubelet            Created container nginx-container
  Normal  Started    35s   kubelet            Started container nginx-container
[root@master deployment]# 

[root@node1 ~]# docker images | grep nginx		#到node1上查看,镜像已经正常拉取下来了
192.168.118.119:443/my_harbor/nginx                      v1        605c77e624dd   9 months ago    141MB
[root@node1 ~]#

总结

1、创建一个secret 用于存储私有镜像的地址账号信息:

# 查看官网的样例 https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#using-imagepullsecrets
# 没有指定命名空间,默认这个secret 是创建在当前命名空间下
kubectl create secret docker-registry secret-tiger-docker \		#docker-registry是关键字 secret-tiger-docker是自定义的名称
  --docker-email=tiger@acme.example \				#定义邮箱
  --docker-username=tiger \							#用户名
  --docker-password=pass1234 \						#密码
  --docker-server=my-registry.example:5000			#仓库地址+端口

#创建完成之后对secret 进行解码可以看到私有仓库的信息
[root@master ~]# kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d

2、先确保每个node节点都能正常登录harbor私有镜像仓库地址,如果不能正常登录harbor仓库,可以试下配置下面这几行:

[root@node1 ~]# cat /etc/docker/daemon.json 
{
    "registry-mirrors": ["https://b9pmyelo.mirror.aliyuncs.com"],
    "exec-opts": ["native.cgroupdriver=systemd"],
    "insecure-registries": ["192.168.118.119:443"]		#添加这一句,不加的话docker login将会报错的
}
[root@node1 ~]# 
[root@node1 ~]#  systemctl  daemon-reload		#重载
[root@node1 ~]#  systemctl  restart docker		#重启docker,生产环境不要随便重启docker

3、 pod使用imagePullSecrets参数指定镜像拉取秘钥,注意pod的所在命名空间要与secret的命名空间一样,不要会找不到secret。

spec:
         imagePullSecrets: 				#使用imagePullSecrets参数指定镜像拉取秘钥,这个秘钥要与pod所在命名空间一样
         - name: harbor-registry		#使用我们的secret,即harbor-registry
         containers:
         - image: 192.168.118.119:443/my_harbor/nginx:v1	#注意镜像名称需要写到ip地址,端口号,仓库名,镜像名,版本
           name: nginx-container
           imagePullPolicy: IfNotPresent
           ports:
           - name: http 
             containerPort: 80

4、官方不建议pod中使用imagePullSecrets进行仓库地址的配置,而是建议使用serveraccount的方式。

排错、经验教训

1、pod一直拉取不了镜像。
首先确保单个node节点是能正常拉取镜像的,其次检查image的名字是否正确,一定要是这样写 ip地址,端口号,仓库名,镜像名,版本,没有ip地址端口号,只写到仓库名,镜像名,版本是不行的。
其次,检查secret的命名空间是否与pod的命名空间一致。
最后,检查 你的secret配置,kubectl get secret harbor-registry -o jsonpath='{.data.*}' | base64 -d 解码,确保配置的信息是正确无误的。

检查以上几步,基本能保证一切正常了。

MssGuo
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问。
k8s集群部署Harbor镜像仓库
01-02
漏洞扫描: Harbor集成了漏洞扫描工具,可以帮助你在镜像构建和存储的过程自动检测容器镜像的漏洞。这有助于在运行容器之前及时发现和修复潜在的安全问题。 镜像复制和同步: Harbor支持镜像的复制和同步,可以...
K8s命令创建harbor-Secret
blues的博客
06-15 3372
1、创建前先查看secrets 1 2 3 4 5 [root@k8s-master ~]# kubectl get secrets -n test-project NAME TYPE DATA AGE default-token-56q6l kubernetes.io/service-account-token3...
k8s新建一个namespace和harborsecret的yaml文件
weixin_33774308的博客
10-24 1143
注意哟, 不同的harborsecret,在不同的namespace,是不共用的。 也就是说,如果在default名字空间,创建了一个docker login secret, 在其它名字空间,是不能用的。得再建一个同样的secret的。 --- apiVersion: v1 kind: Namespace metadata: name: demo labels:...
K8S 配置Docker镜像仓库密码
zhangxiangui40542的专栏
10-17 5598
K8S 配置Docker镜像仓库密码 一、创建指定命名空间下的账号密码 kubectl create secret docker-registry default --docker-server=hub.harbor.com --docker-username=admin --docker-password=Harbor12345 --docker-email=&quot;[email protected]&quot; --na...
k8s 配置 Secret 集成Harbor
qq_34285557的博客
04-28 1651
本篇主要 记录一下 在 k8s 如果想要 从 harbor拉取镜像 该怎么操作,以及介绍了一下 k8s Secret 是什么 1.Secret 是什么 1.1 Secret 概述 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约或者镜像使用 Secret 意味着你不需要在应用程序代码包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程暴露 Secret(及其数据...
Harbor私有镜像仓库部署包
03-15
3.配置镜像加速和私有仓库地址 配置公网镜像仓库加速地址以及harbor私有镜像仓库地址 4.搭建harbor仓库 修改harbor.cfg配置文件的域名以及https协议,签发https协议所需ssl证书。 使用docker-compose命令启动...
Harbor镜像仓库安装包v2.10.0版本(harbor-offline-installer-v2.10.0.tgz)
01-29
harbor镜像离线安装包最新版本下载包 用于安装harbor镜像仓库 下载后解压会得到harbor镜像仓库安装所需的所有文件 ...结合gitalbCICD自动化集成部署使用harbor镜像仓库存储生成的镜像版本,更好的维护项目镜像
安装和配置Harbor镜像仓库
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
容器技术之镜像仓库harbor部署过程
04-20
本文档记录了容器镜像仓库harbor的部署过程及相关配置文件,根据步骤可以搭建一个安全可靠的带openssl的harbor容器仓库
k8s创建共享harbor-secret
w2909526的博客
02-27 351
kubectl describe sa -n test查看serviceaccount信息。在每个namespace下都有一个默认的service account。Image pull secrets 是ns下拉取镜像的秘钥。使用 kubectl get sa -n test 查看。至此在test下拉取镜像无需配置镜像拉取秘钥了。2.配置进service account。1.创建secret。
K8S:kubeadm搭建K8S+Harbor 私有仓库
Katie_ff的博客
09-07 1738
本文重要是使用kubeadm来搭建K8S,在所有节点上安装Docker和kubeadm、部署Kubernetes Master、部署容器网络插件、部署 Kubernetes Node,将节点加入Kubernetes集群、部署 Dashboard Web 页面,可视化查看Kubernetes资源、部署 Harbor 私有仓库,存放镜像资源,以及kubeadm内核参数优化方案,对部署kubeadm搭建K8S+Harbor 私有仓库过程的问题解决方案的介绍
k8s使用secret从私有仓库拉取镜像
y_hai_yang的博客
12-02 1502
使用docker从私有仓库拉取经销,可以使用docker login [私有仓库地址] 然后输入用户名和密码登录后就可以拉取镜像了,但如果使用k8s时,node 节点过多,难道需要跑到每个node节点去执行一次登录么?当然不是.这里就牵扯到k8s的一个secret的东西. Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes...
Kubernetes Harbor等资源--secret和ServiceAccount配置
weixin_34290352的博客
12-12 446
Kubernetes Harbor等资源--secret和ServiceAccount配置 ![]来啦,老弟########## 用途 secret对象类型主要目的是保存和处理敏感信息/私密数据。将这些信息放在secret对象比 直接放在poddocker image更安全,也更方便使用。在一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container的volu...
k8s使用阿里云私人docker仓库需要进行登录
whitek的博客
12-15 1079
在集群创建保存授权令牌的 Secret Kubernetes 集群使用 docker-registry 类型的 Secret 来通过容器仓库的身份验证,进而提取私有映像。 创建 Secret,命名为 regcred: kubectl create secret docker-registry regcred \ --docker-server=<你的镜像仓库服务器> \ --docker-username=<你的用户名> \ --docker-passwor
Git配置仓库账户密码
Jack_num1的博客
02-13 1243
Git 配置仓库账户密码,由于我们在工作需要使用Gitlab仓库,代码依赖需要使用Github,那么多仓库账户密码的配置就尤为重要。
k8s相关常用语句
QQ563627436的博客
05-11 659
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
KubernetesPod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 325
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
KubernetesPod 之间的亲和性与反亲和性
最新发布
千度阿三的博客
05-18 305
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
k8s拉取harbor仓库镜像失败
12-10
以下是解决k8s拉取harbor仓库镜像失败的方法: 1. 确认harbor仓库地址是否正确,可以通过在浏览器访问该地址来确认。 2. 确认k8s节点是否可以访问harbor仓库地址,可以通过在k8s节点上使用curl命令测试。 ```shell curl http://<harbor仓库地址>/v2/ ``` 如果返回类似于以下内容,则表示可以正常访问: ``` {"name":"harbor.example.com","version":"v2.0.0","logo":"","desc":""} ``` 3. 确认k8s节点是否配置harbor仓库的认证信息,可以通过以下命令查看: ```shell kubectl get secret <harbor认证信息名称> --namespace=<命名空间> -o yaml ``` 如果没有认证信息,则需要创建一个secret对象并将认证信息添加到其。 4. 确认k8s节点是否配置harbor仓库的地址,可以通过以下命令查看: ```shell kubectl get configmap <harbor地址配置名称> --namespace=<命名空间> -o yaml ``` 如果没有配置地址,则需要创建一个configmap对象并将地址添加到其。 5. 确认k8s节点是否配置harbor仓库的CA证书,可以通过以下命令查看: ```shell kubectl get secret <harbor CA证书名称> --namespace=<命名空间> -o yaml ``` 如果没有配置CA证书,则需要将CA证书添加到secret对象

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值