[k8s] kubernetes从harbor拉取镜像没有权限解决方法 unauthorized

最新推荐文章于 2024-05-16 13:42:55 发布
最新推荐文章于 2024-05-16 13:42:55 发布
阅读量8.3k 收藏 8
点赞数
分类专栏: k8s Docker 文章标签: docker k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agonie201218/article/details/120313644
版权
k8s 同时被 2 个专栏收录
92 篇文章 75 订阅
订阅专栏
Docker
31 篇文章 7 订阅
订阅专栏

Kubernetes在拉取私服(Harbor)镜像时,经常出现问题,导致ImagePullBackOff。查看kubectl describe pod …,还经常发现这类错误:

Failed to pull image “192.168.1.13:9080/ces/ces-gateway:1.1-SNAPSHOT”: rpc error: code = Unknown desc = Error response from daemon: unauthorized: unauthorized to access repository: ces/ces-gateway, action: pull: unauthorized to access repository: ces/ces-gateway, action: pull

又或者:

Failed create pod sandbox: rpc error: code = Unknown desc = failed pulling image …Error response from daemon: pull access denied for …repository does not exist or may require ‘docker login’

这是因为没有正确配置pull权限所致。

~/.docker/config.json无效

首先,不要寄望于~/.docker/config.json。与Docker Swarm不同,Kubernetes不会使用这里的配置来pull。

当然,用docker login测试过账户、密码、Registry、镜像均无误后,再走下一步,是更好的选择。

使用imagePullSecrets

通过创建docker-registry类的secrets,可以实现类似docker login的功能。

regcred secrets 名称

kubectl create secret docker-registry regcred \    
--docker-server= \    
--docker-username= \    
--docker-password= \    
--docker-email=

其中.dockerconfigjson的值包含了登录harbor的用户名和密码等信息,通过以下命令进行查看:

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 -d

其中,server、username和password都是必填项,email可以不填。

在使用时,把imagePullSecrets添加到Pod配置中。

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: your-private-image
  imagePullSecrets:
  - name: regcred

其中,regcred为secrets名称,可随意指定。

注意Namespace

即使创建了secrets、配置了imagePullSecrets,有时仍然无法pull镜像。比如Calico的相关镜像,如果被同步到了本地一个私有Registry中,一般配置时无效的。

这是因为,Calico属于系统Network组件,Namespace是kube-system。而一般创建的secrets,属于default。通过以下命令可以查看特定secrets的详细信息。

# kubectl get secret regcred -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJodHRwOi8vaGFyYm9yLnR1cmluZy1jaS5oaXNpbGljb24uY29tIjp7IlVzZXJuYW1lIjoiY2hyaXN0b3BoZXIiLCJQYXNzd29yZCI6IlFpZGRZYWZkQmF2YTYjIiwiRW1haWwiOiJ5MDA0NDU0ODBAbm90ZXNtYWlsLmh1YXdlaS5jb20ifX19
kind: Secret
metadata:
  creationTimestamp: "2019-01-10T08:51:03Z"
  name: regcred
namespace: default
  resourceVersion: "100110"
  selfLink: /api/v1/namespaces/default/secrets/regcred
  uid: dc96580b-14b4-11e9-9f81-e435c87f8d90
type: kubernetes.io/dockerconfigjson

在创建secrets时需要指定Namespace:

kubectl --namespace kube-system \
    create secret docker-registry regcred \
    --docker-server= \
    --docker-username= \
    --docker-password= \
    --docker-email=

不同Namespace,secrets可以同名,所以仍然可以叫regcred。

注意:或者,在secrets创建后可以修改一些内容:

kubectl edit secret regcred --namespace=kube-system

但不能修改Namespace。所以,必须在创建时准确指定。

用patch避免设置imagePullSecrets

每个私有镜像在使用前,都需要设置imagePullSecrets,这是一件非常繁琐的事。在迁移服务时,它能有效地提醒secrets的迁移。这是一个优点,但能被良好的迁移文档所解决。

用patch可以避免这么繁琐。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "regcred"}]}'

这相当于,在default这个Namespace中的所有镜像pull操作,都自动具备了regcred这个账户密码。

终于,和docker login一样了。

注意:这里的示例只针对default这个Namespace。其它的Namespace需要一一执行patch。某些场景下,比如网络组件Calico,似乎只能老老实实地写imagePullSecrets。

对k8s系统镜像无效

系统镜像中,kube-proxy、pause是在所有Slave节点都需要使用的。如果这些系统镜像被设为私有,则无法下载。以上方法无效,原因不明。

所以,k8s系统镜像,即使同步到了本地Registry,也不要设为私有。

Young丶
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker login 登录harbor报错:Error response from daemon: Get ...: unauthorized: authentication required
m0_49562857的博客
03-09 8521
docker login 登录harbor报错:Error response from daemon: Get "http://harbor.test.cn/v2/": unauthorized: authentication required
Docker仓库上传镜像出现 unauthorized to access repository解决方法
11-08
Docker仓库上传镜像出现 unauthorized to access repository解决方法
Docker获取镜像报错 docker Error response from daemon unauthorized incorrect username or password
最新发布
2401_84545291的博客
05-16 435
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Docker推送镜像Harbor报错:unauthorized: unauthorized to access repository: test02/hello-xxxxxxxxxxxxxxxxxx
分享式获得也是一种学习的态度
02-03 1046
每个人都有惰性,但不断学习是好好生活的根本,共勉!
K8s You must be logged in to the server (Unauthorized)|certificate has expired or is not yet valid.
weixin_42495873的博客
06-07 2892
K8S证书过期相关问题解决1、各个证书过期时间2、获取集群的配置文件3、备份4、更新证书5、更新配置文件6、在三台Master上执行重启kube-apiserver,kube-controller,kube-scheduler,etcd这4个容器,使其生效7、更换kubectl 操作的配置信息8、查看各个证书过期时间 在使用Kubernetes 集群时有个大坑,一些证书的有效期是一年,官方考虑到安全性希望开发者在一年内,能及时更新Kubernetes的版本。更新之后有效期会再次刷新。 Kubernetes
Rainbond内置的镜像仓库-部署时拉取镜像权限
周梦顺
09-12 676
ErrImagePull
K8S--解决访问Harbor私有仓库无权限的问题(401 Unauthorized
IT利刃出鞘的博客
01-18 2486
本文解决K8S访问Harbor私有仓库无权限的问题:401 Unauthorized
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问。
k8s集群部署Harbor镜像仓库
01-02
这使得你能够更好地管理镜像的访问权限,确保只有授权的用户能够拉取和推送镜像,有助于提高集群的安全性。 漏洞扫描: Harbor集成了漏洞扫描工具,可以帮助你在镜像构建和存储的过程中自动检测容器镜像中的漏洞。...
Rancher下Docker拉取镜像出现unauthorized to access repository问题.docx
01-14
Rancher下Docker拉取镜像出现unauthorized to access repository问题解决方案 Rancher是一个流行的容器编排工具,它可以帮助用户快速部署和管理容器化应用程序。然而,在使用Rancher时,可能会遇到拉取镜像出现...
k8s集群之harbor仓库应用资源
10-27
k8s集群之harbor仓库应用资源
docker-harbor镜像部署到k8s集群-node部署时需harbor认证
06-29
"docker-harbor镜像部署到k8s集群-node部署时需harbor认证" docker-harbor镜像部署到k8s集群-node部署时需harbor认证,这是一种常见的云原生部署场景。下面我们将详细地解释该过程中涉及到的知识点。 1. 部署YAML...
K8S部署应用时从harbor拉取镜像失败
qq_42478683的博客
10-30 1197
K8S部署服务拉取镜像失败:ImagePullBackOf K8S拉取镜像提示:Failed to pull image "IP:PORT/zcy-project/nginx:1.16.1": rpc error: code = Unknown desc = Error response from daemon: unauthorized: unauthorized to access repository: zcy-project/nginx, action: pull: unauthorize
Gitlab无法拉取harbor镜像Error response from daemon: unauthorized: unauthorized to access repository
sgh2155的博客
06-25 1281
DOCKER_AUTH_CONFIG这个参数名主要是看你们项目里面具体是啥,不一定叫这个名)3. 在gitlab的项目下的settings—>ci/cd—>Variables下的。DOCKER_AUTH_CONFIG的参数改成你刚才复制的配置文件信息即可。主要是gitlab没有访问harbor权限。将auth配置文件信息复制出来。
docker push 报错:unauthorized: unauthorized to access repository: library/xx处理方法
qq_759035366的博客
07-31 5234
【代码】docker push 报错:unauthorized: unauthorized to access repository: library/xx处理方法
docker上传或拉取镜像时报错:unauthorized: unauthorized to access repository
weixin_45984408的博客
01-08 2794
ERROR: unauthorized: unauthorized to access repository
kubernetesharbor拉取镜像没有权限解决方法
weixin_33795743的博客
04-28 812
博主亲测:本文只针对harbor上访问级别为私有的项目,如果harbor项目的访问级别为公开,则docker login后就可以拉取镜像原文出处:https://blog.csdn.net/xukangkang1hao/article/details/808398341,先用docker登录harbor,登录的用户名密码为在harbor上注册的用户名密码,并且登录用户需要...
Harbor私有库拉取镜像报错:
孤独,平庸,落魄
04-15 3527
从私有库拉取镜像报错: 报错2: Error response from daemon: Get “https://192.168.30.3/v2/”: dial tcp 192.168.30.3:443: connect: connection refused 原因是默认的是用http拉取,这里拉取用的是https。 解决办法: vim /etc/docker/daemon.json "insecure-registries": ["IP"] 报错2: Error response from daem
Failed to pull image “192.168.35.14/test/flannel-cni-plugin:v1.2.0“: Error response from daemon: una
no_hax_plz的博客
01-10 486
K8s 集群一般会管理多个节点,每个节点都有自己的 docker 环境。如果让用户分别到集群节点上登录镜像仓库,这显然是很不方便的。
k8s以http方式 harbor拉取镜像
11-02
KubernetesK8s)是一个开源的容器编排系统,用于自动化容器的部署、扩展和管理。Harbor是一个可信赖的企业级容器镜像仓库,它允许用户管理和存储Docker镜像Kubernetes可以使用HTTP方式来拉取Harbor上的镜像。在K8s集群中配置Kubernetes的Pod,可以通过定义容器的镜像名称来指定从Harbor拉取镜像。 首先,需要在K8s集群中配置一个Secret对象,用于存储Harbor镜像仓库的凭证信息,包括用户名和密码。然后,在定义Pod的时候,可以通过添加imagePullSecrets字段,将Secret对象引用到Pod中。 当Kubernetes调度并创建Pod时,它会根据Pod中的镜像名称和引用的Secret对象,使用HTTP方式向Harbor发送拉取镜像的请求。Harbor会验证Pod中的凭证信息,并向Kubernetes返回镜像的相关信息。 通过HTTP方式拉取镜像的好处是,可以通过配置HttpHeader来进行更灵活的镜像拉取操作,例如允许拉取指定版本的镜像或者拉取特定标签的镜像。此外,使用HTTP方式还可以与Harbor的访问控制策略进行集成,以确保只有授权的用户能够拉取镜像。 总之,Kubernetes可以使用HTTP方式从Harbor拉取镜像。通过配置Secret对象进行凭证信息的引用,Kubernetes可以根据Pod中定义的镜像名称和引用的Secret对象,通过HTTP方式与Harbor进行通信并获取所需的镜像。这样的集成使得KubernetesHarbor更加紧密地结合在一起,提供了更安全、可靠的容器镜像管理和部署方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值