k8s集群中允许dokcer镜像仓库

最新推荐文章于 2024-07-30 03:30:27 发布
最新推荐文章于 2024-07-30 03:30:27 发布
阅读量567 收藏 14
点赞数 7
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edcbc/article/details/139265189
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

docker registry 相对于 harbor 来说,安全性会更低有点,不过对于一些内网场景(不需要和公网有互通)来说,其实 docker registry 更轻量化一些
本文仅作学习参考,至于实际的选择,还是以各自实际需求和场景为准。

提示:以下是本篇文章正文内容,下面案例可供参考

一、编写Dockerfile

为了让 docker registry 支持认证登录,需要安装 htpasswd 命令
为了方便后期维护 docker registry,增加镜像删除的功能
config.yml

version: 0.1
log:
  fields:
    service: registry
storage:
  cache:
    blobdescriptor: inmemory
  filesystem:
    rootdirectory: /var/lib/registry
  # 增加这里的 delete 和 enabled 
  ## 启用 registry 镜像删除的功能
  delete:
    enabled: true
http:
  addr: :5000
  headers:
    X-Content-Type-Options: [nosniff]
health:
  storagedriver:
    enabled: true
    interval: 10s
    threshold: 3

Dockerfile

FROM registry:2
RUN rm -f /etc/docker/registry/config.yml && \
    apk add apache2-utils && \
    apk cache clean
ADD ./config.yml /etc/docker/registry/

构建镜像(需要构建成什么样的镜像名字,可以自己定义)

docker build -t registry:bc_auth .

二、编写 k8s yaml 文件

以静态 pod 的方式来部署,这里就直接使用 kind: Pod ,而不是其他的控制集
不同 k8s 版本,apiVersion 版本可能会不一样,可以使用 kubectl explain pod.apiVersion 命令查看 pod 这个 kind 的 apiVersion

---
apiVersion: v1
kind: Pod
metadata:
  # pod 名称前缀
  name: docker-registry
  # 指定 namespace
  namespace: kube-system
spec:
  # 使用主机网络模式
  hostNetwork: true
  tolerations:
  - key: node-role.kubernetes.io/master
    effect: NoSchedule
  - key: "CriticalAddonsOnly"
    operator: "Exists"
  - key: "node.alpha.kubernetes.io/notReady"
    operator: "Exists"
  initContainers:
  # 这里注意修改成自己 build 的镜像名称
  - image: registry:bc_auth
    # docker 容器的名字
    name: docker-registry-init
    imagePullPolicy: IfNotPresent
    # 配置用户名和密码
    command:
    - sh
    - "-c"
    - "htpasswd -Bbn admin adminpasswd > /auth/htpasswd"
    volumeMounts:
    - mountPath: /auth
      name: docker-registry-auth
  containers:
  # 这里注意修改成自己 build 的镜像名称
  - image: registry:bc_auth
    # docker 容器的名字
    name: registry
    imagePullPolicy: IfNotPresent
    # 资源限制以自己的实际需求为准
    resources:
      limits:
        cpu: 3000m
        memory: 3000Mi
    env:
    # registry 访问的端口,静态 pod 会暴露出来对应的端口
    - name: REGISTRY_HTTP_ADDR
      value: ":35000"
    # registry 存储路径
    - name: REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY
      value: /var/lib/registry
    # 以 htpasswd 的方式认证
    - name: REGISTRY_AUTH
      value: htpasswd
    # 注册认证
    - name: REGISTRY_AUTH_HTPASSWD_REALM
      value: Registry
    # 认证文件路径
    - name: REGISTRY_AUTH_HTPASSWD_PATH
      value: /auth/htpasswd
    volumeMounts:
    - mountPath: /var/lib/registry
      name: docker-registry-storage
    - mountPath: /auth
      name: docker-registry-auth
  volumes:
  # 将 registry 存储路径持久化到本地,path 指定的路径可以自己修改
  - name: docker-registry-storage
    hostPath:
      path: /data/k8s-data/registry-data
      type: Directory
  # 认证文件的持久化访问为 emptyDir,每次重启都会重新生成
  - name: docker-registry-auth
    emptyDir: {}

kubelet 配置静态 pod 路径

kubeadm 部署的,默认就配置了静态 pod 的存放路径,可以不进行下面的操作
二进制部署的,一般没有配置静态 pod 的存放路径,需要 kubelet 增加 --pod-manifest-path 指定路径(提前创建好路径),然后重启 kubelet

--pod-manifest-path=/etc/kubernetes/manifests

启动静态 pod

创建持久化路径,这里的路径要和 yaml 文件里面的 volumes 下面的 docker-registry-storage 指定的
path 一致

mkdir -p /data/k8s-data/registry-data

将 yaml 文件放到上面 kubelet 配置的静态 pod 路径下,然后等 pod 启动(如果想快点,可以直接重启 kubelet
组件)

查看 pod 是否创建成功

kubectl get pod -n kube-system | grep registry

静态 pod 会以 yaml 文件里面的 name 加上当前节点 ip 作为 pod 的名称

docker-registry-172.72.0.95   1/1     Running   0          33s

docker 配置增加 registry 地址

vim /etc/docker/daemon.json

注意 json 语法格式

如果重启 docker 失败,日志有如下输出,表示 daemon.json 文件的格式有错误,注意最后是否需要加上逗号

unable to configure the Docker daemon with file
/etc/docker/daemon.json: invalid character ‘"’ after object key:value pair

# 增加下面的信息
"insecure-registries": ["ip:端口"]

bash 拿我的举个例子 

{
  "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"],
  "insecure-registries": ["172.72.0.95:35000"],
  "exec-opts": ["native.cgroupdriver=systemd"],
  "data-root": "/approot/data/crt-data",
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "200m",
    "max-file": "5"
  },
  "storage-driver": "overlay2",
  "storage-opts": [
    "overlay2.override_kernel_check=true"
  ]
}

重启dokcer 服务

验证 docker registry 仓库

登录 docker registry 仓库,这里的用户名,密码以及登录的 ip 和端口都需要以自己的为准

docker login -u admin -p adminpasswd 172.72.0.95:35000

登录成功后,就会返回对应的 success 了

WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

修改镜像 tag,然后尝试上传镜像

docker tag registry:2_auth 172.72.0.95:35000/registry:2_auth

推送镜像到 docker registry

docker push 172.72.0.95:35000/registry:bc_auth

返回类似如下的信息,说明推送成功了,可以去其他节点使用 docker login 登录(也需要 docker 配置文件加上 docker
registry 的地址),然后直接 docker pull <仓库地址>:<仓库端口>/registry:2_auth

The push refers to repository [172.72.0.95:35000/registry]
f586723f1e87: Pushed
b14c705d6378: Pushed
6e5160500bc7: Pushed
744dbed40ffa: Pushed
f8dc4f9c98a6: Pushed
4984fbd72df1: Pushed
bb01bd7e32b5: Pushed
2_auth: digest: sha256:3b215dad8c5b7704b0b84a3ee46971314b8db9e65fb82a62204cf8497587377a size: 1781
edcbc
关注
docker registry的搭建并结合k8s使用
宫凯宁的博客
07-26 4234
一、搭建docker registry 1、安装docker 由于使用docker容器安装docker registry: yum install -y yum-utils yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum -y install dock...
k8s集群环境下,docker镜像本地部署流程
最新发布
c1519100335的博客
08-16 493
k8s集群模式下,本地从harbor镜像库下载打包后的镜像,并手动上传到需要部署的服务器上,解压缩后,执行k8s命令进行部署。
k8s 集群运行 docker registry 镜像仓库
以梦为马|越骑越傻
05-31 1587
将 yaml 文件放到上面 kubelet 配置的静态 pod 路径下,然后等 pod 启动(如果想快点,可以直接重启 kubelet 组件)如果重启 docker 失败,日志有如下输出,表示 daemon.json 文件的格式有错误,注意最后是否需要加上逗号。登录 docker registry 仓库,这里的用户名,密码以及登录的 ip 和端口都需要以自己的为准。登录(也需要 docker 配置文件加上 docker registry 的地址),然后直接。登录成功后,就会返回对应的 success 了。
k8s搭建私有docker registry仓库
u012803274的博客
11-30 4721
前言 因为要测试knative,所以需要使用到docker私有仓库,所以需要自建一个docker registry,主要步骤都是遵循docker hub官方文档来的,只不过我这里使用的是k8s而不是docker compose。 存储 由于私有仓库需要用到存储,因此使用local storage的方式存储数据。 定义namespace,如下: apiVersion: v1 kind: Namespace metadata: name: docker-registry 需要自定义storageclass
基于 registry,构建 K8s 的 docker 私有仓库
日常学习与专研的记录
06-22 670
一、host配置 对于k8s的所有节点都需要配置host, 下面的master-ip、work1-ip以及work2-ip要填入自己节点的主机ip vim /etc/hosts >>> master-ip master.com work1-ip work1 work2-ip work2 二、下载registry镜像 下载镜像 docker pull registry:2 运行一个registry容器 docker run -d -v /opt/regist
docker容器化+k8s集群部署教程以及springboot+vue部署示例
04-11
本文介绍VMware虚拟机下centos7操作系统如何安装云原生 Kubernetesk8s集群k8s可视化界面kuboard,以及如何利用docker容器化将springboot+vue项目在k8s集群部署运行。
k8s-for-docker-desktop.zip
10-21
在IT行业Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,而Docker Desktop则是开发者和IT专业人员在本地开发环境运行Docker容器的主要工具。本资源"**k8s-for-docker-desktop.zip**"显然是为了帮助...
安装k8s 1.28 所需的离线镜像
03-19
部署k8s1.28集群所需离线镜像包,已经为大家准备好了,大家有需要可以自行下载,下载后部署的方法,在主页k8s专栏的文章有详细说明,如果大家有疑问可以查看文章,或者私信我,我会尽快回复,谢谢大家 registry....
k8s部署rabbitmq-cluster集群配置文件和docker镜像文件
08-21
k8s部署rabbitmq-cluster集群配置文件和docker镜像文件,配合文章学习用,有需要可以下载,无需修改直接部署即可
K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)
刘元林的博客
11-19 6185
Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书 docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -v /opt/registry/images:/var/lib/registry \
Docker+K8S笔记(二):Linux安装docker-registry
chengxia1263的博客
07-02 300
背景:docker-registry 是自己的镜像库,相当于maven的私服,我们的项目要push到我们的docker私库 一、Docker Registry安装 官方在Docker Hub上提供了Docker Registry的镜像。我们可以直接使用该镜像构建一个Registry容器来...
k8s —— Kubernetes私服Registry&Harbor(本地镜像仓库
weixin_55985097的博客
07-20 5448
kubernetes私服 一:Registry 生产环境下,势必不能够每个机器都导入一遍从海外下载回来的镜像,这方法都不是可以长期使用的。 可以通过搭建本地的私有镜像仓库(docker registry,这个镜像可以在国内直接下载)来解决这个问题。 1.部署docker registry 1.1 拉取registry镜像(master节点部署) [root@master ~]# docker pull docker.io/registry 1.2 启动registry [root@master ~]# do
k8s】--insecure-registry详解 ( 访问仓库、https、http)
m0_45406092的博客
12-15 8077
insecure-registry是Docker用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程节省时间和精力。但是在生产环境,为了保证系统的安全性,我们需要关闭这个参数。如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。在使用–insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。
新版K8s:v1.28拉取Harbor仓库镜像以及本地镜像(docker弃用改用containerd,纯纯踩坑)
Henry的博客
01-17 3561
使用Kuboard作为k8s集群的管理平台,Harbor作为镜像仓库,拉取Harbor镜像仓库镜像运行。从K8s1.24版本之后,k8s就逐渐弃用了docker,采用containerd来管理
阿里云k8s私有仓库registry操作管理
weixin_34168880的博客
12-04 1623
1. 登录阿里云Docker Registry $ sudo docker login --username=*****技 registry.cn-hangzhou.aliyuncs.com 用于登录的用户名为阿里云账号全名,密码为开通服务时设置的密码。 您可以在产品控制台首页修改登录密码。 2. 从Registry拉取镜像 $ sudo docker pull registry.cn...
通过docker为容器引擎部署k8s集群环境(含harbor镜像仓库)
树下一少年的博客
09-01 5956
k8s环境部署配置 链接:https://pan.baidu.com/s/1rRIqV-GO6ETe4N9glNs2cg。链接:https://pan.baidu.com/s/1TRUyPxbBZRcyyyqojquhBw。执行完脚本无误后执行以下命令。
K8s集群使用容器镜像仓库Harbor
weixin_54720351的博客
03-29 2831
如果每次编写yaml文件都需要添加imagePullSecrets这2行配置,有点麻烦, 有没有在不需要添加这2行配置就可以实现下载harbor仓库里面的镜像呢?答案是有的,可以把secret配置到serviceAccount即可。补充: serviceAccount可以实现不同namespace下载镜像使用访问harbor账号的不同。docker-compose down停止harbor,修改后再启动。使用阿里云开源软件镜像站。
k8s配置docker registory仓库拉去镜像并运行
weixin_35489715的博客
07-30 48
docker,镜像,pod相关学习资料:https://edu.51cto.com/video/442.htmlhttps://edu.51cto.com/video/141.htmlhttps://edu.51cto.com/video/4065.htmlKubernetes 与 Docker Registry:配...
K8s集群部署Docker-Harbor镜像:Node认证详解
"这篇文档主要介绍了如何在Kubernetes (k8s) 集群部署基于Docker-Harbor的镜像,并在Node节点上进行必要的认证过程。" 在Kubernetes环境部署应用通常涉及创建Deployment、Service以及Ingress资源。在本案例,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值