kubernetes私有仓库+k8s拉取+secret认证

已于 2022-03-31 22:50:32 修改
阅读量1k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes
于 2020-08-18 09:52:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiphop321/article/details/88063756
版权
  • 首先声明,网上一些文档仅供学习使用,或多或少简化了安全证书相关的步骤。但是!!实际工作中,安全证书非常有必要。所以这里强调:准备工作一定要有域名,有安全证书,有docker用户密码!

目录

一,观察理解run镜像仓库的命令参数

再次强调证书,auth认证文件要准备好
不难看出,下列容器创建命令中定义了
1、证书放在/k8s/images_hub_cert下,映射到容器内/cert
2、auth认证文件放在/k8s/images_hub_auth下,映射到容器内/auth
3、私有镜像文件存放在/k8s/images_hub_data下,映射到容器内/registry
4、单独注意一下 -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \这条指令
告诉容器,认证文件在容器内部的/auth/htpasswd找。这时你可能会想,这个文件我去哪里给他?

答案是
我们要事先自己创建好,放到宿主机的/k8s/images_hub_auth下(因为已经映射出来了)
所以要先建立目录

mkdir -p /k8s/{images_hub_certs,images_hub_auth,images_hub_data}

然后设置仓库的账号密码

docker run --entrypoint htpasswd registry:2.7.0 -Bbn USERNAME PASSWORD > /k8s/images_hub_auth/htpasswd

现在可以安心的起容器了

docker run -itd -p 5000:5000 --restart=always --name alfred_uat_registry \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v /k8s/images_hub_certs:/certs \
-v /k8s/images_hub_auth:/auth \
-v /k8s/images_hub_data:/var/lib/registry \
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/alfred-uat-images.pakpobox.com.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/alfred-uat-images.pakpobox.com.key \
--restart=always \
registry:latest

1.1 创建好registry以后

1.1.1 push镜像,报错:没有授权

在这里插入图片描述

1.1.2 push镜像,报错:不被信任的证书

如果用的自签证书,他会先报一次x509:不被信任的证书
大概长得这样的
在这里插入图片描述
要解决这个问题,我们需要新建个目录

mkdir -p /etc/docker/certs.d/你的域名:5000

然后将自签证书的crt文件拷贝到上面的路径下,并且重命名为ca.crt
你说你没有自签证书?不知道怎么创建自签证书??
来!开袋即食版自签证书:

openssl req -newkey rsa:4096 -nodes -sha256 -keyout DOMAIN-NAME.key -x509 -days 3650 -out DOMAIN-NAME.crt

再然后,重启docker服务

systemctl restart docker

1.2 如何在集群其他的机器(不是仓库所在的宿主机)上传镜像

你需要把上面生成的证书,拷贝到本地的/etc/docker/certs.d/你的域名:5000 目录下

现在
回来老老实实登录

docker login -u USERNAME -p PASSWD 域名:端口(5000)

在这里插入图片描述
再次推送,成功!
在这里插入图片描述

1.3 如何让k8s能够顺利的从私有仓库拉取镜像

其实做到这里你会发现,执行过docker login 的宿主机,之后无论推拉镜像都是不需要再次验证的。
换而言之,如果你机器少,可以采用这种不优雅的,low的方法----慢慢的一个个手动登录。
但是
我们要目光长远,要操作优雅
创建k8s的保密字典来自动完成验证,这个资源叫做secret。

前面说到,只要我们在任意node上执行 docker login 验证后面就不需要再次验证了。这是为什么呢?
因为

我们验证的时候会生成一个文件 /root/.docker/config.json ,

所以
每次我们推拉镜像的时候,docker.service会帮我自动验证。
同理
我们的k8s也可以把这个文件利用起来。

步骤如下

1.3.1 将docker登录仓库的认证信息,用base64加密
cat /root/.docker/config.json|base64 -w 0

命令末尾加上 -w 0 是因为等会我们要用这段base64的时候,所有的换行符、制表符都是无效的。一定一定要去除,这个-w 0可以帮我去掉换行符。(注意!!官方文档提示我们:创建secret可以用yaml也可以用json,但是编码必须是base64!!!)
得到base64编码,输出大概是这样:
在这里插入图片描述

1.3.2 用加密过的信息创建secret,等待被调取、使用。
apiVersion: v1
kind: Secret
metadata:
  name: registrykey-pakpobox
  namespace: default
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: ewoJImF1dGhzIjogewoJCSJpbWFnZXMucGFrcG9ib3guY29tIjogewoJCQkiYXV0aCI6ICJjR0ZyY0c5aWIzZzZVR0ZyY0c5aWIzZ3lNREU1IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOC4wOS4yIChsaW51eCkiCgl9Cn0=
1.3.3 生成secret
kubectl create -f xx_secret.yaml
1.3.4 开始使用secret

在你的deployment或者pod的yaml文件里,
主要记得两点:
(1)放在pod规格里;
(2)跟containers同级,就是要对齐的意思;
(3)怕时间长了看不懂,强调一下,关键作用的指令是imagePullSecrets
在这里插入图片描述
简单理解:加一个“镜像拉取密码”的选项,并在选项下写好我要用到叫哪个名字的secret。

遇到一次,mysql-pod起不来,重建secret后再重建mysql-pod,问题解决

官方文档中关于secret的创建与消费

创建secret:
3.1把你要的用户名和密码转成base64

echo -n "admin" | base64
YWRtaW4=
echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

3.2然后创建一个secret.yaml文件

apiVersion: v1
kind: Secret
metadata:
	name: mysecret
type: Opaque
data:
	username: YWRtaW4=
	password: MWYyZDFlMmU2N2Rm

3.3在创建deployment的yaml文件中引用:我们暂时只看-env环境变量的方式;截图来自官方文档https://kubernetes.io/zh/docs/concepts/configuration/secret/#%E6%89%8B%E5%8A%A8%E5%88%9B%E5%BB%BA-secret

在这里插入图片描述
3.4理解
假设我们用上图的yaml创建了一个pod,那么在这个pod的容器中,我们执行

echo $SECRET_USERNAME
echo $SECRET_PASSWORD

得到的输出会是这样
-连起来看

在这里插入图片描述

举个例子:
如果你在上图中第三步的env下-name 写了MYSQL_ROOT_PASSWORD,那么在你创建出来的pod里的容器中,MYSQL_ROOT_PASSWORD就是已经被赋值了,值是多少?请再看一遍图就知道了。

无证书启动registry,用于学习测试

docker run -itd -p 5000:5000 --restart=always --name registry \
-e "REGISTRY_AUTH=htpasswd" \
-e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
-e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
-v /root/docker/registry/certs:/certs \
-v /root/docker/registry/auth:/auth \
-v /root/docker/registry/data:/var/lib/registry \
--restart=always \
registry:latest

如上启动registry后,使用docker login 会报错
在这里插入图片描述
因为此时registry服务端是http,而客户端是https

解决办法:在/etc/docker/daemon.json 加入

{ "insecure-registries":["192.168.1.120:5000"] }
hiphop321
关注
专栏目录
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI_CD解决方案
北京少女的梦
07-04 2625
DevOps实战:使用GitLab+Jenkins+Kubernetes(k8s)建立CI/CD解决方案
Kubernetes(六) - Secret和私有仓库认证
文振熙 -- 云计算技术博客站
05-19 4648
Kubernetes(六) - Secret和私有仓库认证 对一个公司来说安全也是最为重要的因为可能一旦出现安全问题可能这个公司就完了,所以对密码管理是一个长久不变的话题,Kubernetes对密码管理提供了Secret组件进行管理,最终映射成环境变量,文件等方式提供使用,统一进行了管理更换方便,并且开发人员并不需要关心密码降低了密码的受众范围从而保障了安全. Kubernetes官方文档...
k8s创建保密字典
qq_21514303的博客
11-05 3023
  在k8s拉取私有镜像需要保密字典。保密字典创建如下。   kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-...
【云原生】Kubernetes----k8s免密使用harbor私有仓库
最新发布
hy199707的博客
07-29 835
Kubernetesk8s)环境中,使用私有镜像仓库如Harbor来存储和管理容器镜像是一种常见做法。Harbor是由VMware公司开源的企业级Docker Registry管理项目,支持丰富的权限控制和完善的架构设计,尤其适合大规模Docker集群部署。然而,每次Pod拉取私有镜像时都需要进行身份验证,这可能会增加系统的复杂性和运维成本。本文将介绍如何在Kubernetes中配置免密使用Harbor私有仓库的方法。
k8s私有仓库认证
听海归雪的博客
08-24 391
我开始以为只要docker配好私有仓库认证k8s就可以从私有仓库上直接拉取镜像,其实不是。要想k8s能从私有仓库拉取镜像,必需在k8s创建一个secretkey,然后把相关仓库认证信息存到这个key上,k8s才能正常拉取镜像。 一、环境 1、操作系统:CentOS Linux 7 (Core) 2、docker:docker://20.10.7 3、k8s:v1.20.4 二、认证方法 1、需要先建好私有仓库并且已配好ssl认证,可用,具体我就不展开细说了,大家可以百度或者看我别的文章也.
k8s通过yaml 文件创建保密字典
biqixie0856的博客
06-29 1436
cat k8s-test-secret.yamlapiVersion: v1kind: Secretmetadata: name: k8s-test-secret namespace: k8s-testtype: OpaquestringData: redis_host: "127.0.0.1" redis_password: "123456" redis_port...
k8s学习--k8s私有仓库链接使用
Rio520的博客
04-18 2201
仓库地址为https://at.harbor.com 该仓库是我在本地搭建的一个私有仓库,配置了域名,配置了证书 登录本地仓库 [root@k8s-master01 ~]# docker login https://at.harbor.com Username: admin Password: WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential help
k8s使用secret从私有仓库拉取镜像
y_hai_yang的博客
12-02 1621
使用docker从私有仓库拉取经销,可以使用docker login [私有仓库地址] 然后输入用户名和密码登录后就可以拉取镜像了,但如果使用k8s时,node 节点过多,难道需要跑到每个node节点去执行一次登录么?当然不是.这里就牵扯到k8s中的一个secret的东西. Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes...
k8s - docker/containerd拉取私有仓库镜像
RayPick的博客
09-28 4943
我这边的需求是第二种才满足,但是看官方文档上的,是对docker运行时的应用,这就导致我containerd运行时的时候,不知道该怎么去配置了。所以咱们要做的就是把harbor的用户名和密码先Base64,在放进auth,再对整体进行Base64处理,那么问题就解决了。公司内部搭建Harbor作为镜像仓库k8s底层为containerd运行时,此时需要拉取。同时在该用户下创建一个私有项目,名字随便就叫ttt3吧,然后推一个镜像上去,此时需要我们去对应的namespace下创建secret,
k8s 拉取镜像失败_k8s 无法拉取阿里云仓库镜像
weixin_39599830的博客
12-31 1898
本文介绍如何免密拉取阿里云容器镜像仓库中的私有镜像。 前提条件您已经成功创建一个Kubernetes 集群,参见创建 Kubernetes 集群。 背景信息免密拉取功能:仅支持拉取当前用户阿里云容器镜像仓库中的私有镜像,无法拉取其余用户的私有镜像。支持跨地域拉取阿里云容器镜像仓库中的私有镜像。支持多命名空间免密拉取。支持配置免密拉取阿里云容器镜像服务企业版中的私有镜像。支持的集群:专有版Kuber...
kubernetes】学习笔记 (六) configmap 与 secret
xiaojunzhu123的博客
05-03 413
一,configmao 简介 ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象 使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 ConfigMap 的主要作用就是为了让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性 二,使用 ConfigMap 的限制条件 ConfigMap 需要在 Pod 启动前创建出来。 只有当 ConfigMap 和 Pod 处于同一 NameSpace(命名空间)时,Pod 才可以引用它
Kubernetes】第十四篇 - docker 私有镜像仓库 harbor 安装和使用
BraveWangDev
03-01 582
上一篇,介绍了 k8s 服务探针的实现;本篇,介绍 docker 私有镜像仓库的安装和使用;镜像库是一个用于集中存放docker 镜像文件的文件服务;镜像库在 CI/CD 中,又称为制品库;构建后的产物称为制品,制品需要放入制品库中进行管理;常用的 docker 镜像平台有 Nexus、Jfrog 和 Harbor 等对象存储平台;
云原生|kubernetes|kubernetes集群使用私有镜像仓库拉取镜像(harbor或者官方的registry私有镜像仓库
zsk_john的技术分享专用博客
12-01 1812
登录私有镜像仓库,生成登录记录文件(注意,这个文件的生成不管是https的私有仓库还是http的仓库,只需要登录成功即可,有几个私有仓库,它都会记录进来的): 登录记录文件是kubernetes使用私有镜像仓库的关键文件,一会会使用此文件生成一个secret,在使用私有仓库内的镜像时,将该secret挂载到部署文件内。
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1180
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s教程01(k8s环境配置及私有仓库搭建)
DDJ_TEST的博客
06-02 6100
kubernetes环境搭建
k8s使用私有仓库
wangmiaoyan的博客
11-13 2932
创建secret,然后写yaml的时候配置下载镜像时使用这个secret即可 1、创建secret 当pod从私用仓库拉取镜像时,k8s集群使用类型为docker-registry的Secret来提供身份认证 //创建secret ,并生成yaml文件 xxxx替换为你的用户名密码 [root@crl-master pos]# kubectl create secret docker-regist...
Kubernetes 使用私有镜像仓库 Nexus
shida's blog
05-04 1413
一、前情提要       关于 Nexus 的配置,请参照前文:https://blog.csdn.net/shida_csdn/article/details/80006645二、k8s 集成 Nexus 仓库配置步骤2.1  全部节点,需要预先导入证书,该证书是 Nexus 使用的自签名证书,具体参考【前情提要】2.2  k8s 创建 Secret      由于私有仓库需要登录后才能拉取镜像...
K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)
刘元林的博客
11-19 6186
Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书 docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -v /opt/registry/images:/var/lib/registry \
Kubernetes+Docker+Jenkins实现DevOps的实战经验
"基于kubernetes+docker+jenkins的DevOps实践" 在现代软件开发流程中,DevOps已经成为提升效率和质量的关键因素。本实践主要围绕如何利用kubernetes、docker和jenkins构建一套完整的持续集成与交付(CI/CD)环境。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值