K8S免密拉取私有仓库容器镜像

已于 2022-08-24 15:02:19 修改
阅读量2.5k 收藏 7
点赞数 2
分类专栏: k8s 文章标签: docker 容器 运维
于 2022-08-24 14:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manwufeilong/article/details/126504412
版权

目录

1. 从私有仓库拉取镜像的方式

2. 配置方式

2.1 配置节点私有仓库认证

2.2 在Pod中设置ImagePullSecrets

2.2.1 命令行创建secerets

2.2.2 通过config.json文件创建secrets

3. 部署配置免密拉取

4.总结

1. 从私有仓库拉取镜像的方式

K8S从私有仓库拉取镜像的几种方式如下:

  • 所有节点配置私有仓库身份认证
  • 在Pod中设置ImagePullSecrets
  • 云厂商的扩展或者本地扩展名密拉取(如阿里的acr-credential-helper,腾讯的TCR插件),都可以实现内网免密拉取内部私有仓库镜像
  • 最后一种比较少见,预拉取镜像替代私有仓库认证

以上几种方式任选一种即可,具体根据实际环境情况进行配置,这里主要对ImagePullSecrets这种方式进行讨论

2. 配置方式

以下配置方式任选一种即可

2.1 配置节点私有仓库认证

在各个节点上登录镜像仓库

docker login harbor_url
# 根据提示输入用户和密码

登录成功后会生成config.json文件,用于更新保存镜像仓库的授权凭证

cat ~/.docker/config.json
# 输出结果包含类似于以下
{
    "auths": {
        "https://my-registry.cn/images": {
            "auth": "**********"
        }
    }
}
# 单个config.json中可存在多个镜像仓库授权凭证

2.2 在Pod中设置ImagePullSecrets

官方建议运行使用私有仓库中镜像的容器时,建议使用ImagePullSecrets这种方法。

注意:secrets是按namespace存放的,pod只能引用位于自身所在namespace中的 Secret,因此每个pod所在的namespace下都必须存在对应的仓库secrets凭证。

secrets有两种创建方法,分别是

  • 命令行创建secrets
  • 使用config.json文件创建secrets

命令行创建的仅适用于单个私有容器仓库的 Secret,config.json文件创建secrets适用于有多个私有容器仓库的情况。

2.2.1 命令行创建secerets

将以下变量名改成对应的帐号,密码,仓库地址即可

# 创建命令
kubectl create secret docker-registry regcred \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>
# 查看
kubectl get secret secrets_name

2.2.2 通过config.json文件创建secrets

运行了 docker login 命令,可以复制该镜像仓库的凭证(config.json)文件,用以下命令创建secret凭证

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

3. 部署配置免密拉取

通过docker login在节点登录后,则不需要做任何操作就能拉取私有仓库镜像,但必须保证所有节点已完成了docker login这个操作。

通过secrets的方式,需要在 deployment/statefulset或Pod 定义中增加 imagePullSecrets 来引用该 Secret,即可实现免密位取对应的私有仓库镜像,要注意imagePullSecrets 只能引用同一namespace中的 Secret。

# 如例:pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

4.总结

K8S从私有仓库拉取镜像有多种方式,其中用云托管的K8S,可以使用云厂商的扩展实现免密拉取,如果是自建K8S集群,则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret,即可以通过命令行直接创建secret的方式,也可以通过文件(config.json)创建的方式,两者实现的功能一样,区别在于命令行创建只支持单个私有仓库使用,而 .docker/config.json文件创建的方式支持多个私有仓库,如有多个私有仓库,建议文件创建的方式使用。

觉得好用点个收藏吧

lv2
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes-基于容器云构建devops平台
01-27
基于此devops解决方案的整体工作过程如下所示:1)开发人员基于eclipse集成开发环境镜像代码开发的,将代码到gitlab中进行托管;2)jenkins从gitlab拉取代码;3)jenkins调用Maven对代码进行打包构建;4)jenkins调用docker构建镜像;5)jenkins将构建好的镜像上传至基于Nexus的私有镜像仓库;6)jenkins拉取镜像,并部署镜像至Rancher中。 此部分描述需要为devops部署的组件,根据整体方案,devops需要使用gitlab、je
k8s集群部署Harbor镜像仓库
01-02
本地镜像存储: Harbor提供了一个本地的、私有镜像存储库,允许你在本地集群内管理和存储容器镜像。这减少了对公共Docker Hub等外部仓库的依赖,提高了镜像的安全性和可控性。 安全性管理: Harbor支持对镜像进行RBAC(Role-Based Access Control)和LDAP等认证授权机制。这使得你能够更好地管理镜像的访问权限,确保只有授权的用户能够拉取和推送镜像,有助于提高集群的安全性。 漏洞扫描: Harbor集成了漏洞扫描工具,可以帮助你在镜像构建和存储的过程中自动检测容器镜像中的漏洞。这有助于在运行容器之前及时发现和修复潜在的安全问题。 镜像复制和同步: Harbor支持镜像的复制和同步,可以在不同的Harbor实例之间同步镜像。这为多集群或多地理位置的部署提供了灵活性,同时也有助于减轻网络负担。 持续集成和持续交付(CI/CD): 部署Harbor可以与CI/CD工具集成,使得容器镜像的构建、存储和部署流程更加流畅。集成CI/CD可以帮助加速应用程序的开发和发布过程。 版本控制和回滚: Harbor支持版本控制,你可以追踪每个镜像的历史变更,这在
K8S镜像导出以及本地镜像导入
最新发布
sorce201的博客
04-03 387
1.先查看k8s中本地有哪些镜像2.拉取镜像,导入为tar包(本地镜像和远程仓库镜像都可)
k8s拉取镜像规则_Kubernetes Pod 镜像拉取策略
weixin_39698217的博客
12-22 2431
Kubernetes Pod 镜像拉取策略官方文档:https://kubernetes.io/docs/concepts/containers/images/• IfNotPresent:默认值,镜像在宿主机上不存在时才拉取• Always:每次创建 Pod 都会重新拉取一次镜像• Never: Pod 永远不会主动拉取这个镜像# 查看已创建deployment的拉取策略kubectl get ...
docker搭建本地免密仓库私有仓库registry加密访问控制(身份验证)
qq_41830712的博客
05-30 2118
前言: 本篇博客是在做了阿里云镜像仓库和加速器的环境 什么是仓库 Docker 仓库是用来包含镜像的位置,Docker提供一个注册服 务器(Register)来保存多个仓库,每个仓库又可以包含多个 具备不同tag的镜像Docker运行中使用的默认仓库Docker Hub 公共仓库。 首先在https://cloud.docker.com/网站注册一个账号 docker hub为...
Harbor仓库1.8.0安装与使用
weixin_43876317的博客
04-02 573
Harbor仓库1.8.0安装与使用 1.概述 Harbor和Registry都是Docker镜像仓库,但是Harbor作为更多企业的选择,是因为相比较于Regisrty来说,它具有很多的优势。 1.提供分层传输机制 Docker镜像是是分层的,而如果每次传输都使用全量文件(所以用FTP的方式并不适合),显然不经济。必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。 2.提供WE...
k8s - docker/containerd拉取私有仓库镜像
RayPick的博客
09-28 4569
我这边的需求是第二种才满足,但是看官方文档上的,是对docker运行时的应用,这就导致我containerd运行时的时候,不知道该怎么去配置了。所以咱们要做的就是把harbor的用户名和密码先Base64,在放进auth,再对整体进行Base64处理,那么问题就解决了。公司内部搭建Harbor作为镜像仓库k8s底层为containerd运行时,此时需要拉取。同时在该用户下创建一个私有项目,名字随便就叫ttt3吧,然后推一个镜像上去,此时需要我们去对应的namespace下创建secret,
K8S如何以http方式拉取私有镜像仓库Harbor部署SpringBoot服务
天然玩家的博客
05-17 2691
核心步骤: (1)强行使用http拉取镜像。进入K8S内部,配置Docker --insecure-registry; (2)K8S添加Secret:拉取镜像时的认证信息; (3)Deployment添加imagePullSecrets进行认证; (4)Service是使用NodePort方式,测试服务需要在K8S的机器上进行。......
kubernetes使用用户名和密码拉取docker镜像
fuck487的博客
10-24 4117
参考:https://blog.51cto.com/lvnian/2314456?source=dra 方式一 # 本地docker login后,会在/root/.docker/config.json生成文件,里面包含harbor的登录信息 # 使用该登录信息创建Secret # base64 -w 0 /root/.docker/config.json # 生成一串密文 apiVersi...
K8s如何从私有Harbor中拉取镜像并完成部署
哈利路亚的收藏夹
07-21 3536
k8s进行扫盲,然后提供了前后台部署的yaml文件模板
docker容器配置并配置免密登录
吃饭的博客
03-15 5630
docker容器配置并配置免密登录 以腾讯云为例 开放容器 选择安全组,修改规则,添加入站规则,本文选择开放25000端口 docker load -i docker_lesson_1_0.tar 3. docker run -p 25000:22 --name csapp -itd docker_lesson:1.0 创建并运行docker_lesson:1.0镜像,25000为刚刚放开的端口,csapp为容器docker attach csapp 进入创建的容器
docker 查询或获取私有仓库(registry)中的镜像的方法
09-29
主要介绍了docker 查询或获取私有仓库(registry)中的镜像的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
K8s-1.22.0镜像包一键拉取
03-12
k8s.gcr.io/coredns/coredns v1.8.4 kubernetesui/metrics-scraper v1.0.7 k8s.gcr.io/etcd 3.5.0-0 eipwork/kuboard-agent v3 k8s.gcr.io/kube-scheduler v1.22.0 k8s.gcr.io/kube-proxy v1.22.0 k8s.gcr.io/kube-...
容器集群管理系统K8S从入门到精通视频教程
11-25
视频详细讲解,需要的小伙伴自行网盘下载,链接见...Service24-Pod详解-结构和定义25-Pod详解-基本配置26-Pod详解-镜像拉取策略27-Pod详解-启动命令28-Pod详解-环境变量开始学习29-Pod详解-端口设置30-Pod详解-资源配额
Docker buildx构建多平台镜像并推送到私有仓库的方法
01-09
引子 最近发现有ARM版Docker,hub.docker.com上也有ARM版本的镜像,但是ARM版本的Docker镜像构建是个问题。嵌入式程序可以在PC机上进行交叉编译,不知道Docker是否有交叉构建的...使用Docker buildx构建多个平台镜像
详解docker实战之搭建私有镜像仓库-kurbernetes
02-25
当我们使用k8s来编排和调度容器时,操作的基本单位是镜像,所以需要从仓库去拉取镜像到当前的工作节点。本来使用公共的dockerhub完全可以满足我们的需求,也非常方便,但是上传的镜像任何人都可以访问,其次docker...
Docker Harbor私有仓库部署
小柏ぁ的博客
02-09 885
目录 Harbor概述 Harbor的功能 harbor核心组件 harbor和registry区别 Harbor私有仓库的部署 Harbor.cfg 配置文件中参数详解 通过本机IP登录harbor 总结 Harbor概述 Harbor 是一个开源注册表,它使用策略和基于角色的访问控制来保护工件,确保图像被扫描并且没有漏洞,并将图像标记为可信...
阿里云Kubernetes容器服务支持免密拉取私有镜像仓库
weixin_34400525的博客
09-17 1234
名字解释: ACS: 阿里云容器服务,https://cs.console.aliyun.com ACR: 阿里云容器镜像服务,https://cr.console.aliyun.com/ 相信不少用户因为在使用容器服务时需要配置私有镜像的ImagePullSecrets而感到倍感繁琐,今天和大家分享的是阿里云容器服务已经支持免密拉取ACR私有镜像,...
harbor安装与使用
CodingSoldier的博客
12-26 1401
安装harbor-1.6.0版本,github地址:https://github.com/goharbor/harbor/blob/release-1.6.0/docs/installation_guide.md 服务器硬件要求: CPU > 4个 内存 > 4G 硬盘 > 40G 软件环境要求: 官方给出的安装脚本使用docker-compose安装harbor 1、安装docker。按此教程安装https://blog.csdn.net/u010606397/artic.
k8s 拉取镜像失败_kubernetes镜像拉取失败解决方法
05-13
Kubernetes 镜像拉取失败可能有多种原因,下面列出一些可能的解决方法: 1. 检查镜像名称和版本是否正确。确保使用正确的镜像名称和版本号。如果是私有镜像,还需要确保访问权限正确。 2. 检查网络连接。确保 Kubernetes 集群节点可以访问镜像仓库,并且网络连接正常。可以通过在节点上使用 curl 命令测试。 3. 检查镜像仓库配置。确保 Kubernetes 节点上的 Docker 配置正确,可以访问镜像仓库。可以通过执行 docker login 命令测试。 4. 检查 Docker 镜像存储空间。确保节点上的 Docker 存储空间足够,可以存储需要拉取的镜像。 5. 检查 Kubernetes Pod 配置。确保 Kubernetes Pod 配置正确,包括正确的镜像名称和版本号,以及正确的镜像仓库地址和访问权限。 如果以上方法仍然无法解决问题,可以查看 Kubernetes 节点的日志,找到具体的错误信息,进一步排查问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值