K8S免密拉取私有仓库容器镜像

已于 2022-08-24 15:02:19 修改
阅读量2.7k 收藏 8
点赞数 2
分类专栏: k8s 文章标签: docker 容器 运维
于 2022-08-24 14:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manwufeilong/article/details/126504412
版权

目录

1. 从私有仓库拉取镜像的方式

2. 配置方式

2.1 配置节点私有仓库认证

2.2 在Pod中设置ImagePullSecrets

2.2.1 命令行创建secerets

2.2.2 通过config.json文件创建secrets

3. 部署配置免密拉取

4.总结

1. 从私有仓库拉取镜像的方式

K8S从私有仓库拉取镜像的几种方式如下:

  • 所有节点配置私有仓库身份认证
  • 在Pod中设置ImagePullSecrets
  • 云厂商的扩展或者本地扩展名密拉取(如阿里的acr-credential-helper,腾讯的TCR插件),都可以实现内网免密拉取内部私有仓库镜像
  • 最后一种比较少见,预拉取镜像替代私有仓库认证

以上几种方式任选一种即可,具体根据实际环境情况进行配置,这里主要对ImagePullSecrets这种方式进行讨论

2. 配置方式

以下配置方式任选一种即可

2.1 配置节点私有仓库认证

在各个节点上登录镜像仓库

docker login harbor_url
# 根据提示输入用户和密码

登录成功后会生成config.json文件,用于更新保存镜像仓库的授权凭证

cat ~/.docker/config.json
# 输出结果包含类似于以下
{
    "auths": {
        "https://my-registry.cn/images": {
            "auth": "**********"
        }
    }
}
# 单个config.json中可存在多个镜像仓库授权凭证

2.2 在Pod中设置ImagePullSecrets

官方建议运行使用私有仓库中镜像的容器时,建议使用ImagePullSecrets这种方法。

注意:secrets是按namespace存放的,pod只能引用位于自身所在namespace中的 Secret,因此每个pod所在的namespace下都必须存在对应的仓库secrets凭证。

secrets有两种创建方法,分别是

  • 命令行创建secrets
  • 使用config.json文件创建secrets

命令行创建的仅适用于单个私有容器仓库的 Secret,config.json文件创建secrets适用于有多个私有容器仓库的情况。

2.2.1 命令行创建secerets

将以下变量名改成对应的帐号,密码,仓库地址即可

# 创建命令
kubectl create secret docker-registry regcred \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>
# 查看
kubectl get secret secrets_name

2.2.2 通过config.json文件创建secrets

运行了 docker login 命令,可以复制该镜像仓库的凭证(config.json)文件,用以下命令创建secret凭证

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

3. 部署配置免密拉取

通过docker login在节点登录后,则不需要做任何操作就能拉取私有仓库镜像,但必须保证所有节点已完成了docker login这个操作。

通过secrets的方式,需要在 deployment/statefulset或Pod 定义中增加 imagePullSecrets 来引用该 Secret,即可实现免密位取对应的私有仓库镜像,要注意imagePullSecrets 只能引用同一namespace中的 Secret。

# 如例:pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

4.总结

K8S从私有仓库拉取镜像有多种方式,其中用云托管的K8S,可以使用云厂商的扩展实现免密拉取,如果是自建K8S集群,则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret,即可以通过命令行直接创建secret的方式,也可以通过文件(config.json)创建的方式,两者实现的功能一样,区别在于命令行创建只支持单个私有仓库使用,而 .docker/config.json文件创建的方式支持多个私有仓库,如有多个私有仓库,建议文件创建的方式使用。

觉得好用点个收藏吧

lv2
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s核心操作_存储抽象_K8S中使用Secret功能来存储密码_使用免密拉取镜像_k8s核心实战总结---分布式云原生部署架构搭建033
添柴程序猿的专栏
07-17 8503
可以看到这个是镜像内容,注意这里面没有引入secret,上面的配置文件引入了,可以先去掉.看效果。比如我们在公共仓库中个guignginx仓库,我们看到右边,显示他现在是。可以看到拉取镜像的时候报错了对吧,说access denied 因为镜像私有的.然后下面我们会看一个更强大的,工具,可以进行完全在线,将监控等等,都统合起来。我们现在是从公共仓库拉取的,如果我们从私有仓库拉取,有密码。比如我们有个pod,他的镜像,如果是需要密码的,那么。
k8s私有仓库拉取镜像
LoveyourselfJiuhao的博客
06-28 794
1、实战目的 从私有docker仓库拉取镜像,部署pod。上一篇中,我们搭建了私有镜像仓库,这一篇我们将与k8s结合实战使用私有仓库。 2、登录docker 为了完成本次实战,需要登录docker,如下: 3、为k8s集群创建Secret 当pod从私用仓库拉取镜像时,k8s集群使用类型为docker-registry的Secret来提供身份认证,创建一个名为registry-key的S...
k8s - docker/containerd拉取私有仓库镜像
RayPick的博客
09-28 4861
我这边的需求是第二种才满足,但是看官方文档上的,是对docker运行时的应用,这就导致我containerd运行时的时候,不知道该怎么去配置了。所以咱们要做的就是把harbor的用户名和密码先Base64,在放进auth,再对整体进行Base64处理,那么问题就解决了。公司内部搭建Harbor作为镜像仓库k8s底层为containerd运行时,此时需要拉取。同时在该用户下创建一个私有项目,名字随便就叫ttt3吧,然后推一个镜像上去,此时需要我们去对应的namespace下创建secret,
kubernetes 拉取私有镜像的测试
mofiu的博客
08-11 6589
k8s拉取私有镜像测试k8s在创建pod时拉取私有镜像的方式 1、创建secret(创建方式有两钟,一种使用命令,第二种使用文件) 2、利用Node上的配置访问Private Registry 先测试第二种1、node登录 docker login registry.cn-hangzhou.aliyuncs.com 2、创建 kubectl create -f test.yaml apiVersio
如何利用k8s拉取私有仓库镜像
wangsofa的博客
08-19 4770
现象最近实战时,发现一个很奇怪的问题,在通过 k8s 创建 pod,拉取镜像时,总是显示如下信息:Error syncing pod, skipping: failed to "...
K8s 拉取私有仓库镜像方法
Shallow的博客
04-13 2501
一般公司开发的image一般放在私有仓库,不对外开放。 在阿里云创建一个私有镜像库,并构建一个image: registry.cn-shenzhen.aliyuncs.com/koza/test:latest 创建阿里云镜像私有仓库和构建image方法参考:https://dev.aliyun.com/ docker 拉取私有镜像的方法: a. 登陆私有仓库 mac-temp:~ test...
k8s 拉取镜像失败_k8s 无法拉取阿里云仓库镜像
weixin_39599830的博客
12-31 1869
本文介绍如何免密拉取阿里云容器镜像仓库中的私有镜像。 前提条件您已经成功创建一个Kubernetes 集群,参见创建 Kubernetes 集群。 背景信息免密拉取功能:仅支持拉取当前用户阿里云容器镜像仓库中的私有镜像,无法拉取其余用户的私有镜像。支持跨地域拉取阿里云容器镜像仓库中的私有镜像。支持多命名空间免密拉取。支持配置免密拉取阿里云容器镜像服务企业版中的私有镜像。支持的集群:专有版Kuber...
K8S如何以http方式拉取私有镜像仓库Harbor部署SpringBoot服务
天然玩家的博客
05-17 2859
核心步骤: (1)强行使用http拉取镜像。进入K8S内部,配置Docker --insecure-registry; (2)K8S添加Secret:拉取镜像时的认证信息; (3)Deployment添加imagePullSecrets进行认证; (4)Service是使用NodePort方式,测试服务需要在K8S的机器上进行。......
k8s拉取镜像规则_K8S私有仓库拉取镜像
weixin_39870199的博客
12-22 755
通常来讲,我们在通过公共镜像仓库拉取docker镜像的时候,不需要任何的认证操作,但我们在构建了企业的私有镜像以后,就不得不在拉取镜像之前通过用户名密码来完成认证。在docker单机环境中,我们可以直接在宿主机上执行docker login https://myhub.fdccloud.com类似这种命令的方式来完成认证。但在通过kubernetes来对docker做相关集群管理时,就不得不在所有...
kubernetes拉取私有仓库镜像
风起于青萍之末
03-16 8819
这里介绍通过secret配置来拉取私有仓库镜像。 如果不进行设置的话,创建RC拉取镜像时就会提示找不到镜像,报以下错误: Events: FirstSeen LastSeen Count From SubObjectPath Type Reason Message...
k8s中使用docker作为容器运行时如何拉取私有镜像仓库镜像
weixin_47729423的博客
12-07 538
接着根据提示输入用户名密码,完成之后会打印config.json文件生成的位置。然后通过config.json文件生成secret,如下。方括号中的地址填写镜像仓库的地址,也可以填域名。配置完重启docker,重新拉取镜像即可。在部署应用的时候添加对应的serviceaccount,如下。除了上述方法也可以通过指定用户名密码直接创建secret。最后在部署应用的添加imagePullSecrets。
K8s如何从私有Harbor中拉取镜像并完成部署
哈利路亚的收藏夹
07-21 3736
k8s进行扫盲,然后提供了前后台部署的yaml文件模板
k8s——pod详解+harbor镜像拉取(凭据)
Yusheng9527的博客
04-02 4111
k8s——pod详解+harbor镜像拉取(凭据)Pod基础概念在k8s集群中pod的使用方式Pod容器的分类pod中的3种容器底层基础容器pause初始化容器(initcontainers)1)概念2)Init的容器作用应用容器(Maincontainer)实例创建镜像拉取策略(image PullPolicy)概念创建测试案例pod的重启策略三种策略实例创建部署harbor创建私有项目(凭据令牌)环境准备安装docker上传docker-compose和harbor软件包部署Harbor服务在 Harb
Kubernetes - 如何利用 K8S 拉取私有仓库镜像
牧码的博客
02-04 2030
Kubernetes - 如何利用 K8S 拉取私有仓库镜像
k8s Service
CarloPan的博客
12-06 341
1.4.9 Service 1.概述 Service服务也是Kubernetes里的核心资源对象之一,Kubernetes里的每个Service其实就是我们经常提起的微服务架构中的一个微服务,之前讲解Pod、RC等资源对象其实都是为讲解KubernetesService做铺垫的。图1.12显示了Pod、RC与Service的逻辑关系。 从图1.12中可以看到,Kubernetes的Service定义了一个服务的访问入口地址,前端的应用(Pod)通过这个入口地址访问其背后的一组由Pod副本组成的集群实例,S
k8s 怎么手动拉取docker镜像
牛肉胡辣汤
03-12 1102
Docker是一种开源的容器化平台,通过使用容器化技术,可以更轻松、高效地打包、交付和运行应用程序。容器是一种类似于虚拟机的技术,但相比虚拟机更轻量级,更快速启动和运行,使得应用程序之间能够在隔离的环境中运行,互不影响。通过以上步骤,我们成功地手动拉取了Docker镜像并将其推送到Kubernetes集群中,从而为Kubernetes应用程序提供了所需的容器运行环境。这种手动操作适用于调试、测试或特定需求下的情况,希望本文能帮助您顺利完成Docker镜像的拉取和推送操作。
k8s国内的容器镜像仓库
最新发布
06-12
Kubernetes(简称 K8s)是一个开源的容器编排平台,而国内的容器镜像仓库主要是为了方便国内用户访问和管理容器镜像,以减少延迟和提高安全性。以下是一些知名的国内K8s容器镜像仓库: 1. 阿里云 Docker Hub: 阿里云的 Docker Hub 提供了国内加速的私有镜像服务,如 Docker Registry Enterprise 和 Docker Hub China,支持自定义镜像推送和拉取。 2. Docker Hub中国: 官方授权的 Docker 中国版镜像仓库,提供对国际 Docker Hub 的加速访问。 3. 华为云 Harbor: 华为云的 Harbor 是一个安全、稳定的开源容器镜像仓库,提供了丰富的镜像管理功能。 4. Docker China Community Registry: 由 Docker 社区在中国建立的镜像存储服务,用于存储开源项目的镜像。 5. 码云 Gitee Container Registry: 码云提供的容器镜像仓库,支持 Git 和 Dockerfile 的无缝集成。 6. QingCloud QingDock: 青云的 QingDock 也提供了国内镜像加速服务,适用于其云平台用户。 使用这些镜像仓库时,通常会设置国内的加速器或镜像源,以提升部署和应用的性能。如果你有特定的需求,比如需要私有化存储或特定技术栈的支持,可以根据这些信息进行选择。相关问题: 1. 怎么在K8s中配置国内的镜像仓库作为默认源? 2. 如何在阿里云Docker Hub Enterprise上注册和管理镜像? 3. 是否可以将私有镜像从公有仓库导出到国内的私有仓库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值