k8s的imagePullSecrets如何生成及使用

最新推荐文章于 2024-04-17 10:29:14 发布
最新推荐文章于 2024-04-17 10:29:14 发布
阅读量767 收藏 1
点赞数
分类专栏: kubernetes 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mnasd/article/details/127485425
版权

一、概述

公司的docker仓库(harbor),是私有的,需要用户认证之后,才能拉取镜像。

二、生成secret

登录docker

登录到k8s master节点,先登录docker

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://192.168.10.122/v2/: dial tcp 192.168.10.122:443: connect: connection refused

注意:出现这个报错,是由于harbor为了安全性考虑,默认是需要https证书支持的

但是我们可以通过一个简单的办法解决

修改 /etc/docker/daemon.json 文件

vim /etc/docker/daemon.json

内容如下:

{"insecure-registries": ["192.168.10.122"]}

重新加载docker配置

/etc/init.d/docker reload

再次登录

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

提示登录成功。

登录过程创建或更新一个包含授权令牌的config.json文件。 查看config.json文件:

cat ~/.docker/config.json

输出包含类似以下内容的部分:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

注意:如果您使用Docker凭据存储,您将看不到该auth条目,而是看到一个以存储名称为值的credsstore条目。

基于现有Docker凭据创建secret

kubernetes集群使用docker注册表类型的秘密对容器注册表进行身份验证,以获取私有映像。

如果您已经运行了Docker登录,则可以将该凭证复制到Kubernetes中:

kubectl create secret generic harborsecret \
    --from-file=.dockerconfigjson=/root/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

注意:主要修改红色部分。

harborsecret 表示key名

/root/.docker/config.json 表示docker认证文件,注意要写绝对路径。

查看内容

kubectl get secrets harborsecret --output="jsonpath={.data.\.dockerconfigjson}" | base64 -d

输出:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

要了解刚刚创建的regcred秘密的内容,请从以yaml格式查看秘密开始:

kubectl get secret harborsecret --output=yaml

输出:

apiVersion: v1
data:
  .dockerconfigjson: ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjEwLjEyMiI6IHsKCQkJImF1dGgiOiAiWVdSdGFXNDZTR0Z5WW05eU1USXpORFU9IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOS4wMy4xIChsaW51eCkiCgl9Cn0=
kind: Secret
metadata:
  creationTimestamp: "2019-08-30T06:14:10Z"
  name: harborsecret
  namespace: default
  resourceVersion: "6128"
  selfLink: /api/v1/namespaces/default/secrets/harborsecret
  uid: 76e16e61-a6b9-4a47-a842-e884cf6f468d
type: kubernetes.io/dockerconfigjson

三、在demployment yaml文件中的使用示例

... 
spec:
      imagePullSecrets:
      - name:harborsecret
      containers:
      - name: eureka
        image: 192.168.10.122/library/alpine:latest
...

复制

如果需要删除secret,使用命令

kubectl delete secrets harborsecret

本文参考链接:

Pull an Image from a Private Registry | Kubernetes

https://www.cnblogs.com/aguncn/p/9789320.html

mnasd
关注
专栏目录
云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1731
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
K8S中Deployment控制器的概念、原理解读以及使用技巧
景天科技苑
01-21 1895
Deployment是kubernetes中最常用的资源对象,为ReplicaSet和Pod的创建提供了一种声明式的定义方法, 在Deployment对象中描述一个期望的状态,Deployment控制器就会按照一定的控制速率把实际状态改成期望状态, 通过定义一个Deployment控制器会创建一个新的ReplicaSet控制器,通过ReplicaSet创建pod,删除Deployment控制器, 也会删除Deployment控制器下对应的ReplicaSet控制器和pod资源.
k8simagePullSecrets
zenglingmin8的博客
05-24 2313
k8s集群的使用过程中,初学者可能会碰到这样的(怪异)问题: 在一个k8s集群里,部署服务(用的私有镜像仓库,如harbor)的时候,只有个别node的服务是部署成功的,其他都是部署失败的,错误的原因就是镜像拉取失败,如下: kubectl get pods -A -owide |grep jenkins-demo devlopment jenkins-demo-67d4f9d666-2fh8k 1/1 Running 0 27
K8S通过Yaml配置镜像仓库 imagePullSecrets
SHELLCODE_8BIT的博客
07-21 519
k8s中可以通过配置。
创建 imagePullSecret 的命令
chechenshi的博客
11-10 310
创建 imagePullSecret 的命令。
k8s之镜像拉取时使用secret
qq_44209563的博客
12-05 1067
重新执行yaml文件,镜像拉取成功。当前secret类型使用的是。需要在拉取镜像时添加。在yaml文件中配置。
使用python脚本自动生成K8S-YAML的方法示例
09-16
本篇文章将深入探讨如何使用Python脚本来自动生成K8S的YAML文件,以`service.yaml`和`deployment.yaml`为例。 ### 1. 生成`service.yaml` #### 1.1 YAML转JSON 首先,我们需要一个基础的`service.yaml`模板,它...
docker registry的搭建并结合k8s使用
宫凯宁的博客
07-26 4260
一、搭建docker registry 1、安装docker 由于使用docker容器安装docker registry: yum install -y yum-utils yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum -y install dock...
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7485
K8S之存储Secret概述与类型说明,并详解常用Secret示例
DCOS之k8ssecret
公众号
02-27 4887
作为kubernetes中一个重要的资源secret,它的设计初衷是为了解决container在访问外部网络或外部资源时验证的问题,例如访 问一个git仓库,连接一个数据库,设置一些密码配置等,需要额外验证的场景。它被作为一种资源的形式被设计,由kubernetes集群统一管理,从字 面意思来看已经表现了敏感,安全等特性,因此集群对待这类资源的管理需要额外的保护,对其内容进行加密是十分有必要的。当
k8s实战篇-(在 ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息)
liuchenbei的博客
09-09 1556
在 ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息。
k8s使用harbor私有仓库镜像 —— 筑梦之路
最新发布
筑梦之路
04-17 1435
官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,并不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。
ImagePullSecret和DownWard API
m0_74206365的博客
06-01 705
/本文件创建的存储卷名称为volumedownward,这个名称会被容器设置的存储卷引用。//上述命令执行完毕后可以使用下面命令输出该secret的yaml内容,在改内容中data字段下包含了一串字符串,这串内容就是编码之后的值,可以对该字符串进行解码,使其采用明文的形式展示出来,可以使用下面的命令。此类型主要用来存储私有Dcoker Registry的认证信息,在设置Pod模板时,如果需要从私有仓库中拉取镜像,可以设置imagePullSecret属性为此类型的Secret,以作为仓库的登陆密钥。
Kubernetes k8s拉取镜像失败最简单最快最完美解决方法 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver
热门推荐
weixin_43168190的博客
07-09 7万+
问题 由于国内网络原因,kubeadm init会卡住不动,一卡就是半个小时,然后报出这种问题: [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver:v1.18.5: output: Error response from daemon: Get https://k8s.gcr.io/v2/: net/http: request canceled while waiting for connection (Client.Time
kubernetes imagePullSecrets认证拉取私仓
qq_37377136的博客
03-15 1113
官方文档: https://kubernetes.io/docs/concepts/containers/images/ 认证方式有两种不过官方推介使用第二种: 第一种(配置节点以对专用注册表进行身份验证) 第二种(在Pod上指定ImagePullSecrets) 部署方式第一种: 一、创建登录认证: docker login -uadmin -pRoot123. https://192...
k8s的yaml拉取私有仓库镜像配置
jialiu111111的博客
02-06 3110
拉取私有仓库镜像配置当我们制作好一个镜像后,我们可以传到公共镜像仓库,供所有人拉取使用,不需要指定拉取镜像的用户、密码。我们也可以将镜像推送到自己搭建的镜像库,比如harbor镜像仓库中,如果我们在镜像仓库中的项目是公开项目,拉取镜像也是不要用户名、密码的。但如果是私有项目,则需要指定用户名、密码才能拉取。下面将介绍两种方式通过用户名、密码拉取私有镜像制作拉取镜像secret不论是何种姿势拉取私有镜像,都需要先创建拉取镜像的secret。创建拉取镜像secret有两种方式,如下。
kubernetes ImagePullSecret的创建与使用
树袋熊
06-03 6907
创建secret kubectl create secret docker-registry <secret名称(docker-image-secret)> --namespace=<命名空间名称> --docker-username=<镜像仓库用户名> --docker-password=<镜像仓库密码> --docker-server=<镜像仓库地址> 创建serviceaccount关联secret apiVersion: v1 kind
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值