K8S上使用aws ecr做镜像库

已于 2022-10-17 16:39:01 修改
阅读量856 收藏 1
点赞数
分类专栏: K8S与容器 文章标签: kubernetes aws docker
于 2022-10-17 16:33:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16240085/article/details/127366556
版权
本文介绍了如何在Kubernetes(k8s)环境中使用CronJob来定时管理AWS ECR(Amazon Elastic Container Registry)的镜像登录信息。通过 IAM 委托人获取授权令牌,并使用`kubectl`命令创建和更新Secret,以实现自动化的镜像拉取凭证更新。此外,还提供了涉及的K8s资源配置文件。
摘要由CSDN通过智能技术生成

需求:在自己的k8s上通过cronjob管理aws ecr镜像登录信息

aws ecr官网,发现有下面这么一段:

使用授权令牌
授权令牌的权限范围与用于检索身份验证令牌的 IAM 委托人的权限范围相匹配。身份验证令牌用于访问您的 IAM 委托人有权访问且有效期为 12 小时的任何 Amazon ECR 注册表。要获得授权令牌,您必须使用 GetAuthorizationToken API 操作来检索包含用户名 AWS 和编码密码的 base64 编码授权令牌。该 Amazon CLI get-login-password 命令可以通过检索和解码授权令牌来简化此操作,然后您可以将授权令牌传送到 docker login 命令中进行身份验证。

参考:在k8s上使用ecr作为业务镜像库

https://www.sklinux.com/posts/k8s/k8s%E4%B8%8A%E4%BD%BF%E7%94%A8ecr/

应用如下配置即可,友情提示,cn区仓库地址是com.cn结尾

secret解密命令:echo “secret” | base64 -d

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: ecr-cred-rbac
subjects:
  - kind: ServiceAccount
    namespace: default
    name: default 
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: batch/v1beta1
kind: CronJob 
metadata:
  annotations:
  name: ecr-cred-helper 
spec:
  concurrencyPolicy: Allow
  failedJobsHistoryLimit: 1
  jobTemplate:
    metadata:
      creationTimestamp: null
    spec:
      template:
        metadata:
          creationTimestamp: null
        spec:
          containers: 
            - image: odaniait/aws-kubectl:latest 
              imagePullPolicy: IfNotPresent 
              name: ecr-cred-helper 
              command: 
                - /bin/sh 
                - -c 
                - |- 
                  ACCOUNT=xxxxxxxx       
                  REGION=cn-northwest-1
                  SECRET_NAME=${REGION}-ecr-registry
                  EMAIL=xxxxx
                  TOKEN=`aws ecr get-login --region ${REGION} --registry-ids ${ACCOUNT} | cut -d' ' -f6` 
                  #获取登录密码
                  echo "ENV variables setup done."
                  kubectl -n logging-operator delete secret --ignore-not-found $SECRET_NAME
                  kubectl -n logging-operator create secret docker-registry $SECRET_NAME \
                  --docker-server=https://${ACCOUNT}.dkr.ecr.${REGION}.amazonaws.com.cn \
                  --docker-username=xxxxx \
                  --docker-password="${TOKEN}" \
                  --docker-email="${EMAIL}"
                  echo "Secret created by name. $SECRET_NAME"
                  kubectl -n logging-operator patch serviceaccount default -p '{"imagePullSecrets":[{"name":"'$SECRET_NAME'"}]}' 
                  echo "All done."
              env: 
                - name: AWS_DEFAULT_REGION 
                  value: cn-northwest-1
                - name: AWS_SECRET_ACCESS_KEY 
                  value: xxxxx
                - name: AWS_ACCESS_KEY_ID 
                  value: xxxxx
              resources: {}
              securityContext:
                capabilities: {}
              terminationMessagePath: /dev/termination-log
              terminationMessagePolicy: File
          dnsPolicy: Default 
          hostNetwork: true
          restartPolicy: Never 
          schedulerName: default-scheduler 
          securityContext: {}
          terminationGracePeriodSeconds: 30
  schedule: "* */8 * * *" 
  successfulJobsHistoryLimit: 3
  suspend: false
qq_道可道
关注
专栏目录
AWS ECR: 完全托管的容器镜像
TechEnthusiast的博客
05-17 286
AWS Elastic Container Registry (ECR) 是一个完全托管的Docker容器镜像,它可以让您轻松地存储、管理和部署Docker容器镜像。在本文中,我们将深入探讨 AWS ECR 的原理、管理、实现和验证。
AWS上的Docker镜像ECR
吴就业
01-06 6279
学习使用aws的服务,说实话,单靠看官方的文档很难理解,只有自己动手操作才知道有多少坑需要填。我自己注册了一个aws账号,用于学习aws的一些服务。一年前我也在阿里云买了一台机器用于学习,那时候还是套信用卡买的,五年两千多,2核4g。不过aws的服务,你练手的时候收费,服务不启动就不会收费,这点还是挺好的。 在aws的ec2实例上需要使用该命令安装docker。 ### 安装docker amazon-linux-extras install docker 安装完成后,需要配置AccessKey.
AWS中国 Kubernetes 搭建指南
q1009020096的博客
09-19 1795
文章目录1. 准备1.1 网络1.2 密钥1.3 堡垒机2. Kops-cn2.1 步骤3 修改Makefile2.2 调整负载均衡器3. 登录K8s集群中的节点4. 调整集群中的节点数量n. F&Q集群没有启动完成就验证 基于 kops搭建,搭建前请确定你的I AM账号具有Admin的权限,否则可能在搭建过程中出现权限不足无法创建的问题。 1. 准备 1.1 网络 创建弹性IP用于K...
AWS攻略在EKS(弹性 Kubernetes 服务)上搭建k8s集群——ECR使用
最新发布
wujiesunlirong的博客
09-20 736
AWS攻略在EKS(弹性 Kubernetes 服务)上搭建k8s集群
AWS EKS 创建k8s生产环境实例
sinat_40572875的博客
11-23 536
AWS EKS 创建k8s生产环境实例。
AKS 中使用 ECR
weixin_42834168的博客
12-14 209
AKS中使用ECR
制作java项目Docker镜像并推送到AWS ECR私有镜像
weixin_47665032的博客
10-17 969
1. 准备java项目,将java项目打包 将java项目打成jar包或war包。war包可直接放在tomcat下运行,jar 一般通过 java -jar 来运行。 安装好 jdk 和 maven。 mvn package # 打包java项目 看到BUILD SUCCESS,此时在target目录下会生成一个jar包 2.编写Dockerfile FROM openjdk:8-jdk-alpine VOLUME /tmp ADD ./target/demojenkins.jar demojenkin
K8S部署java项目,解决拉取私有镜像报错no basic auth credentials
热门推荐
weixin_47665032的博客
10-17 1万+
接上文,制作java项目Docker镜像并推送到AWS ECR私有镜像https://blog.csdn.net/weixin_47665032/article/details/109120635 kubetl 基本命令 kubectl get pods kubectl get svc kubectl apply -f deployment.yaml kubectl describe po podName kubectl scale deployment xxxx --replicas=3 1 生成可
hadoop组件---spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 client mode和使用
直到世界的尽头
02-06 1729
我们在之前的文章中已经安装了cluster mode模式和尝试了使用。 hadoop组件—spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 cluster mode hadoop组件—spark实战----spark on k8s模式k8s原生方式—cluster mode调用运行spark程序 本篇文章尝试安装client mode。 两种模式的区别 c...
hadoop组件---spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 cluster mode
直到世界的尽头
01-20 1259
目前最新稳定版本2.4.4的官方安装文档 环境准备 1、使用spark2.3以上的spark版本 2、已经在运行的k8s集群版本需要大于1.6 使用命令查询 kubectl version 输出为: zhangxiaofans-MacBook-Pro:Downloads joe$ kubectl version Client Version: version.Info{Major:"1", M...
k8s-ecr-login-renew:续订AWS ECR容器注册表的Docker登录凭证
05-15
AWS ECR续订Kubernetes Docker机密 AWS Elastic Container Registry(ECR)为您的Docker容器提供了一种经济高效的私有注册表。 但是,ECR Docker凭证。 为了解决这个问题,我创建了这个小工具来自动刷新Kubernetes中的秘密。 它部署为cron作业,并确保您的Kubernetes集群始终能够从ECR中提取Docker映像。 Docker映像 该工具是为标准的64位Linux和ARM(Raspberry Pi)构建的。 最新的图像是: nabsul/k8s-ecr-login-renew:v1.5 nabsul/k8s-ecr-login-renew:arm32v7-v1.5 环境变量 该工具主要通过环境变量进行配置。 这些都是: AWS_ACCESS_KEY_ID(必需):用于创建Docker凭证的AWS访问密钥
argocd-image-updater:Argo CD 的自动容器映像更新
07-24
Argo CD 映像更新程序 介绍 Argo CD Image Updater 是一种自动更新由 Argo CD 管理的 Kubernetes 工作负载的容器镜像的工具。 简而言之,它将跟踪 Argo CD 应用程序资源上的注释指定的图像版本,并通过使用 Argo CD API 设置参数覆盖来更新它们。 目前,它仅适用于使用Kustomize或Helm工具构建的应用程序。 尚不支持从纯 YAML 或自定义工具构建的应用程序(也许永远不会)。 文档 有关如何设置和运行 Argo CD Image Updater 以及了解其功能和限制的更多信息,请阅读。 上面的 URL 指向当前版本的文档。 如果您对即将推出的功能的文档感兴趣,请查看与 master 分支保持同步。 当前状态 Argo CD Image Updater 正在积极开发中。 我们不建议将它用于关键的生产工作负载,但可以随意尝试
hadoop组件---spark实战----spark on k8s模式k8s原生方式---cluster mode调用运行spark程序
直到世界的尽头
02-05 2246
我们在上篇文章中已经记录了 如果 安装spark on k8s模式k8s原生方式—cluster mode。 hadoop组件—spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 cluster mode 本章记录 cluster mode这种方式的spark集群使用方法。 首先注意 提交spark命令需要借助 spark的安装包中的spark-submit命...
AWS不同主体账号互通ECR镜像
qw311113qin的博客
04-19 1320
ECRAWS镜像产品。 不同主体账号的ECR是不能相登录的,当需要部署同一个镜像的时候就很麻烦,可以配置密钥登录。 创建akck IAM---》创建用户--》点进用户--》安全证书--》创建访问密钥 aws configure 测试的服务器是A主体账号下的,先配置A账号的akck: [root@ip-xxx ~]# aws configure # 不指定用户会设置成默认用户,会被覆盖 AWS Access Key ID [None]: AKIAYCxxxxx AWS Sec
AWS 容器三大新品:K8s 发行版,免费镜像和 “Game Changer”AWS Proton
云原生实验室
01-13 810
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言2020 年,容器云原生技术火的不能再火了。上半年,DOIT 发布了《行业云原生应用白皮书》,下半年,阿...
EKS1.26 使用 ECR 存储镜像
大鹅的博客
05-15 700
示例:AmazonEC2ContainerRegistryReadOnly。官方托管策略选择合适即可。
怎么从 AWS ECR 私有仓拉取 docker 镜像
新酱酱酱的专栏
05-08 1041
问题描述 一般情况下,要从仓 pull docker image,都需要使用docker login ******”,然后输入账号密码,但是,当使用 AWS ECR 作为私有仓时,由于登录时都是使用密钥文件,*.pem,*.ppk 之类,没有办法输入账号密码。 那么,怎么办呢? 问题解决 使用 aws cli 解决。 操作系统:centos 1. 安装aws cli (pip install awscli)。 2. 配置 aws access key, region 和secu..
k8s私有镜像secret创建
司隶校尉博客
07-07 3797
一、 opaque类型的secret k8s常见常用的secret 类型opaque,通过base64 decode解码获得秘钥信息,安全性这块较弱,创建例子如下: apiVersion: v1 kind: Secret metadata: name: secret_userinfo type: Opaque data: name: 5bCP5piO age: Ng== 创建的secret的使用方法有挂载和环境变量两种,以下只介绍在环境变量中的使用方法: env: - name:
AWS学习笔记----ECR
weixin_45364654的博客
07-05 2109
一、创建镜像 1、在EC2实例上安装docker 更新实例上已安装的程序包和程序包缓存 sudo yum update -y 安装最新的 Docker Community Edition 程序包 sudo amazon-linux-extras install docker 启动 Docker 服务 sudo service docker start (可选)将 ec2-user 添加到 docker 组,以便能够执行 Docker 命令,而无需使用 sudo。 sudo usermod -a -G
aws cli查看ECR
03-23
您可以使用以下命令来查看您的 AWS ECRaws ecr describe-repositories 这将返回您所有的 ECR的详细信息,包括仓名称、创建时间、仓 URI 等。如果您只想查看特定仓的信息,可以使用以下命令: aws ecr describe-repositories --repository-names <repository-name> 其中,<repository-name> 是您要查看的仓的名称。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值