aws eks 集群访问ecr仓库拉取镜像的认证逻辑

已于 2024-05-23 17:42:43 修改
阅读量894 收藏
点赞数 1
分类专栏: AWS 文章标签: aws docker kubernetes
于 2023-02-18 14:26:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41567654/article/details/129099971
版权

本文主要讨论三个问题

  • ecr帮助程序在docker上如何配置
  • eks集群访问ecr仓库的逻辑
  • kubelet授权ecr的源码分析

ecr帮助程序

在docker环境下,可以通过在$HOME/.docker/config.json中指定凭证管理程序

docker login

aws同样提供了证书助手,避免手动执行ecr认证命令

amazon-ecr-credential-helpe

帮助程序本身是一个二进制命令,只需要在PATH中找到就可以

eks集群访问ecr仓库

在1.24集群后默认运行时成为containerd,在我们启动集群后,会发现对于一些私有的ecr仓库,即使仓库本身没有配置放行策略,节点仍旧能够从此仓库拉取镜像。

例如以下镜像托管在aws官方的ecr仓库中。然而在节点的$HOME/.docker/config.json文件中并没有发现帮助程序的配置

918309763551.dkr.ecr.cn-north-1.amazonaws.com.cn/amazon-k8s-cni:v1.11.4-eksbuild.1

原来,从 Kubernetes v1.20 开始,kubelet 可以使用 exec 插件动态获得针对某容器镜像库的凭据。kubelet 需要设置以下两个标志:

  • --image-credential-provider-config —— 凭据提供程序插件配置文件的路径。
  • --image-credential-provider-bin-dir —— 凭据提供程序插件二进制可执行文件所在目录的路径。

kubelet启动节点时kubelet日志中有以下参数配置

I0218 05:30:51.783345    5014 flags.go:64] FLAG: --image-credential-provider-bin-dir="/etc/eks/ecr-credential-provider"
I0218 05:30:51.783350    5014 flags.go:64] FLAG: --image-credential-provider-config="/etc/eks/ecr-credential-provider/ecr-credential-provider-config"

去除访问ecr权限后报错如下

Warning  Failed 11s  kubelet    Failed to pull image "xxxxxx.dkr.ecr.cn-north-1.amazonaws.com.cn/amazonlinux:latest": rpc error: code = Unknown desc = failed to pull and unpack image "xxxxxx.dkr.ecr.cn-north-1.amazonaws.com.cn/amazonlinux:latest": failed to resolve reference "xxxxxx.dkr.ecr.cn-north-1.amazonaws.com.cn/amazonlinux:latest": pulling from host xxxxxx.dkr.ecr.cn-north-1.amazonaws.com.cn failed with status code [manifests latst[]: 401 Unauthorized       
Warning  Failed 11s  kubelet    Error: ErrImagePull

节点上的kubelet日志显示

E0218 05:50:49.260465    5014 aws_credentials.go:184] error getting credentials from ECR for xxxxxx.dkr.ecr.cn-north-1.amazonaws.com.cn AccessDeniedException: User: arn:aws-cn:sts::xxxxxx:assumed-role/eksctl-test124-nodegroup-test124-NodeInstanceRole-1NVLMK3YZWYY3/i-0a598be817afd520b is not authorized to perform: ecr:GetAuthorizationToken on resource: * because no identity-based policy allows the ecr:GetAuthorizationToken action

对应源码如下,可见kubelet通过插件向ecr请求凭证

cfg, err := p.getFromECR(parsed)
if err != nil {
    klog.Errorf("error getting credentials from ECR for %s %v", parsed.registry, err)
    return credentialprovider.DockerConfig{}
}

kubelet的凭证获取程序的配置文件,满足以下条件时匹配

  • 两者都包含相同数量的域部分,并且每个部分都匹配。
  • 匹配image的 URL 路径必须是目标image URL 路径的前缀。
  • 如果 matchImages 包含端口,则该端口也必须在镜像中匹配。

配置 kubelet 镜像凭据提供程序

$ cat /etc/eks/ecr-credential-provider/ecr-credential-provider-config
apiVersion: kubelet.config.k8s.io/v1beta1
kind: CredentialProviderConfig
providers:
  - name: ecr-credential-provider
    matchImages:
      - "*.dkr.ecr.*.amazonaws.com"
      - "*.dkr.ecr.*.amazonaws.cn"
      - "*.dkr.ecr-fips.*.amazonaws.com"
      - "*.dkr.ecr.us-iso-east-1.c2s.ic.gov"
      - "*.dkr.ecr.us-isob-east-1.sc2s.sgov.gov"
    defaultCacheDuration: "12h"
    apiVersion: credentialprovider.kubelet.k8s.io/v1beta1
    args:
      - get-credentials

根据官网的说明

https://kubernetes.github.io/cloud-provider-aws/credential_provider/
https://github.com/kubernetes/enhancements/tree/master/keps/sig-cloud-provider/2133-out-of-tree-credential-provider

Once you pass this config to the kubelet, everytime it needs to fetch an image that matches one of the “matchImages” patterns, it will invoke the “ecr-credential-provider” binary in the --image-credential-provider-bin-dir folder. In turn, the plugin will fetch the credentials for kubelet and send it back via stdio.

手动调用的ecr-credential-provider的方法如下

echo '{"kind":"CredentialProviderRequest","apiVersion":"credentialprovider.kubelet.k8s.io/v1","image":"112233445566.dkr.ecr.cn-northwest-1.amazonaws.com.cn/public.ecr.aws/aws-observability/aws-for-fluent-bit:2.31.12"}' | /etc/eks/image-credential-provider/ecr-credential-provider

分析源码

https://github.com/kubernetes/kubernetes/blob/master/pkg/credentialprovider/aws/aws_credentials.go

https://github1s.com/kubernetes/kubernetes/blob/master/pkg/credentialprovider/aws/aws_credentials.go#L187

这里额外提一下github1s项目,在vscode终端中浏览github仓库,提供高亮和折叠等功能,这样就不用下载源码了

首先初始化凭证提供程序,创建一个ecr token的缓存

// init registers a credential provider for each registryURLTemplate and creates
// an ECR token getter factory with a new cache to store token getters
func init() {
	credentialprovider.RegisterCredentialProvider("amazon-ecr",
		newECRProvider(&ecrTokenGetterFactory{cache: make(map[string]tokenGetter)},
			ec2ValidationImpl,
		))
}

以上init函数初始化了一个包含ecrProvider的对象,包括缓存,token工程函数,一个判断ec2环境的函数

type ecrProvider struct {
	cache         cache.Store
	getterFactory tokenGetterFactory
	isEC2         ec2ValidationFunc
}

核心逻辑是一个名为Provider的方法

func (p *ecrProvider) Provide(image string) credentialprovider.DockerConfig {
	parsed, err := parseRepoURL(image)
	if err != nil {
		return credentialprovider.DockerConfig{}
	}
    
    // 避免由于非aws平台造成的aws sdk执行延迟,判断是否为ec2环境
    // 具体方法是ecrProvider中的isEC2函数,依据为 1. 获取实例的uuid 2. 获取凭证session
    // 只会执行一次
    once.Do(func() {
		isEC2 = p.isEC2()

		if isEC2 && credentialprovider.AreLegacyCloudCredentialProvidersDisabled() {
			klog.V(4).Infof("AWS credential provider is now disabled. Please refer to sig-cloud-provider for guidance on external credential provider integration for AWS")
		}
	})
    
    // 从cache中查找ecr token
    if cfg, exists := p.getFromCache(parsed); exists {
		klog.V(3).Infof("Got ECR credentials from cache for %s", parsed.registry)
		return cfg
	}
	klog.V(3).Info("unable to get ECR credentials from cache, checking ECR API")
    
    // 向ecr发起获取token请求
    cfg, err := p.getFromECR(parsed)
	if err != nil {
		klog.Errorf("error getting credentials from ECR for %s %v", parsed.registry, err)
		return credentialprovider.DockerConfig{}
	}

对于新节点需要向ecr发起请求获取token

func (p *ecrProvider) getFromECR(parsed *parsedURL) (credentialprovider.DockerConfig, error) {
cfg := credentialprovider.DockerConfig{}
    // 解析区域
	getter, err := p.getterFactory.GetTokenGetterForRegion(parsed.region)
	if err != nil {
		return cfg, err
	}
    // 构造参数并发送请求到ecr获取token
	params := &ecr.GetAuthorizationTokenInput{RegistryIds: []*string{aws.String(parsed.registryID)}}
	output, err := getter.GetAuthorizationToken(params)
	...
	data := output.AuthorizationData[0]
	if data.AuthorizationToken == nil {
		return cfg, errors.New("authorization token in response is nil")
	}
    // 加入缓存
	entry, err := makeCacheEntry(data, parsed.registry)
	cfg[entry.registry] = entry.credentials
	return cfg, nil
}

前面kubelet中的错误就是由于getFromECR执行失败,导致kubelet输出error getting credentials from ECR

zhaojiew10
关注
专栏目录
AWS ECR: 完全托管的容器镜像仓库
TechEnthusiast的博客
05-17 286
AWS Elastic Container Registry (ECR) 是一个完全托管的Docker容器镜像仓库,它可以让您轻松地存储、管理和部署Docker容器镜像。在本文中,我们将深入探讨 AWS ECR 的原理、管理、实现和验证。
AWS EKS使用RBAC授权IAM实体访问集群
weixin_41335923的博客
11-17 724
目录一、RBAC是什么?二、将IAM实体映射到K8S集群三、创建Role和RoleBinding四、测试五、总结参考 一、RBAC是什么? 基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。 RBAC 鉴权机制使用 rbac.authorization.k8s.io API 组 来驱动鉴权决定,允许你通过 Kubernetes API 动态配置策略。 RBAC 的核心逻辑组件是: 实体 组、用户或服务帐户(代表想要执行某些操作(动作)并需要权限的
AWS攻略在EKS(弹性 Kubernetes 服务)上搭建k8s集群——ECR使用
wujiesunlirong的博客
09-20 735
AWS攻略在EKS(弹性 Kubernetes 服务)上搭建k8s集群
0.AWS ECR使用
m0_60696725的博客
06-14 1026
AWS ECR
玩转aws之(一)eks集群部署
manwufeilong的博客
09-23 3182
aws官方用户指南中关于创建EKS集群部分,看了几次才理解了整个创建过程,这里总结了创建集群的过程和步骤,可以通过eksctl、管理控制台和aws cli创建集群,这里通过管理控制台进行创建EKS创建后默认没有worker节点、附加组件只有vpc cni、coredns、kubeproxy,因此需要自己添加worker节点和其它自定义组件,如ingress controll创建步骤创建集群角色创建EKS集群添加node配置kubectl安装ingress/alb(可选)
aws eks 理解和使用terrafrom创建eks集群(离线安装provider和module)
热门推荐
10 学习笔记
01-02 3万+
理解和使用terrafrom创建eks集群,掌握terrafrom的基本用法,离线在本地加载下官资源
AWS上运行的EKS Elastic Kubernetes Service 创建集群Cluster,Node group, Nodes
最新发布
AI架构师易筋
06-11 1269
Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,无需在 Amazon Web Services (AWS) 上安装、操作和维护您自己的 Kubernetes 控制平面。Kubernetes 是一个开源系统,可自动管理、扩展和部署容器化应用程序。搜索eks, 选择Elastic Kubernetes Service添加集群 cluster > 创建。
windows下远程连接aws EKS集群
xcswswswws的博客
03-21 733
windows下远程连接awsEKS集群
terraform-provider-eksctl:使用Terraform和eksctl管理AWS EKS集群
05-02
使用Terraform和管理AWS EKS集群。 好处: terraform apply于建立整个基础架构。 不再需要使用Terraform和胶壳脚本生成eksctl cluster.yaml ,仅用于TF和eksctl之间的集成。 支持在集群使用相同的Pod IAM角色...
AWS EKS集群动态创建卷并挂载
linux_s2018的博客
07-05 1698
EKS创建安装EBS CSI驱动,创建PVC
terraform-eks:使用Terraform部署AWS EKS集群
04-30
注意:部署EKS集群将产生AWS资源的成本。 先决条件 下载Heptio身份验证器 curl -o heptio-authenticator-aws ...
container-mirror:容器上方,放置在AWS宁夏区域的ECR中,EKS可直接使用
02-09
声明 您理解并同意:本补充站收集并供您下载的补充文件是按“原样”提供的,即我们无法控制或修改副本文件,可能会出现由于开发者未及时更新或该大量文件本身存在异常原因该大部分文件损坏或其他不可用状态,我们也不提供有关文件(内容)的任何保证,不会对副本文件及其相关的信息或文档的可用,重复,正确性或更新,升级等提供任何明示或默示的承诺或保证,更多文件的下载和使用完全由您自主决定并自行承担风险,从而带来的任何损失,您同意在法律允许的范围内放弃追究我们的责任。 项目介绍 本项目用于将 ,和中常用的公共容器图像自动同步至AWS中国区的ECR内,使AWS用户能更方便快捷的获取这些常见的容器容器。如果您是容器映像的权利人,并与相关容器映像同步到AWS中国区的ECR内,请发送邮件到 。 Amazon ECR路径 所有同步至ECR的常规都放在048912060910.dkr.ecr.cn-northwest-1.
创建并运行 EMR on EKS 集群
Laurence的技术博客
06-04 1441
文章目录0. 前置条件1. 安装ekscli2. 安装kubectl3. 创建EKS集群4. 查看EKS集群状态5. 创建Namespace6. 授权访问Namespace7. 创建Job Execution Role8. 创建Role的Trust Relationship9. 在EKS上创建EMR虚拟集群10. 向EMR on EKS提交作业11. 删除与清理12. 常见错误 EMR on EKS的创建工作完全是命令行驱动的,目前尚无对应的UI界面来完成相关操作。本文将通过命令行演示如何创建并运行一个EM
Jenkins中构建Spring服务并推送到AWS ECR+AWS EKS
fxtxz2的专栏
05-09 504
使用Jenkinsfile进行构建管理挺简单的。
EKS1.26 使用 ECR 存储镜像
大鹅的博客
05-15 700
示例:AmazonEC2ContainerRegistryReadOnly。官方托管策略选择合适即可。
EKS】基于Amazon EKS搭建kubernetes集群
宝耶需努力的技术分享博客
05-30 2214
Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,可让您在 AWS 上轻松运行 Kubernetes,而无需安装、操作或维护您自己的 Kubernetes 控制面板或节点。Kubernetes 是一个用于实现容器化应用程序的部署、扩展和管理的自动化的开源系统。
k8s 部署安装 metrics-server
qq_49109854的博客
11-14 470
Metrics-Server是集群核心监控数据的聚合器
(4)私有仓库搭建和配置
weixin_42467515的博客
07-24 464
1.拉取私有仓库镜像 docker pull registry 2.启动私有仓库容器 docker run -di --name=registry -p 5000:5000 registry 3.打开浏览器 输入地址(http://39.105.118.145:5000/v2/_catalog) 注意:看到{"repositories":[]},表示私有仓库搭建成功并且内容为空,如下图所示...
AWS-ECR自动认证
ioops
04-28 469
AWS ECR认证在自动化场景时,使用token方法较为麻烦且会过期,此工具帮助实现对AWS ECR的自动认证
如何使用kubectl login登录到指定awseks集群上?
05-09
使用kubectl登录到指定的AWS EKS集群需要先进行以下几个步骤: 1. 安装kubectl:如果您还没有安装kubectl,您可以使用以下命令在本地计算机上安装kubectl: ``` curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl chmod +x ./kubectl sudo mv ./kubectl /usr/local/bin/kubectl ``` 2. 安装aws-cli:如果您还没有安装aws-cli,您可以使用以下命令在本地计算机上安装aws-cli: ``` curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip" unzip awscliv2.zip sudo ./aws/install ``` 3. 配置aws-cli:在使用aws-cli之前,您需要通过运行`aws configure`命令来配置aws-cli,该命令将要求您提供AWS访问密钥和密钥ID等信息。 4. 配置kubectl:使用`aws eks update-kubeconfig`命令来配置kubectl,该命令将获取与指定的AWS EKS集群关联的Kubernetes API服务器的访问信息,并将其添加到您的kubectl配置文件中。运行以下命令: ``` aws eks update-kubeconfig --name <your-cluster-name> --region <your-region> ``` 其中`<your-cluster-name>`和`<your-region>`分别是您的AWS EKS集群的名称和区域。运行此命令后,kubectl将自动使用与您的AWS EKS集群相关联的Kubernetes API服务器进行身份验证。 5. 使用kubectl登录:现在,您可以使用kubectl命令与您的AWS EKS集群进行交互了。例如,使用以下命令获取集群中所有节点的列表: ``` kubectl get nodes ``` 希望这可以帮助您登录到指定的AWS EKS集群
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值