kubernetes Pull Image 鉴权过程

最新推荐文章于 2024-02-28 19:53:46 发布
最新推荐文章于 2024-02-28 19:53:46 发布
阅读量3.7w 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/78626170
版权

昨天遇到一个docker拉取镜像报错的问题,后来查询到是镜像的鉴权有问题,下面就和我跟着kubernetes 1.7.6 的代码看看整个过程。首先看拉取镜像的地方,
pkg/kubelet/kuberuntime/kuberuntime_image.go

func (m *kubeGenericRuntimeManager) PullImage(image kubecontainer.ImageSpec, pullSecrets []v1.Secret) (string, error) {
    img := image.Image
    repoToPull, _, _, err := parsers.ParseImageName(img)
    if err != nil {
        return "", err
    }

    keyring, err := credentialprovider.MakeDockerKeyring(pullSecrets, m.keyring)
    if err != nil {
        return "", err
    }

    imgSpec := &runtimeapi.ImageSpec{Image: img}
    creds, withCredentials := keyring.Lookup(repoToPull)
    if !withCredentials {
        glog.V(3).Infof("Pulling image %q without credentials", img)

        imageRef, err := m.imageService.PullImage(imgSpec, nil)
        if err != nil {
            glog.Errorf("Pull image %q failed: %v", img, err)
            return "", err
        }

        return imageRef, nil
    }

    var pullErrs []error
    for _, currentCreds := range creds {
        authConfig := credentialprovider.LazyProvide(currentCreds)
        auth := &runtimeapi.AuthConfig{
            Username:      authConfig.Username,
            Password:      authConfig.Password,
            Auth:          authConfig.Auth,
            ServerAddress: authConfig.ServerAddress,
            IdentityToken: authConfig.IdentityToken,
            RegistryToken: authConfig.RegistryToken,
        }

        imageRef, err := m.imageService.PullImage(imgSpec, auth)
        // If there was no error, return success
        if err == nil {
            return imageRef, nil
        }

        pullErrs = append(pullErrs, err)
    }

    return "", utilerrors.NewAggregate(pullErrs)
}

其中PullImage方法负责拉取镜像,里面用到了

creds, withCredentials := keyring.Lookup(repoToPull)

获取鉴权
这是个接口 pkg/credentialprovider/keyring.go

type DockerKeyring interface {
    Lookup(image string) ([]LazyAuthConfiguration, bool)
}

主要有四个实现的结构体
lazyDockerKeyring
BasicDockerKeyring
FakeKeyring
unionDockerKeyring
那么到底是谁在被使用,还是都被用到呢,那么就看上面的keyring的具体实现是在哪里!在pkg/kubelet/kuberuntime/kuberuntime_manager.go的初始化里面

kubeRuntimeManager := &kubeGenericRuntimeManager{
...
        keyring:             credentialprovider.NewDockerKeyring(),
    }

这个是创建的地方,具体看内部实现,

func NewDockerKeyring() DockerKeyring {
    keyring := &lazyDockerKeyring{
        Providers: make([]DockerConfigProvider, 0),
    }

    // TODO(mattmoor): iterating over the map is non-deterministic.  We should
    // introduce the notion of priorities for conflict resolution.
    for name, provider := range providers {
        if provider.Enabled() {
            glog.V(4).Infof("Registering credential provider: %v", name)
            keyring.Providers = append(keyring.Providers, provider)
        }
    }

    return keyring
}

原理如此,就是lazyDockerKeyring。而这个里面就初始化了一个DockerConfigProvider的providers,如果是在其他云的环境中会有aws、rancher等其他的providers,不过在我们的环境只有DockerConfigProvider。
那么我就分别看一下lazyDockerKeyring和它里面的DockerConfigProvider
先看pkg/credentialprovider/keyring.go 里面lazyDockerKeyring,上面调用lookup的函数

func (dk *lazyDockerKeyring) Lookup(image string) ([]LazyAuthConfiguration, bool) {
    keyring := &BasicDockerKeyring{}

    for _, p := range dk.Providers {
        keyring.Add(p.Provide())
    }

    return keyring.Lookup(image)
}

很简单,遍历Providers,这个里面就只有DockerConfigProvider
下面看看pkg/credentialprovider/provider.go DockerConfigProvider这个provider里面的Provide方法

func (d *defaultDockerConfigProvider) Provide() DockerConfig {
    // Read the standard Docker credentials from .dockercfg
    if cfg, err := ReadDockerConfigFile(); err == nil {
        return cfg
    } else if !os.IsNotExist(err) {
        glog.V(4).Infof("Unable to parse Docker config file: %v", err)
    }
    return DockerConfig{}
}

核心是ReadDockerConfigFile,看看具体实现pkg/credentialprovider/config.go

func ReadDockerConfigFile() (cfg DockerConfig, err error) {
    if cfg, err := ReadDockerConfigJSONFile(nil); err == nil {
        return cfg, nil
    }
    // Can't find latest config file so check for the old one
    return ReadDockercfgFile(nil)
}

这个里面之所以要读取两个文件是因为兼容老版的docker,新版的是config.json,老版的是.dockercfg。
两个函数的内容是相似的,我们看一个ReadDockerConfigJSONFile就行了。

func ReadDockerConfigJSONFile(searchPaths []string) (cfg DockerConfig, err error) {
    if len(searchPaths) == 0 {
        searchPaths = DefaultDockerConfigJSONPaths()
    }
    for _, configPath := range searchPaths {
        absDockerConfigFileLocation, err := filepath.Abs(filepath.Join(configPath, configJsonFileName))
        if err != nil {
            glog.Errorf("while trying to canonicalize %s: %v", configPath, err)
            continue
        }
        glog.V(4).Infof("looking for %s at %s", configJsonFileName, absDockerConfigFileLocation)
        cfg, err = ReadSpecificDockerConfigJsonFile(absDockerConfigFileLocation)
        if err != nil {
            if !os.IsNotExist(err) {
                glog.V(4).Infof("while trying to read %s: %v", absDockerConfigFileLocation, err)
            }
            continue
        }
        glog.V(4).Infof("found valid %s at %s", configJsonFileName, absDockerConfigFileLocation)
        return cfg, nil
    }
    return nil, fmt.Errorf("couldn't find valid %s after checking in %v", configJsonFileName, searchPaths)

}

由于没有传入路径,这个里面使用默认的路径DefaultDockerConfigJSONPaths,看看这个路径内容,

func DefaultDockerConfigJSONPaths() []string {
    return []string{GetPreferredDockercfgPath(), workingDirPath, homeJsonDirPath, rootJsonDirPath}
}

这个里面定义了四个路径分别是GetPreferredDockercfgPath(), workingDirPath, homeJsonDirPath, rootJsonDirPath。分别看一下吧
1.GetPreferredDockercfgPath
这个是在初始指定的cmd/kubelet/app/server.go

credentialprovider.SetPreferredDockercfgPath(kubeCfg.RootDirectory)

它就是kubelet的root目录。

2.workingDirPath
这个是work目录,就是工作目录,当然运行的目录

3.homeJsonDirPath

homeDirPath       = os.Getenv("HOME")
homeJsonDirPath   = filepath.Join(homeDirPath, ".docker")

这个是主目录,一般docker登录过后都会在这个目录下面生成鉴权文件。

4.rootJsonDirPath
这个是根目录

rootDirPath       = "/"
rootJsonDirPath   = filepath.Join(rootDirPath, ".docker")

好了。看完了它遍历的所以目录。剩下就是读取文件了,

柳清风09
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pullup:通过Webhooks更新Kubernetes资源
05-01
通过webhooks更新Kubernetes资源。 特征 通过HTTP Webhooks创建,更新或删除Kubernetes。 GitHub webhooks集成。 当前支持推和拉请求事件。 复制现有资源,并使用或更改复制的资源。 文献资料 上了解更多信息。 ...
Kubernetes学习笔记】
qq_47592482的博客
09-02 660
Kubernetes操作文档
解决 kubelet拉取镜像失败
Kason_iWiki
09-01 1080
文章目录环境介绍故障现象描述排查思路最终解决 环境介绍 Kubernetes环境:灵雀云TKE 故障现象描述 因线上环境资源不足,需要扩容k8s计算节点,在加入节点后,发现Pod无法正常运行,查看详细事件提示无法拉取私有仓库镜像,本地使用docker pull,可正常拉取,但是kubelet拉取镜像就失败了 Events: Type Reason Age From Message ---- ------
k8s基础:使用kubectl set image命令更新Deployment中容器的镜像
最新发布
学亮编程手记
02-28 903
这条命令将会触发一个滚动更新,根据你的Deployment配置中的更新策略逐步替换Pod中的容器镜像。替换为 Deployment 中你想要更新镜像的容器名称,应替换为你的实际 Deployment 名称,的 Deployment,其中包含一个名为。是你想要使用的新的镜像名称和标签。在Kubernetes中,使用。例如,如果你有一个名为。的容器,你想将镜像从。
kubernetes: Failed to pull image...rpc error: code = Canceled desc = context canceled
feiger的专栏
09-03 4万+
背景: 部署deployment服务之后,pod拉起失败, describe 显示code = Canceled desc = context canceled 分析: 1.查看harbor,排除网络问题 2.服务器上可以 docker pull ,排除image问题 3.查看pull image policy 为 IfNotPresent 排除镜像策略问题 4.查看 pod日志,code = ...
k8s集群故障问题处理
m0_37845900的博客
04-29 1725
本文章只介绍k8s pod下可能出现的故障问题 k8s node master这些问题现在给 阿里云托管所以以下不会介绍这些问题 但是会精简说一下k8s集群外部所遇到的问题 集群内部问题 1 Pod 一直处于 Pending 状态 可能的原因包括  资源不足,集群内所有的 Node 都不满足该 Pod 请求的 CPU、内存、 GPU 或者临时存储空间等资源。解决方法是删除集群内不用的 Pod 或者 增加新的 Node。  HostPort 端口已被占用,通常推荐使用 Service 对外开放服务端口
Kubernetes之Pod镜像拉取策略配置
花&败
04-15 4020
一、默认的镜像拉取策略 1.1 当镜像指定的标签是latest时,默认策略是每次都下载更新 编辑pod-imagepullpolicy.yaml文件,内容如下: apiVersion: v1 kind: Namespace metadata: name: dev --- apiVersion: v1 kind: Pod metadata: name: pod-image-pull-policy namespace: dev labels: user: redrose21.
深入理解Kubelet
Kason_iWiki
02-18 3023
文章目录kubelet架构kubelet管理pod的核心流程Kubelet节点管理Pod管理Pod启动流程kubelet启动pod的流程(细) kubelet架构 架构剖析: 最上边为API层,有自己的healthz健康检测机制,只读API暴露metrics。 子系统有ProbeManager(主要做探活,kubelet作为代理,运行在每个节点,功能有2点:a.上报节点信息,b.接收apiserver指令,控制Pod生命周期),syncLoop组件:watch apiserver,有事件发生时,需要Po
kubeletkubernetes v1.7.x版本能pull images 在 kubernetes v1.11.x的kubelet不能pull images的原因记录
纵横四海的博客
09-21 450
本文比较的kubernetes版本是 v1.7.6 v1.11.2 系统 [root@master-47-35 ~]# uname -a Linux master-47-35 3.10.0-327.4.5.el7.x86_64 #1 SMP Mon Jan 25 22:07:14 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux kuberlet 的数据目录均为/...
k8s拉取镜像失败处理 ImagePullBackOff ErrImageNeverPull
qq_45439217的博客
03-14 1万+
k8s拉取镜像失败处理
解决k8s中node拉取镜像失败问题
Free雅轩的博客
12-08 3179
在k8s集群的使用过程中,初学者可能会碰到这样的(怪异)问题: 在一个k8s集群里,部署服务(用的私有镜像仓库,如harbor)的时候,只有个别node的服务是部署成功的,其他都是部署失败的。 错误的原因就是镜像拉取失败,如下: kubectl get pods -A -owide |grep jenkins-demo devlopment jenkins-demo-67d4f9d666-2fh8k 1/1 Running 0
janitor:Kubernetes工作更清洁
05-19
Janitor是一款可清理Kubernetes集群中已完成工作的应用程序。 Docker镜像 docker pull shbekti/janitor 安装 git clone https://github.com/sbekti/janitor.git glide install go build -v 用法 janitor --in-...
kubernetes-el:Kubernetes 的 Emacs 瓷器
07-24
Kubernetes-el Kubernetes 命令行客户端的 magit 风格界面。 该项目处于早期阶段,但已实施以下项目: 实时更新 kubernetes 资源列表 ... If you want to pull in the Evil compatibility package.
git 批量pull工具
12-26
git 批量pull工具,将该工具放置项目同目录下,执行即可批量更新。
docker_pull.py
05-08
拉取下载docker镜像的脚本,不需要装docker环境,在安装了python环境且联通互联网的Windows或者Linux系统中执行: python docker_pull.py imagename(镜像名) 即可拉取镜像
kubenetes源码分析之DNS(一)
热门推荐
柳清风的专栏
04-13 7万+
kubernetes服务发现有两个机制,一个是环境变量另一个则是域名解析,而提供域名解析的正是今天要说的主题kube-dns。这篇文章我先介绍一下dns的发展历程接下来的blog会继续进行源码阅读分享。我把发展定义了三个阶段:阶段一如果使用过kubernetes 1.2的应该都会知道dns的四件套:kube2sky、etcd、skydns和exechealthz。Kube2sky通过K8S API监
kubenetes源码分析之DNS(三)
柳清风的专栏
04-14 6万+
之前做了一些基础知识,下面开始kubedns源码阅读,这个字项目的结构和kubernetes的代码结构是一样的:首先看cmd/kube-dns/dns.go,他是项目起点:func main() { config := options.NewKubeDNSConfig() config.AddFlags(pflag.CommandLine) flag.InitFlags()
kubernetes 源码分析之ingress(一)
柳清风的专栏
04-20 6万+
kubernetes的服务对外暴露通常有三种方式分别为nodeport、loadbalancer和ingress。nodeport很容易理解就是在每个主机上面启动一个服务端口暴露出去,这样弊端是造成端口浪费;loadbalancer这种方式目前只能在gce的平台跑的很好,就是在集群之外对接云平台的负载均衡;还有从kubernetes1.2出来的ingress,他是通过在计算结算启动一个软负载均衡(N
kubernetes 源码分析之ingress(三)
柳清风的专栏
04-21 5万+
经过实战了一下,用户也大概知道ingress是怎样使用的,下面接着深入讲解内部结构 上图展示了一个nginx ingress controller的部署架构图,ingress controller通过轮询监听apiserver的方式来获取ingress资源的变化,将ingress资源存储到本地缓存,并通知nginx进行相应的配置修改的加载。 ingress controller监控了ingr
docker pull拉取镜像 image
07-27
docker pull <image_name> ``` 其中 `<image_name>` 是您要拉取的镜像的名称。例如,要拉取官方的 Ubuntu 镜像,可以使用以下命令: ```shell docker pull ubuntu ``` 请注意,如果您要拉取的镜像不在本地,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值