kaniko-在k8s集群中构建容器镜像

最新推荐文章于 2024-03-13 14:04:20 发布
最新推荐文章于 2024-03-13 14:04:20 发布
阅读量4.2k 收藏 11
点赞数
文章标签: 运维 docker kubernetes java github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38320674/article/details/107650424
版权

微信公众号搜索 DevOps和k8s全栈技术 ,即可关注公众号,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家阅读参考哈~

前言

通常情况下,我们在使用dockerfile构建镜像的时候要与Docker后台进程交互访问,也就是需要本机root权限。如果是在Docker后台进程无法暴露的场景下,生成容器镜像就变得很困难。kaniko是Google开源的一个工具,可以帮助开发及运维人员从容器或Kubernetes集群内的Dockerfile构建容器镜像,而无需访问Docker守护程序。这样,您可以在容器内执行构建作业,而无需授予对主机文件系统的任何访问权限,你只需要将构建清单创建为Kubernetes批处理作业,然后使用你选择的任何CI工具将其应用于集群。该工作负责构建映像并将其上传到指定的容器注册表。

kaniko的工作方式

1.读取指定的Dockerfile

2.将基本映像(在FROM指令中指定)提取到容器文件系统中。

3.在独立的Dockerfile中分别运行每个命令

4.每次运行后都会对用户空间文件系统的做快照。

5.每次运行时,将快照层附加到基础层。

kaniko工作原理

kaniko作为一个容器镜像运行,它接受三个参数:一个 Dockerfile ,一个构建上下文以及将镜像推送到的注册表。它在执行程序镜像中提取基本镜像的文件系统。然后,在Dockerfile中执行任何命令,快照用户空间中的文件系统。Kaniko在每个命令后都会将一层已更改的文件附加到基本镜像。最后,执行程序将新镜像推送到指定的注册表。由于Kaniko在执行程序镜像的用户空间中完全执行了这些操作,因此它完全避免了在用户计算机上需要任何特权访问。



使用kaniko

Kaniko解决了在Kubernetes构建的问题,但是构建的项目、目标 registry 的认证、Dockerfile的分发,还是需要我们自己考虑。

前提条件:

1.需要一个运行的 kubernetes 集群;

安装k8s集群可参考如下:

k8s1.18多master节点高可用集群安装-超详细中文官方文档

2.需要有一个用来存储dockerfile和kubernetes资源清单yaml文件的github仓库

3.需要有一个存储docker镜像的docker hub镜像仓库

创建一个容器注册表的secret

让我们从设置容器注册表secret开始。必须通过容器注册表进行身份验证才能推送生成的映像。

将需要以下内容:

docker-server—需要在其中托管映像的Docker注册表服务器。如果使用的是Docker Hub,请使用https://index.docker.io/v1/。
docker-username — Docker注册表用户名。
docker-password — Docker注册表密码。
docker-email —在Docker注册表上配置的电子邮件。

运行以下命令,替换上面的值:

kubectl create secret docker-registry regcred --docker-server=<docker-server> --docker-username=<username> --docker-password=<password> --docker-email=<email>

通过dockerfile构建一个镜像

cat dockerfile

FROM nginx
RUN echo 'This is version 3' > /usr/share/nginx/html/index.html

cat build.yaml

apiVersion: batch/v1
kind: Job
metadata:
  name: kaniko
spec:
  template:
    spec:
      containers:
      - name: kaniko
        image: gcr.io/kaniko-project/executor:latest
        args: ["--dockerfile=Dockerfile",
               "--context=git://github.com/bharatmicrosystems/kubernetes-kaniko-nginx.git#refs/heads/master",
               "--destination=bharamicrosystems/nginx:v3"]
        volumeMounts:
        - name: kaniko-secret
          mountPath: "/kaniko/.docker"
      restartPolicy: Never
      volumes:
      - name: kaniko-secret
        secret:
          secretName: regcred
          items:
          - key: .dockerconfigjson
            path: config.json

上面的资源清单build.yaml文件是一个Job控制器。清单使用gcr.io/kaniko-project/executor:latest镜像创建一个容器,并使用以下参数运行它:

  • docker-file — dockerfile的路径。

  • context — Docker上下文。在这种情况下,我们已经指出了我们的GitHub存储库

  • destination —用于推送构建映像的Docker存储库。

此外,它还会在/kaniko/.docker目录下安装docker config JSON文件以实现docker存储库的身份验证。上面我们已经定义过了。

cat nginx-deployment.yaml

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  namespace: web
  annotations:
    fluxcd.io/automated: "true"
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 2
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: bharamicrosystems/nginx:v3
        ports:
        - containerPort: 80

上面是通过deployment部署的nginx,使用的镜像bharamicrosystems/nginx:v3就是我们在build.yaml文件中构建的镜像,将NGINX容器暴露给外部负载均衡器。

cat nginx-service.yaml

apiVersion: v1
kind: Service
metadata:
  name: nginx-service
  namespace: web
spec:
  selector:
    app: nginx
  ports:
    - port: 80
      targetPort: 80
  type: NodePort

使用Kaniko构建容器映像

kubectl apply -f build.yaml

验证是否部署成功

kubectl get pod

显示如下说明部署成功:

NAME           READY   STATUS    RESTARTS   AGE
kaniko-jztf6   1/1     Running   0          66s

查看对应的pod日志,输出如下

kubectl logs kaniko-jztf6 -f



E0523 15:36:17.247145       1 aws_credentials.go:77] while getting AWS credentials NoCredentialProviders: no valid providers in chain. Deprecated.
        For verbose messaging see aws.Config.CredentialsChainVerboseErrors
INFO[0001] Retrieving image manifest nginx
INFO[0001] Retrieving image manifest nginx
INFO[0002] Built cross stage deps: map[]
INFO[0002] Retrieving image manifest nginx
INFO[0002] Retrieving image manifest nginx
INFO[0003] Executing 0 build triggers
INFO[0003] Unpacking rootfs as cmd RUN echo 'This is version 3' > /usr/share/nginx/html/index.html requires it.
INFO[0005] RUN echo 'This is version 3' > /usr/share/nginx/html/index.html
INFO[0005] Taking snapshot of full filesystem...
INFO[0007] Resolving 5400 paths
INFO[0008] cmd: /bin/sh
INFO[0008] args: [-c echo 'This is version 3' > /usr/share/nginx/html/index.html]
INFO[0008] Running: [/bin/sh -c echo 'This is version 3' > /usr/share/nginx/html/index.html]
INFO[0008] Taking snapshot of full filesystem...
INFO[0008] Resolving 5400 paths

通过kubectl更新nginx-deployment.yaml和nginx-service.yaml

kubectl apply -f nginx-service.yaml

kubectl apply -f nginx-service.yaml

Kaniko一些构建参数

与其他工具的比较

与kaniko相似的工具包括img和orca-build。像kaniko一样,这两个工具都可以从Dockerfiles构建容器映像,但是具有不同的方法和安全性的取舍。img工具在容器中以非特权用户身份构建,而kaniko在容器中以非特权用户身份以root用户身份构建。orca-build工具通过包装runc来执行构建,该runc使用内核命名间隔技术执行RUN命令。通过在容器中以root用户身份执行命令,我们可以在kaniko中完成相同的任务。

往期精彩文章

kubernetes全栈技术+企业案例演示【带你快速掌握和使用k8s】

kubernetes面试题汇总

DevOps视频和资料免费领取

kubernetes技术分享-可用于企业内部培训

谈谈我的IT发展之路

kubernetes系列文章第一篇-k8s基本介绍

kubernetes系列文章第二篇-kubectl

了解pod和pod的生命周期-这一篇文章就够了

Kubernetes中部署MySQL高可用集群

Prometheus+Grafana+Alertmanager搭建全方位的监控告警系统-超详细文档

k8s1.18多master节点高可用集群安装-超详细中文官方文档

k8s中蓝绿部署、金丝雀发布、滚动更新汇总

运维常见问题汇总-tomcat篇

关于linux内核参数的调优,你需要知道

kubernetes持久化存储volume

kubernetes挂载ceph rbd和cephfs

报警神器Alertmanager发送报警到多个渠道

jenkins+kubernetes+harbor+gitlab构建企业级devops平台

kubernetes网络插件-flannel篇

kubernetes网络插件-calico篇

kubernetes认证、授权、准入控制

限制不同的用户操作k8s资源

面试真题&技术资料免费领取-覆盖面超全~

Prometheus监控MySQL

Prometheus监控Nginx

Prometheus监控Tomcat

linux面试题汇总

测试通过storageclass动态生成pv

通过编写k8s的资源清单yaml文件部署gitlab服务

helm安装和使用-通过helm部署k8s应用

Prometheus Operator-上篇-安装和使用篇

Prometheus Operator-下篇

通过kubeconfig登陆k8s的dashboard ui界面

通过token令牌登陆k8s dashboard ui界面 

kubernetes集群的etcd数据库详细介绍

Linux网络流量监控工具

kubernetes搭建EFK日志管理系统

prometheus operator监控k8s集群之外的haproxy组件         

kubernetes ConfigMap存储卷                           

技术交流群

学无止境,了解更多关于kubernetes/docker/devops/openstack/openshift/linux/IaaS/PaaS相关内容,想要获取更多资料和免费视频,可按如下方式进入技术交流群

                               扫码加群????

微信:luckylucky421302

微信公众号

                                     长按指纹关注公众号????


                                       点击在看少个 bug????

韩先超
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
k8s集群下canal-server的伪高可用实践
01-07
k8s集群下canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会造成ip地址的变动给我们带来了一些问题,我们通过在创建canal-server的时候使用statefuset类型,使其可以通过固定的域名去向canal-admin注册,从而保证了canal-server的连接地址的稳定不变。本文将利用容器异常自动重启这个特性,搭建一个anal-server的伪高可用版本。 问题 在使用server的默认配置时
k8s部署prometheus的镜像
最新发布
03-23
k8s部署prometheus的镜像
基于 K8s 容器集群的容灾架构与方案
阿里巴巴云原生的博客
03-13 1071
本文介绍如何以 K8s 集群(包括:ACK 集群,他云集群和本地 IDC K8s 集群)为基础,结合阿里云云产品(网络,数据库,间件,可观测),设计容灾架构,构建一个“韧性”系统。
云原生-浏览器操作-centos7系统-镜像构建-k8s集群部署
07-03
本文用于通过Dockerfile构建一个内置vnc及novnc转发的部署后可以直接由浏览器操作centos7系统(理论上可以换成ubuntu操作系统)的镜像,并提供了云原生k8s集群环境下的部署使用文档。 本文适用于构建镜像提供给linux系统初学者使用
Kind工具-快速构建K8s集群
01-25
1、Kind工具, 2、快速构建K8s集群, 3、mac可用。
实战-在k8s平台部署个人博客
06-04
实战-在k8s平台部署个人博客
容器镜像构建工具kaniko介绍及基本使用(GoogleContainerTools/kaniko
学亮编程手记
07-14 5300
GoogleContainerTools/kaniko是什么?gcr.io/kaniko-project/executor:latestgcr.io/kaniko-project/executor:debug - 包含 shell参考专注于在 Kubernetes 构建镜像 dockerhub https://github.com/GoogleContainerTools/kaniko/issues/1209 参数 Additional Flags FAQ 性能问题 https://github
kubernetes【工具】kaniko【1】【介绍】-无特权构建镜像
爱死亡机器人
12-01 2371
什么是kaniko kaniko 是一种在容器Kubernetes 集群内从 Dockerfile 构建容器镜像的工具。 kaniko 不依赖于 Docker 守护进程,而是完全在用户空间执行 Dockerfile 的每个命令。这使得在无法轻松或安全地运行 Docker 守护程序的环境构建容器镜像成为可能,例如标准的 Kubernetes 集群镜像:gcr.io/kaniko-project/executor. 我们不建议在另一个映像运行 kaniko 执行程序二进制文件,因为它可能不起作.
Ansible一键部署高可用Kubernetes集群
ITRugod的博客
11-28 1040
声明:这是我在大学毕业后进入第一家互联网公司学习的内容 准备 前置要求与约定 集群会使用到的端口号。 各服务器时间与时区需一致,集群内服务器间时间差值不能大于1秒。 文档以 4 个 CentOS 7.4 系统服务器安装高可用 Kubernetes 集群进行讲解。 按照本文档安装 Kubernetes 集群时,Ansible 脚本会将服务器上防火墙关闭,请使用安全组进行网络权限控制。 Master(s) 服务器为 Kubernetes 控制服务器;Worker(s) 服务器为 Kube.
Failed to create SubnetManager: error retrieving pod spec for ‘kube-system/kube-flannel-ds-amd64-xxx
liangkaiping0525的博客
12-16 3139
【代码】Failed to create SubnetManager: error retrieving pod spec for 'kube-system/kube-flannel-ds-amd64-xxx。
kubernetes1.16 错误排查
热门推荐
运维Carl的博客
12-08 1万+
目录一.环境说明1.使用kubectl get node命令,查看集群的状态。2.到node节点查看组件的状态3.于是我查看master节点的apiserver日志4.查看etcd集群的健康状态,并检查192.168.1.123节点上的etcd服务是否正常;5.问题猜测,并尝试解决6.再次查看K8S节点,已恢复正常,并查看etcd集群健康状态,已正常; 一.环境说明 一.环境说明 操作系统:cen...
利用Kaniko构建容器镜像
Docker的专栏
09-13 2058
本系列文章一共6篇,本文是该系列的第4篇文章,前3篇文章如下:《未来我们如何构建容器镜像?》《利用Podman和Buildah构建容器镜像》《利用Img构建容器镜像》本期我们来聊一聊一个...
hive with tez:无法从链的任何提供者加载aws凭据
渡江客涂鸦板
09-19 1904
hive with tez:无法从链的任何提供者加载aws凭据
云端IDE系列教程7:解决 WeTTY 在 Ubuntu 非 root 用户不能运行的问题
weixin_44592002的博客
02-28 366
上一期在使用官方容器镜像快速成功地在 TitanIDE 运行起来了 WeTTY,但是不适合开发人员使用,而我自己编译构建出来的容器镜像无法直接运行指定的应用(/bin/bash 或 /bin/zsh),本来在 WeTTY的开源项目下面提了 issue,但貌似没有得到响应,如果能在一个小时左右快速解决问题,折腾 WeTTY 这个开源软件对我来说是有价值的。
Kaniko在containerd无特权快速构建并推送容器镜像
一个标题
08-24 760
containerd上基于dockerfile无特权构建镜像打包工具kaniko
K8s(6)——kubernetes之Pod通信以及ingress部署
Ghost_0110
02-24 810
文章目录前言1、 前言 1、
K8S系列:创建本地容器镜像、运行本地容器镜像
NIO4444
09-05 859
d 标志容器与命令行分离本机上的8090端口会被映射到容器内的8080端口。
docker:创建自己的镜像(五)
一直在路上的求知人。
01-05 221
首先,在https://hub.docker.com上注册自己的帐号,例如帐号是(test_a),留着后台上传自己的镜像至hub时用。 创建自己的Dockerfile 示例: vim Dockerfile 写一个很简单的内容: FROM centos ADD jdk-8u191-linux-x64.tar.gz /usr/local/ 复制centos镜像,将与Dockerfile文件相同...
k8s集群更改容器镜像
04-05
可以通过以下步骤在Kubernetes集群更改容器镜像: 1. 通过 `kubectl get pods` 命令查看正在运行的Pod列表。 2. 找到需要更改镜像的Pod,通过 `kubectl describe pod <pod-name>` 命令查看该Pod的详细信息。 3. 在Pod的详细信息找到需要更改镜像容器的名称。 4. 通过 `kubectl set image <pod-name> <container-name>=<new-image>` 命令更改容器镜像。例如,如果要将名为 `my-container` 的容器镜像更改为 `nginx:latest`,则可以运行以下命令:`kubectl set image my-pod my-container=nginx:latest` 5. 使用 `kubectl get pods` 命令确认Pod是否已经更新为新的容器镜像

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韩先超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值