docker pull 私有_避坑:Kubernetes中pull私有镜像

最新推荐文章于 2024-06-13 20:38:03 发布
最新推荐文章于 2024-06-13 20:38:03 发布
阅读量961 收藏 1
点赞数 1
文章标签: docker pull 私有 docker pull下载很慢

95e5fe95a0f2e4335571cc3bee5e1eb7.gif

Kubernetes在自动pull私有镜像时,经常出现问题,导致ImagePullBackOff。查看kubectl describe pod ...,还经常发现这类错误:

Failed create pod sandbox: rpc error: code = Unknown desc = failed pulling image ...Error response from daemon: pull access denied for ...repository does not exist or may require 'docker login'

这是因为没有正确配置pull权限所致。

~/.docker/config.json无效

首先,不要寄望于~/.docker/config.json。与Docker Swarm不同,Kubernetes不会使用这里的配置来pull。

当然,用docker login测试过账户、密码、Registry、镜像均无误后,再走下一步,是更好的选择。

使用imagePullSecrets

通过创建docker-registry类的secrets,可以实现类似docker login的功能。

kubectl create secret docker-registry regcred \    --docker-server= \    --docker-username= \    --docker-password= \    --docker-email=

其中,server、username和password都是必填项,email可以不填。

在使用时,把imagePullSecrets添加到Pod配置中。

apiVersion: v1kind: Podmetadata:  name: private-regspec:  containers:  - name: private-reg-container    image: your-private-image  imagePullSecrets:  - name: regcred

其中,regcred为secrets名称,可随意指定。

注意Namespace

即使创建了secrets、配置了imagePullSecrets,有时仍然无法pull镜像。比如Calico的相关镜像,如果被同步到了本地一个私有Registry中,一般配置时无效的。

这是因为,Calico属于系统Network组件,Namespace是kube-system。而一般创建的secrets,属于default。通过以下命令可以查看特定secrets的详细信息。

# kubectl get secret regcred -o yamlapiVersion: v1data:  .dockerconfigjson: eyJhdXRocyI6eyJodHRwOi8vaGFyYm9yLnR1cmluZy1jaS5oaXNpbGljb24uY29tIjp7IlVzZXJuYW1lIjoiY2hyaXN0b3BoZXIiLCJQYXNzd29yZCI6IlFpZGRZYWZkQmF2YTYjIiwiRW1haWwiOiJ5MDA0NDU0ODBAbm90ZXNtYWlsLmh1YXdlaS5jb20ifX19kind: Secretmetadata:  creationTimestamp: "2019-01-10T08:51:03Z"  name: regcrednamespace: default  resourceVersion: "100110"  selfLink: /api/v1/namespaces/default/secrets/regcred  uid: dc96580b-14b4-11e9-9f81-e435c87f8d90type: kubernetes.io/dockerconfigjson

在创建secrets时需要指定Namespace:

kubectl --namespace kube-system \    create secret docker-registry regcred \    --docker-server= \    --docker-username= \    --docker-password= \    --docker-email=

不同Namespace,secrets可以同名,所以仍然可以叫regcred。

注意:或者,在secrets创建后可以修改一些内容:

kubectl edit secret regcred --namespace=kube-system

但不能修改Namespace。所以,必须在创建时准确指定。

用patch避免设置imagePullSecrets

每个私有镜像在使用前,都需要设置imagePullSecrets,这是一件非常繁琐的事。在迁移服务时,它能有效地提醒secrets的迁移。这是一个优点,但能被良好的迁移文档所解决。

用patch可以避免这么繁琐。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "regcred"}]}'

这相当于,在default这个Namespace中的所有镜像pull操作,都自动具备了regcred这个账户密码。

终于,和docker login一样了。

注意:这里的示例只针对default这个Namespace。其它的Namespace需要一一执行patch。某些场景下,比如网络组件Calico,似乎只能老老实实地写imagePullSecrets。

对k8s系统镜像无效

系统镜像中,kube-proxy、pause是在所有Slave节点都需要使用的。如果这些系统镜像被设为私有,则无法下载。以上方法无效,原因不明。

所以,k8s系统镜像,即使同步到了本地Registry,也不要设为私有。

参考

  • Pull an Image from a Private Registry - Kubernetes

  • Images - Kubernetes

  • Secrets - Kubernetes

  • Namespaces - Kubernetes

  • kubernetes does not pull images from private repositories

  • k8s v1.8.13 拉取私有镜像仓库镜像失败问题处理笔记 | ky.yang

作者:匿蟒

原文:https://note.qidong.name/2019/01/pull-private-images-in-k8s/

--end--

K8S培训推荐

Kubernetes线下实战培训,采用3+1+1新的培训模式(3天线下实战培训,1年内可免费再次参加,每期前10名报名,可免费参加价值3600元的线上直播班;),资深一线讲师,实操环境实践,现场答疑互动,培训内容覆盖:Kubernetes集群搭建、Kubernetes设计、Pod、常用对象操作,Kuberentes调度系统、QoS、Helm、网络、存储、CI/CD、日志监控等。点击查看更多课程信息!

北京:7月26-28日,上海:8月2-4日,深圳:8月2-4日,成都:8月16-18日

922e28026fa02399dbda29d5885c9be2.gif

bc32ab9484bf8206bdff46442d955062.png

推荐阅读

  • 微服务需要拆分到什么程度?

  • Kubernetes 源码分析-亲和性调度

  • 搞搞 Prometheus: Alertmanager

  • 人均年薪80万以上,Docker 入坑不亏?

  • 你好spring-cloud-kubernetes开源项目

  • 超炫酷的Docker终端UI,想看哪里点哪里

  • Kubernetes五周年快乐!

  • KubeCon 2019 PPT下载

  • 容器十年,一部软件交付编年史

  • 使用 kubeadm 安装最新 Kubernetes 1.15 版本

  • 2019年已过半,精选往期 Kubernetes 干货文章

  • 50个你必须了解的Kubernetes面试问题

  • Promethues监控从VM迁移K8S实录

weixin_39626745
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 使用 ssh 和 secret 指南
SinkRain
11-01 1280
Docker 使用 ssh 和 secret 文章目录Docker 使用 ssh 和 secretbuildkit使用 buildkitDockerfile syntax安全的使用凭据secretssh常见错误参考 buildkit BuildKit 在 Docker build 的基础上进行了一些 性能、存储管理、特性功能和安全方面的改进 –secret: 允许以 secret 的形式将一些敏感的信息注入到 docker build 的过程,但该信息不回遗留在构建的 image –ssh: 允许将
k8s 怎么手动拉取docker镜像
牛肉胡辣汤
03-12 985
Docker是一种开源的容器化平台,通过使用容器化技术,可以更轻松、高效地打包、交付和运行应用程序。容器是一种类似于虚拟机的技术,但相比虚拟机更轻量级,更快速启动和运行,使得应用程序之间能够在隔离的环境运行,互不影响。通过以上步骤,我们成功地手动拉取了Docker镜像并将其推送到Kubernetes集群,从而为Kubernetes应用程序提供了所需的容器运行环境。这种手动操作适用于调试、测试或特定需求下的情况,希望本文能帮助您顺利完成Docker镜像的拉取和推送操作。
解决docker pull无法拉取镜像的问题(配置代理)
最新发布
m0_52084210的博客
06-13 1612
配置代理来解决doker pull拉取镜像的问题
docker & k8s
qq_15098623的博客
07-15 1万+
docker到底与一般的虚拟机有什么不同呢?我们知道一般的linux系统即包括两个部分,,而centos就是众多GNU/Linux系统的一个。虚拟机会在宿主机上虚拟出一个完整的操作系统与宿主机完全隔离,是一个重量级的系统,而doker利用linux系统的namespace等特性+自己的GNU外壳虚拟出一个轻量级的linux系统,也能实现与宿主机的隔离。所以,我们使用docker pull下来的操作系统例如centos pull下来的只有GNU外壳,不包含linux内核,所以体积很小。
Docker 命令 & K8S 共享卷
Think In JAVA—Max
02-26 1294
因为容器是镜像的运行实例,如果有任何一个容器在使用某个镜像,那么该镜像就会被认为是被“占用”的,Docker 不会允许删除被使用的镜像。容器的创建是基于镜像的,镜像提供了容器运行所需的一切环境和依赖。如果希望不同的 Pod 的容器之间共享数据,可以考虑使用网络存储(如 NFS、GlusterFS、Ceph 等)或者对象存储(如 AWS S3、Google Cloud Storage 等)来实现数据的共享。在 Pod 的 YAML 文件定义两个容器,并在配置容器挂载共享卷(共享的文件地址)。
kubernetes制作image-pull-secret拉取私有镜像以及docker镜像批量tag和push脚本
rendongxingzhe的博客
04-23 1643
kubernetes制作image-pull-secret拉取私有镜像以及docker镜像批量tag和push脚本
CentOS7.2服务器上搭建Docker私有镜像仓库操作示例
01-20
本文实例讲述了CentOS7.2服务器上搭建Docker私有镜像仓库操作。分享给大家供大家参考,具体如下: 鉴于国内pull镜像的速度较慢,很有必要搭建docker私有或者本地镜像仓库。 安装docker # yum -y install docker #...
docker创建私有镜像仓库搭建教程
01-10
$ docker pull registry 也可以进行镜像导入的方法进行离线的安装。可以去我的网盘下载:https://pan.baidu.com/s/1jHZlz2u 然后进入Docker进行导入 $ docker load -i registry.tar 下载完之后我们通过该...
docker pull镜像速度慢的问题解决方法
01-10
私有镜像仍需要从美国镜像拉取。 您可以使用以下命令直接从该镜像加速地址进行拉取: $ docker pull registry.docker-cn.com/myname/myrepo:mytag 例如: $ docker pull registry.docker-...
详解CentOS 7 : Docker私有仓库搭建和使用
01-20
系统环境: CentOS 7.2 ...docker pull registry 防火墙添加运行5000端口 iptables -I INPUT 1 -p tcp --dport 5000 -j ACCEPT 下载完之后我们通过该镜像启动一个容器 代码如下: docker run -d -p 500
Docker Registry搭建私有镜像仓库的实现方法
01-20
微服务的镜像会上传到Docker仓库保存,常用的公网Docker仓库有阿里云,网易云等,在企业局域网也可以搭建自己的Docker私有仓库,本教程使用Docker提供的私有仓库registry。 1.拉取私有仓库镜像 docker pull ...
Kubernetes k8s拉取镜像失败最简单最快最完美解决方法 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver
热门推荐
weixin_43168190的博客
07-09 6万+
问题 由于国内网络原因,kubeadm init会卡住不动,一卡就是半个小时,然后报出这种问题: [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver:v1.18.5: output: Error response from daemon: Get https://k8s.gcr.io/v2/: net/http: request canceled while waiting for connection (Client.Time
k8s拉取镜像失败处理 ImagePullBackOff ErrImageNeverPull
qq_45439217的博客
03-14 2万+
k8s拉取镜像失败处理
k8s-kubectl命令
qq_37499012的博客
02-20 521
●NodePort:在每个Node.上打开一个端口以供外部访问,Kubernetes将会在每个Node.上打开一个端口并且每个Node的端口都是一样的,通过NodeIP:NodePort的方式Kubernetes集群外部的程序可以访问Service。(2)监控更新的过程,可以看到已经新增了一个资源,但是并未按照预期的状态去删除一个旧的资源, 就是因为使用了pause暂停命令。//处于动态监听pod状态,由于使用的是滚动更新方式,所以会先生成–个新的pod,然后删除–个旧的pod,往后依次类推。
k8s pod 镜像拉取策略
岳来的博客
04-28 2051
k8s pod 镜像拉取策略
Kubernetes - 如何利用 K8S 拉取私有仓库镜像
牧码的博客
02-04 1987
Kubernetes - 如何利用 K8S 拉取私有仓库镜像
k8s命令
m0_60072944的博客
12-20 1642
kubernetes 文章目录kubernetesk8s的pod分类自主式pod控制器管理的pod核心组键HPAservicekubectl命令creategetexposedeleteruneditscaleautoscalecluster-infodraindescribelogsattachexecport-forwardcplabelapi-resourcesapr-versions k8s的pod分类 pod分为两类:自主式pod与控制器管理的pod 自主式pod由k8s管理器进行管理,而stat
一文告诉你 K8s PR (Pull Request) 怎样才能被 merge?
腾源会
09-27 584
作者:腾讯云云巢团队研发工程师 王成| 导语Pull Request 本质上是一种软件的合作方式,它是将涉及不同功能的代码,纳入主干的一种流程。这个过程,可以进行讨论、审核和修改代码。...
Failed to create pod sandbox: rpc error: code = Unknown desc = [failed to set up sandbox container “
weixin_45053774的博客
05-17 8031
【代码】Failed to create pod sandbox: rpc error: code = Unknown desc = [failed to set up sandbox container “
docker pull 私有仓库
06-06
要从私有 Docker 仓库拉取镜像,可以使用以下命令: ...登录成功后,就可以使用 `docker pull` 命令拉取私有仓库镜像了。如果拉取不成功,可以检查登录信息是否正确,以及是否有拉取镜像的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值