Kubernetes使用Harbor作为私有镜像仓库

最新推荐文章于 2024-05-13 10:35:12 发布
最新推荐文章于 2024-05-13 10:35:12 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: k8s 文章标签: secret harbor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wfs1994/article/details/86547225
版权

概述

Harbor使用了基于角色的访问控制策略,当从Harbor中拉去镜像的时候,首先要进行身份认证,认证通过后才可以拉取镜像。在命令行模式下,需要先执行docker login,登陆成功后,才可以docker pull。通常情况下,在私有云环境中使用kubernetes时,我们要从docker registry拉取镜像的时候,都会给docker daemo配置–insecure-registry属性来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,但是如果要使用Harbor作为kubernetes的镜像仓库的话,这种方式就不适用了,下面让我们看看如何来使用Harbor作为kubernetes的镜像仓库。

测试

首先在docker login成功登录的情况下,不做其他任何配置看k8s能否从Harbor私有仓库拉取镜像:
以coredns为例:将本地的coredns:1.2.6镜像上传到harbor私有仓库,删除本地reg.harbor.com/k8s/coredns:1.2.6镜像,确保镜像会从私有仓库拉取。

docker login -u admin -p Harbor12345 reg.harbor.com
docker tag coredns/coredns:1.2.6 reg.harbor.com/k8s/coredns:1.2.6
docker push reg.harbor.com/k8s/coredns:1.2.6
docker rmi reg.harbor.com/k8s/coredns:1.2.6

修改coredns.yaml配置文件image: reg.harbor.com/k8s/coredns:1.2.6
启动:

# kubectl -n kube-system get pod
NAME                                    READY   STATUS         RESTARTS   AGE
coredns-78b7cdf8ff-qtb8t                0/1     ErrImagePull   0          5s

describe查看报错:

Failed to pull image "reg.harbor.com/k8s/coredns:1.2.6": rpc error: code = Unknown desc = Error response from daemon: pull access denied for reg.harbor.com/k8s/coredns, repository does not exist or may require 'docker login'

镜像拉取失败。

实现探索

我们在命令行方式下,输入docker login登陆成功后,会在/root/.docker/目前下生成一个config.json文件。打开后可以看到如下的内容:

# cat /root/.docker/config.json 
{
		"auths": {
				"reg.harbor.com": {
						"auth": "YWRtaW46SGFyYm9yMTIzNDU="
				}
		},
		"HttpHeaders": {
				"User-Agent": "Docker-Client/18.09.0 (linux)"
		}
}

这里的内容就是docker daemon用来与docker registry进行认证的,其中,reg.harbor.com是docker registry server的地址,auth部分是加密后的认证信息,当输入命令docker pull的时候,docker daemon会获取该文件中的信息,并将auth部分的信息携带在请求的头部向docker registry server发送请求,docker registry server对请求认证通过后,就可以开始拉取镜像了。

那么如何使kubernetes通过docker registry的认证来获取镜像呢?
Harbor与K8s的集成,一个核心概念是k8s的secret。作为kubernetes中一个重要的资源secret,它的设计初衷是为了解决容器在访问外部网络或外部资源时验证的问题,例如访问一个Git仓库,连接一个数据库,设置一些密码配置等,需要额外验证的场景Secret存储了敏感数据,例如能允许容器接受请求的权限令牌。通过将Harbor的用户信息与K8s的Secret相关联,即达成了两者的集成。

步骤: 首先在Harbor中创建创建用户,项目,将项目设置为私有,将创建的用户加入到项目中,设置用户的角色为开发者或者为项目管理员。确保该账户具有拉取该仓库镜像的权限。然后创建K8s下的Secret,其中secret中的用户名、密码和邮箱地址信息为在Harbor中创建的用户的信息

使用Harbor私库中的镜像在K8s的Namespace中部署应用,指定镜像下载时使用上面创建的Secret如果只需要能够拉取Harbor的镜像在K8s中部署应用,Harbor中的userD需要在项目中有最低权限的访客成员角色。

imagePullSecret在K8s中用来保存镜像仓库的认证信息,以方便Kubelet在启动Pod时,能够获得镜像仓库的认证信息,确保能Kubelet够有权限从镜像仓库中下载Pod所需的镜像。
创建k8s中的ImagePull类型的Secret:https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod

实践

创建Secret:

# kubectl create secret docker-registry registry-secret \
	--namespace=kube-system \
	--docker-server=reg.harbor.com \
	--docker-username=admin \
	--docker-password=Harbor12345

# kubectl edit secret  registry-secret -n kube-system

引用Secret:

# vim coredns.yaml
  ....
  containers:
  - name: coredns
    image: reg.harbor.com/k8s/coredns:1.2.6
    imagePullPolicy: IfNotPresent
  ....
  imagePullSecrets:
  - name: registry-secret

再次启动测试:

# kubectl apply -f coredns.yaml

# kubectl -n kube-system get pod                     
NAME                                    READY   STATUS    RESTARTS   AGE
coredns-cf4db5d8c-hfc7g                 1/1     Running   0          2m48s

Harbor提供了基于角色的访问控制机制,并通过项目来对镜像进行组织和访问权限的控制。kubernetes中通过namespace来对资源进行隔离,在企业级应用场景中,通过将两者进行结合可以有效将kubernetes使用的镜像资源进行管理和访问控制,增强镜像使用的安全性。尤其是在多租户场景下,可以通过租户、namespace和项目相结合的方式来实现对多租户镜像资源的管理和访问控制。

参考链接

https://www.kubernetes.org.cn/164.html
https://www.kubernetes.org.cn/1738.html

wfs1994
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Harbor私有仓库的搭建及使用
Micky_Yang的博客
09-01 2240
一、Harbor简介   Harbor是一个用于存储和分发Docker镜像的企业级Registry的服务器镜像仓库,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry...
使用Harbor配置Kubernetes私有镜像仓库
u014389734的博客
04-14 250
Harbor使用了基于角色的访问控制策略,当从Harbor中拉去镜像的时候,首先要进行身份认证,认证通过后才可以拉取镜像。在命令行模式下,需要先执行docker login,登陆成功后,才可以docker pull。 通常情况下,在私有云环境中使用kubernetes时,我们要从docker registry拉取镜像的时候,都会给docker daemo配置–insecure-registry...
Harbor配合K8S使用
最新发布
ningkaicoo的博客
05-13 1023
Harbor是一个开源的可信云原生仓库项目,用于对内容进行存储、签名和扫描。通过增加用户经常需要的功能,例如安全、身份验证和管理,Harbor 扩展了开源的 Docker Distribution。Harbor 使用 HTTP 和 HTTPS 为仓库请求提供服务。 KubeSphere 是在 Kubernetes 之上构建的以应用为中心的多租户容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。KubeSphere 提供了运维友好的向导式操作界面,帮助企业快速构建一个强大和功
k8s---建立harbor私有仓库
lijua9794的博客
09-10 306
[root@server7 ~]# yum install -y * [root@server7 ~]# ls containerd.io-1.2.13-3.2.el7.x86_64.rpm docker-ce-cli-19.03.12-3.el7.x86_64.rpm container-selinux-2.77-1.el7.noarch.rpm docker-compose-Linux-x86_64-1.27.0 docker-ce-19.03.12-3.el7.x86_64.rpm h
kuberntes 使用harbor最为镜像仓库配置
m0_37504101的博客
10-24 2578
kubernetes 使用harbor仓库最为私有镜像仓库的配置
Kubernetes安装镜像仓库harbor
邢宁
03-08 1100
前言 harbor是vmware开源的企业级镜像仓库,目前是CNCF的毕业项目。它拥有完整的仓库管理、镜像管理、基于角色的权限控制、镜像安全扫描集成、镜像签名等。 1、使用helm下载harbor helm repo add harbor https://helm.goharbor.io helm fetch harbor/harbor --untar #创建harbor namespace kubectl create ns harbor 2、修改harbor配置 vim harbor/val
harbor-2.1.zip
12-15
方便从GitHub下载慢的同学下载,Harbor是一个开源的镜像仓库.Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也...
docker私有仓库搭建教程.docx
12-23
1. 安全性:使用公共的镜像仓库可能会存在安全风险,搭建私有仓库可以确保镜像资源的安全。 2. 效率性:私有仓库可以提供更快的镜像资源访问速度,提高企业内部的容器化技术效率。 二、Harbor 介绍 Harbor 是一个...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
7. **使用可信的镜像仓库**:确保从安全的、签名的镜像仓库拉取镜像,如使用私有Harbor仓库,或者配置Mirroring策略。 8. **镜像扫描**:定期扫描容器镜像,检测潜在的漏洞和恶意软件。 **五、密钥与敏感信息管理*...
harbor-offline-installer-v2.0.0.tgz
07-23
Docker私有镜像仓库Harbor-v2.0.0安装,harbor-v2.0.0安装包。Harbor是一个开放源代码注册中心,可通过策略和基于角色的访问控制来保护工件,确保扫描图像并消除漏洞,并将图像签名为受信任的。Harbor是CNCF毕业的...
使用Harbor构建docker私有仓库
Wan_JF的博客
12-03 1371
目录 引言 一、Harbor的概述 1、Harbor的优势 2、Docker私有仓库架构 3、Harbor 配置文件以及相关参数 二、使用Harbor构建docker私有仓库 1、构建私有仓库的环境和需求 2、安装docker-compose,并设置权限 3、安装harbor-offline-installer-v1.2.2 4、配置Harbo参数文件 5、启动Harbor 6、查看Harbor启动镜像和容器 7、在UI界面创建项目 8、在本地测试仓库功能 9、在客户端上,上传
Kubernetes】第十四篇 - docker 私有镜像仓库 harbor 安装和使用
BraveWangDev
03-01 553
上一篇,介绍了 k8s 服务探针的实现;本篇,介绍 docker 私有镜像仓库的安装和使用镜像库是一个用于集中存放docker 镜像文件的文件服务;镜像库在 CI/CD 中,又称为制品库;构建后的产物称为制品,制品需要放入制品库中进行管理;常用的 docker 镜像平台有 Nexus、Jfrog 和 Harbor 等对象存储平台;
基于kubernetes1.11安装Harbor私有镜像库(一)
moxiaomomo的专栏
10-21 552
1.简介 本文主要记录基于kubernetes1.11版本安装harbor私有镜像库,及配置nginx, traefik的代理及https相关过程。此处harbor采用共享存储(GlusterFS)作为镜像的存储系统。本节首先说明如何在Centos7上安装规模为三个节点的GlusterFS集群。 2.安装共享存储(GlusterFS) 节点准备 节点IP 节点Hostname 角色 ...
K8s集群使用容器镜像仓库Harbor
weixin_54720351的博客
03-29 2170
如果每次编写yaml文件都需要添加imagePullSecrets这2行配置,有点麻烦, 有没有在不需要添加这2行配置就可以实现下载harbor仓库里面的镜像呢?答案是有的,可以把secret配置到serviceAccount中即可。补充: serviceAccount可以实现不同namespace下载镜像使用访问harbor账号的不同。docker-compose down停止harbor,修改后再启动。使用阿里云开源软件镜像站。
K8S集群配置使用私有镜像仓库Harbor
天山飞客的博客
05-27 4639
当我们需要搭建私有化集群时,由于业务需要可能需要搭建私有镜像仓库,以下是k8s部署pod时使用私有harbor的配置方法,亲测有效! 1、在每台服务器上配置harbor的地址,修改或创建/etc/docker/daemon.json文件,加入以下配置: [user@ubuntu ~]$ cat /etc/docker/daemon.json { "insecure-registries":["192.168.1.3:9031"] } // 192.168.1.3:9031 即为harbor的地址
K8s如何从私有Harbor中拉取镜像并完成部署
哈利路亚的收藏夹
07-21 3652
对k8s进行扫盲,然后提供了前后台部署的yaml文件模板
K8S复习(五):搭建K8S本地 harbor 仓库
weixin_49205998的博客
05-15 4352
写在前面: 在工作中,我们可能没有几乎使用外网拉取镜像,为了使实验环境尽量真实,我将在本篇博文中搭建 harbor 仓库来模仿工作环境 1、添加 yum 源,安装 docker [root@server4 yum.repos.d]# vim docker.repo [docker] name=docker-ce baseurl=https://mirrors.aliyun.com/docker-ce/linux/centos/7/x86_64/stable/ gpgcheck=0 [extras]
快速入门Kubernetes(K8S)——部署Harbor(企业级Docker的私有仓库
大数据记录
12-05 6386
         上篇文章给大家介绍了k8s以及集群的安装(快速入门Kubernetes(K8S)——介绍及安装),本篇文章主要讲解Harbor以及 部署私有Harbor仓库。 一、 Harbor是什么          第一次听到这个名字应该是2016年初的时候,那是在容器技术已经兴起的,各个容器管理平台正处于群雄逐鹿的时候,mesos、ku
Harbor私有镜像仓库
08-26
Harbor私有镜像仓库是用于保存项目、企业或平台内部经常使用镜像或自定义的镜像的本地私有镜像仓库。它可以被用于给Docker或Kubernetes使用。要部署Harbor服务,可以通过下载或上传Harbor安装程序来实现。可以从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值