kuernetes集群中,pod拉取私有镜像仓库(harbor)中的镜像的方法

1 背景说明

本文介绍在k8s集群中,pod在启动时通过私有镜像仓库(harbor)拉取镜像的方法。

2 实现方法

  • 配置镜像仓库项目为公开类型(任何人可以访问)
  • 配置、使用docker-registry类型的secret获取镜像仓库认证

3 具体实现

3.1 配置镜像仓库项目为公开类型(任何人可以访问)

在harbor中,设置项目的访问级别为公开

备注:pod启动时,可以拉取该项目仓库下的镜像

3.2 配置、使用docker-registry类型的secret获取镜像仓库凭证

3.2.1 配置secret

3.2.1.1 通过账户名、密码创建secret

kubectl create secret docker-registry harborkey \
--docker-server=172.20.59.190:81 \
--docker-username=admin \
--docker-password=Harbor12345

3.2.1.2 通过docker凭证文件来创建secret

通过docker login登录,本地生成凭证配置文件config.json

docker login -uadmin -pHarbor12345 172.20.59.190:81

查看生成的认证文件(一般路径为/root/.docker/config.json)

ls -l /root/.docker/config.json

查看文件内容

[[email protected] ~]# cat /root/.docker/config.json 
{
	"auths": {
		"172.20.59.190:81": {
			"auth": "YWRtaW46SGFyYm9yMTIzNDU="
		}
	},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.13 (linux)"
	}
}[[email protected] ~]#

基于该凭证文件创建secret

kubectl create secret generic harborkey \
    --from-file=.dockerconfigjson=/root/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

secret中保存了登录harbor镜像仓库需要的凭证信息,如:用户名、密码、仓库地址

3.2.2 pod使用secret

修改pod的yaml配置,增加imagePullSecrets信息

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 10
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: 172.20.59.190:81/kubernetes/nginx:1.17
        ports:
        - containerPort: 80
      imagePullSecrets:
      - name: harborkey 

这样,当pod启动的时候,就会获取到secret,然后根据其中保存的harbor仓库的地址,账户名,密码等信息进行认证,然后拉取对应的镜像,启动容器。