kuernetes集群中,pod拉取私有鏡像倉庫(harbor)中的鏡像的方法
- 2020 年 10 月 30 日
- 筆記
- ,pod拉取私有倉庫鏡像, ,配置docker-registry類型的鏡像的方法, pod拉取鏡像, secret
目錄
1 背景說明
本文介紹在k8s集群中,pod在啟動時通過私有鏡像倉庫(harbor)拉取鏡像的方法。
2 實現方法
- 配置鏡像倉庫項目為公開類型(任何人可以訪問)
- 配置、使用docker-registry類型的secret獲取鏡像倉庫認證
3 具體實現
3.1 配置鏡像倉庫項目為公開類型(任何人可以訪問)
在harbor中,設置項目的訪問級別為公開
備註:pod啟動時,可以拉取該項目倉庫下的鏡像
3.2 配置、使用docker-registry類型的secret獲取鏡像倉庫憑證
3.2.1 配置secret
3.2.1.1 通過賬戶名、密碼創建secret
kubectl create secret docker-registry harborkey \
--docker-server=172.20.59.190:81 \
--docker-username=admin \
--docker-password=Harbor12345
3.2.1.2 通過docker憑證文件來創建secret
通過docker login登錄,本地生成憑證配置文件config.json
docker login -uadmin -pHarbor12345 172.20.59.190:81
查看生成的認證文件(一般路徑為/root/.docker/config.json)
ls -l /root/.docker/config.json
查看文件內容
[root@node-08 ~]# cat /root/.docker/config.json
{
"auths": {
"172.20.59.190:81": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.13 (linux)"
}
}[root@node-08 ~]#
基於該憑證文件創建secret
kubectl create secret generic harborkey \
--from-file=.dockerconfigjson=/root/.docker/config.json \
--type=kubernetes.io/dockerconfigjson
secret中保存了登錄harbor鏡像倉庫需要的憑證信息,如:用戶名、密碼、倉庫地址
3.2.2 pod使用secret
修改pod的yaml配置,增加imagePullSecrets信息
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 10
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: 172.20.59.190:81/kubernetes/nginx:1.17
ports:
- containerPort: 80
imagePullSecrets:
- name: harborkey
這樣,當pod啟動的時候,就會獲取到secret,然後根據其中保存的harbor倉庫的地址,賬戶名,密碼等信息進行認證,然後拉取對應的鏡像,啟動容器。