拉取私有仓库镜像配置
当我们制作好一个镜像后,我们可以传到公共镜像仓库,供所有人拉取使用,不需要指定拉取镜像的用户、密码。我们也可以将镜像推送到自己搭建的镜像库,比如harbor镜像仓库中,如果我们在镜像仓库中的项目是公开项目,拉取镜像也是不要用户名、密码的。但如果是私有项目,则需要指定用户名、密码才能拉取。下面将介绍两种方式通过用户名、密码拉取私有镜像
制作拉取镜像secret
不论是何种姿势拉取私有镜像,都需要先创建拉取镜像的secret。创建拉取镜像secret有两种方式,如下
根据config.json文件生成secret
-
docker login登录到镜像需要推到的目标仓库,此时在本地/root/.docker目录下会生成一个config.json文件,config.json文件包含登录镜像仓库
认证信息 -
将config.json文件编码成base64,执行下面命令
base64 -w 0 /root/.docker/config.json
-
创建下面的secret yaml文件
apiVersion: v1 data: .dockerconfigjson: 第二步中生成的Base64编码 kind: Secret metadata: name: secret名称 namespace: 命名空间 type: kubernetes.io/dockerconfigjson
-
执行下面命令创建secret
kubectl apply -f secret文件名 -n 命名空间
直接通过用户名、密码创建secret
- 执行下面命令创建secret
kubectl create secret docker-registry secret名称 --docker-server=仓库地址 --docker-username=用户名 --docker-password=密码 --docker-email=邮箱地址(如果没有可以不指定)-n 命名空间
使用制作的secret拉取镜像
通过上面的方式创建完secret之后,我们接下来使用这个secret来拉取私有镜像。有两种方式可供使用
直接在拉取镜像的资源yaml中指定拉取镜像secret
如果我们自己维护的yaml资源,我们完全可以在制作yaml文件时直接通过imagePullSecrets指定拉取镜像的secret
apiVersion: v1
kind: Pod
metadata:
name: private-pod
spec:
imagePullSecrets:
- name: secret名称
containers:
- image: 镜像仓库地址
name: main
通过ServiceAccount指定拉取镜像secret
除上述直接在资源中通过imagePullSecrets指定拉取镜像的secret外,也可以通过ServiceAccount的imagePullSecrets属性间接设置资源拉取镜像的secret。k8s yaml资源文件
可以通过serviceAccountName指定使用的ServiceAccount资源,如果没有指定具体的ServiceAccount资源名称,则默认使用K8s自动创建的名称为default的ServiceAccount资源
-
首先我们创建一个ServiceAccount资源并且指定拉取镜像的secret
apiVersion: v1 kind: ServiceAccount metadata: name: 资源名称 imagePullSecrets: - name: 拉取镜像secret名称
-
执行apply命令在k8s中创建资源
kubectl apply -f ServiceAccount资源名称 -n 命名空间
-
在需要拉取私有镜像的k8s资源文件中通过serviceAccountName指定上面创建的ServiceAccount资源名称
apiVersion: v1 kind: Pod metadata: name: private-pod spec: serviceAccountName: ServiceAccount资源名称 containers: - image: 镜像仓库地址 name: main
扩展延伸
通过上面介绍我们知道如何拉取私有镜像。对于我们自己维护的资源通过直接在资源上指定拉取私有镜像的secret是非常方便的。但如果你在做一个Devops自动化部署平台,你管理的资源都不是你自己制作的,这时通过程序修改资源yaml文件指定私有镜像secret会比较麻烦,但如果通过程序修改ServiceAccount资源添加拉取镜像secret,可能会简单一些。对于管理不是自己制作的k8s资源,通过ServiceAccount指定拉取镜像的secret会更好一些