1 背景说明
本文介绍pod启动时,如何通过私有镜像仓库(harbor)拉取镜像。
2 实现方法
- 配置镜像仓库项目为公开类型(任何人可以访问)
- 配置docker-registry类型的secret(pod使用secret获取镜像认证)
3 具体实现
配置镜像仓库项目为公开类型(任何人可以访问)
在harbor中,设置项目的访问级别为公开
备注:pod启动时,可以拉取该项目仓库下的镜像
配置docker-registry类型的secret(pod使用secret获取镜像认证)
通过账户名密码创建secret(secret保存了镜像仓库的凭证)
kubectl create secret docker-registry harborkey \
--docker-server=172.20.59.190:81 \
--docker-username=admin \
--docker-password=Harbor12345
通过docker认证文件来创建secret
通过docker login登录,本地生成认证配置文件config.json
docker login -uadmin -pHarbor12345 172.20.59.190:81
查看生成的认证文件
ls -l /root/.docker/config.json
查看文件内容:
[root@node-08 ~]# cat /root/.docker/config.json
{
"auths": {
"172.20.59.190:81": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.13 (linux)"
}
}[root@node-08 ~]#
基于该凭证文件创建secret
kubectl create secret generic harborkey \
--from-file=.dockerconfigjson=/root/.docker/config.json \
--type=kubernetes.io/dockerconfigjson
secret中保存了登录harbor镜像仓库需要的凭证信息,如:用户名、密码、仓库地址
4 pod使用secret拉取私有镜像仓库中的镜像
修改pod的yaml配置,增加imagePullSecrets信息
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 10
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: 172.20.59.190:81/kubernetes/nginx:1.17
ports:
- containerPort: 80
imagePullSecrets:
- name: harborkey
这样,当pod启动的时候,就会获取到secret,然后根据其中保存的harbor仓库的地址,账户名,密码等信息进行认证,然后拉取对应的镜像,启动容器。