目录
1 背景说明
本文介绍在k8s集群中,pod在启动时通过私有镜像仓库(harbor)拉取镜像的方法。
2 实现方法
- 配置镜像仓库项目为公开类型(任何人可以访问)
- 配置、使用docker-registry类型的secret获取镜像仓库认证
3 具体实现
3.1 配置镜像仓库项目为公开类型(任何人可以访问)
在harbor中,设置项目的访问级别为公开
备注:pod启动时,可以拉取该项目仓库下的镜像
3.2 配置、使用docker-registry类型的secret获取镜像仓库凭证
3.2.1 配置secret
3.2.1.1 通过账户名、密码创建secret
kubectl create secret docker-registry harborkey
--docker-server=172.20.59.190:81
--docker-username=admin
--docker-password=Harbor12345
3.2.1.2 通过docker凭证文件来创建secret
通过docker login登录,本地生成凭证配置文件config.json
docker login -uadmin -pHarbor12345 172.20.59.190:81
查看生成的认证文件(一般路径为/root/.docker/config.json)
ls -l /root/.docker/config.json
查看文件内容
[root@node-08 ~]# cat /root/.docker/config.json
{
"auths": {
"172.20.59.190:81": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.13 (linux)"
}
}[root@node-08 ~]#
基于该凭证文件创建secret
kubectl create secret generic harborkey
--from-file=.dockerconfigjson=/root/.docker/config.json
--type=kubernetes.io/dockerconfigjson
secret中保存了登录harbor镜像仓库需要的凭证信息,如:用户名、密码、仓库地址
3.2.2 pod使用secret
修改pod的yaml配置,增加imagePullSecrets信息
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 10
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: 172.20.59.190:81/kubernetes/nginx:1.17
ports:
- containerPort: 80
imagePullSecrets:
- name: harborkey
这样,当pod启动的时候,就会获取到secret,然后根据其中保存的harbor仓库的地址,账户名,密码等信息进行认证,然后拉取对应的镜像,启动容器。