当我们尝试从私有仓库中拉取镜像时,可能会收到这样提示:requested access to the resource is denied
Error response from daemon: pull access denied for xxx repository does not exist or may require 'docker login': denied: requested access to the resource is denied
这是由于访问私有仓库时是需要凭证的。接下来,一起看下如何用Secret创建一个Pod来从一个私有的Docker Registry 或 Repository 中 Pull 镜像。
1. 登录Docker
为了拉取一个私有镜像,首先,需要进行身份认证
docker login
这个登录过程会创建或更新一个config.json文件来维护一个授权token
cat ~/.docker/config.json
输出可能是这样的:
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
如果你使用的是Docker凭证(凭据)存储,那么将不会看到那个认证条目,而是看到一个以该存储的名称作为值的credsStore条目。
例如:
2. 基于已经存在的Docker凭据创建一个Secret
Kubernetes集群使用docker-registry类型的Secret来进行一个容器registry的认证,以获取一个私有镜像。
如果你已经执行了docker login,那么你可以把这个凭证复制到Kubernetes
kubectl create secret generic regcred
--from-file=.dockerconfigjson=<path/to/.docker/config.json>
--type=kubernetes.io/dockerconfigjson
3. 通过在命令行中提供凭据来创建一个Secret
创建一个Secret,并将其命名为myregcred
kubectl create secret docker-registry myregcred
--docker-server=<your-registry-server>
--docker-username=<your-name>
--docker-password=<your-password>
--docker-email=<your-email>
在这里:
- <your-registry-server> is your Private Docker Registry FQDN. (https://index.docker.io/v1/ for DockerHub)
- <your-name> is your Docker username.
- <your-pword> is your Docker password.
- <your-email> is your Docker email.
不出意外的话,你已经成功的再集群中设置了你的Docker凭据作为一个Secret,名字叫myregcred
4. 查看Secret
kubectl get secret myregcred --output=yaml
.dockerconfigjson 字段的值是一个经过base64编码后的你的Docker凭据
为了更好地理解.dockerconfigjson 字段,我们将它格式化一下:
kubectl get secret myregcred --output="jsonpath={.data..dockerconfigjson}" | base64 --decode
输出可能是这样的:
{"auths":{"your.private.registry.example.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"jdoe@example.com","auth":"Y2hlb...29tOmt"}}}
为了更好地理解上面输出的auth字段,我们可以这样:
echo "Y2hlb...29tOmt" | base64 --decode
输出的字符串格式为 username:password,例如:
janedoe:1234
不难看出,Secret数据中包含的授权token字符串与~/.docker/config.json文件中的相似
5. 用你的Secret创建一个Pod
下面是一个Pod的配置文件private-reg-pod.yaml ,这个Pod将要使用你的Docker凭据myregcred
apiVersion: v1
kind: Pod
metadata:
name: private-reg
spec:
containers:
- name: private-reg-container
image: <your-private-image>
imagePullSecrets:
- name: myregcred
将文件my-private-reg-pod.yaml中的<your-private-image>替换成你自己的私有registry,例如:
your.private.registry.example.com/janedoe/jdoe-private:v1
为了从registry中拉取镜像,Kubernetes需要凭证。配置文件中的imagePullSecrets字段指明Kubernetes应该从名为myregcred的Secret中获取凭证。
用你的Secret创建一个Pod,并验证它
kubectl apply -f my-private-reg-pod.yaml
kubectl get pod private-reg
6. 文档
https://kubernetes.io/docs/concepts/containers/images/#using-a-private-registry
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/