kubernetes實戰篇之建立金鑰自動拉取私服映象

周國通發表於2019-07-01

系列目錄

前面我們講解了如何搭建nexus伺服器,以及如何使用nexus搭建docker私有映象倉庫,示例中我們都是手動docker login登陸私服,然後通過命令拉取映象然後執行容器.然而這種做法在kubernetes叢集中是不可行的.第一,專案規模不同,每天產生的映象數量也不同,如果每天產生大量倉庫都要手動執行docker pull來拉取,非常麻煩也非常容易出錯.第二,叢集規模不同,節點數量也不同,少則三五個,多則成百上千甚至更多.我們一臺臺拉取顯然非常麻煩,即便使用ansible指令碼批量執行命令也同樣存在問題:因為不同的容器分佈在不同的節點上.把所有映象都用批量指令碼拉到所有伺服器上顯然會浪費非常多的資源,並且叢集擴容或者縮容器都需要更改指令碼,很容易出現錯誤.這時候我們更傾向使用kubernetes自身的強大管理功能.其實kubernetes可以把docker的登陸資訊做成secrets,在容器編排時顯式指定要用到的secret,kubernetes就會自動去拉取私服上編排時指定的映象.大大方便我們自動化的流程.下面我們就講解如何如何製作docker私倉拉取secrets以及如何在拉取映象時使用.

我們在拉取公倉映象的時候,是不需要輸入賬戶密碼的.但是私倉往往都是要登陸以後才能拉取裡面的映象.前面講解nexus docker私服的時候我們也講到過,所有操作的前提就是使用docker login -u 使用者名稱 -p 密碼 伺服器首先登陸私服.我們登陸過一次後下次再次登陸其實不用指定使用者名稱和密碼,比如,我可以使用以下命令直接登陸:

[root@k8s-node1 ~]# docker login 192.168.124.43:8002
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@k8s-node1 ~]#

可以看到沒有指定使用者名稱和密碼我們也同樣登陸了.實際上,我們首次登陸成功後,docker便把登陸資訊存在了~/.docker/config.json這個檔案裡,我們可以看一下

[root@k8s-node1 ~]# .
{
        "auths": {
                "192.168.124.43:8002": {
                        "auth": "YWRtaW46YWRtaW4xMjM="
                }
        },
        "HttpHeaders": {
                "User-Agent": "Docker-Client/18.09.4 (linux)"
        }
}[root@k8s-node1 ~]#

基於現有docker登陸資訊建立kubernetes金鑰

命令如下

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson= ~/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

以上方法同其它建立kubernetes金鑰的方法並沒有區別,這裡的關鍵是.docker目錄下的config.json檔案.

當然,如果你想對生成出來的secrets有更多的控制,比如指定這個secrets的名稱空間,可以使用yml檔案來宣告式建立.步驟與上面略有不同,如下

  • data欄位的名稱必須設定為.dockerconfigjson

  • 對config.json檔案進行base64編碼,然後把編碼後的內容複製到.dockerconfigjson欄位

  • 型別設定為kubernetes.io/dockerconfigjson

示例:

apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
  namespace: awesomeapps
data:
  .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson

常用報錯解析:

  • error: no objects passed to create這意味著base64編碼資訊無效

  • Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ... 這意味著base64編碼成功,但是不能解碼為.docker/config.json

直接從命令列建立secret

上面是使用docker儲存的已經登陸的資訊建立的secret,如果沒有使用docker登陸,也可以直接通過命令列來建立secret,命令格式如下:

kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>

下面對上面欄位做簡要描述:

  • docker私服地址

  • 登陸名

  • 登陸密碼

  • 郵箱,此欄位為非必填項

這裡仍然基於前面搭建的nexus docker私倉為例:

kubectl create secret docker-registry regcred --docker-server=192.168.124.43:8002 --docker-username=admin --docker-password=admin123

便可以建立secret了.

檢視金鑰資訊

可以使用以下命令檢視剛建立的金鑰:

kubectl get secret regcred --output=yaml
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output=yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjEyNC40Mzo4MDAyIjp7IlVzZXJuYW1lIjoiYWRtaW4iLCJQYXNzd29yZCI6ImFkbWluMTIzIiwiRW1haWwiOiIifX19
kind: Secret
metadata:
  creationTimestamp: "2019-04-12T05:53:19Z"
  name: regcred
  namespace: default
  resourceVersion: "3763835"
  selfLink: /api/v1/namespaces/default/secrets/regcred
  uid: 46028dd4-5ce7-11e9-bc12-0050568417a2
type: kubernetes.io/dockerconfigjson
[centos@k8s-master trackingapi]$

其中.dockerconfigjson欄位為docker的登陸資訊,我們可以通過base64解碼來檢視它:

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"192.168.124.43:8002":{"Username":"admin","Password":"admin123","Email":""}}}[centos@k8s-master trackingapi]$

可以看到以上正資訊與我們建立密碼時輸入的資訊吻合

注 以上是我們通過命令列生成的,如果是通過config.json生成的則解碼後的資訊與以上略有不同.通過config.json生成的金鑰解碼後有 個auth欄位,它仍然是base64編碼形式存在的,我們需要再次對其解碼才能檢視到資訊

比如

[centos@k8s-master trackingapi]$ echo "YWRtaW46YWRtaW4xMjM="|base64 --decode
admin:admin123
[centos@k8s-master trackingapi]$

建立pod使用金鑰拉取私倉映象

編排檔案示例如下:

apiVersion: v1
kind: Pod
metadata:
  name: ubuntu-demo
spec:
  restartPolicy: Never
  containers:
  - name: u-demo
    image: 192.168.124.43:8002/ubuntu
    imagePullPolicy: IfNotPresent
    command: ["printenv"]
    args: ["HOSTNAME"]
  imagePullSecrets:
  - name: regcred

以上示例我們使用了預先上傳到私服裡的一個ubuntu映象來建立一個pod,由於以上映象建立完成後馬上就結束了.因此我們讓列印一個環境變數資訊,然後再使用log命令來檢視,以證明操作是成功的.

映象建立完成以後,我們檢視pod的狀態

[centos@k8s-master trackingapi]$ kubectl get po
NAME                          READY   STATUS      RESTARTS   AGE
busybox                       1/1     Running     552        23d
consul-0                      1/1     Running     2          28h
consul-1                      1/1     Running     3          28h
consul-2                      1/1     Running     2          28h
helloworld-7fdc8d9855-ncfdz   1/1     Running     3          30d
hostaliases-pod               1/1     Running     0          3h42m
ubuntu-demo                   0/1     Completed   0          50m

可以看到pod已處於完成狀態,我們使用kubectl logs來檢視它是否列印了資訊

[centos@k8s-master trackingapi]$ kubectl logs ubuntu-demo
ubuntu-demo

可以看到,輸出了host的名稱.

相關文章