目錄
1 背景說明
本文介紹pod啟動時,如何通過私有映象倉庫(harbor)拉取映象。
2 實現方法
- 配置映象倉庫專案為公開型別(任何人可以訪問)
- 配置docker-registry型別的secret(pod使用secret獲取映象認證)
3 具體實現
配置映象倉庫專案為公開型別(任何人可以訪問)
在harbor中,設定專案的訪問級別為公開
備註:pod啟動時,可以拉取該專案倉庫下的映象
配置docker-registry型別的secret(pod使用secret獲取映象認證)
通過賬戶名密碼建立secret(secret儲存了映象倉庫的憑證)
kubectl create secret docker-registry harborkey \
--docker-server=172.20.59.190:81 \
--docker-username=admin \
--docker-password=Harbor12345
通過docker認證檔案來建立secret
通過docker login登入,本地生成認證配置檔案config.json
docker login -uadmin -pHarbor12345 172.20.59.190:81
檢視生成的認證檔案
ls -l /root/.docker/config.json
檢視檔案內容:
[root@node-08 ~]# cat /root/.docker/config.json
{
"auths": {
"172.20.59.190:81": {
"auth": "YWRtaW46SGFyYm9yMTIzNDU="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/19.03.13 (linux)"
}
}[root@node-08 ~]#
基於該憑證檔案建立secret
kubectl create secret generic harborkey \
--from-file=.dockerconfigjson=/root/.docker/config.json \
--type=kubernetes.io/dockerconfigjson
secret中儲存了登入harbor映象倉庫需要的憑證資訊,如:使用者名稱、密碼、倉庫地址
4 pod使用secret拉取私有映象倉庫中的映象
修改pod的yaml配置,增加imagePullSecrets資訊
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 10
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: 172.20.59.190:81/kubernetes/nginx:1.17
ports:
- containerPort: 80
imagePullSecrets:
- name: harborkey
這樣,當pod啟動的時候,就會獲取到secret,然後根據其中儲存的harbor倉庫的地址,賬戶名,密碼等資訊進行認證,然後拉取對應的映象,啟動容器。