在Kubernetes中pull私有镜像

栏目: 编程工具 · 发布时间: 5年前

内容简介:这是因为没有正确配置首先,不要寄望于

Kubernetes 在自动 pull 私有镜像时,经常出现问题,导致 ImagePullBackOff 。 查看 kubectl describe pod ... ,还经常发现这类错误:

Failed create pod sandbox: rpc error: code = Unknown desc = failed pulling image ...
Error response from daemon: pull access denied for ...
repository does not exist or may require 'docker login'

这是因为没有正确配置 pull 权限所致。

~/.docker/config.json 无效

首先,不要寄望于 ~/.docker/config.json 。 与Docker Swarm不同,Kubernetes不会使用这里的配置来 pull

当然,用 docker login 测试过账户、密码、Registry、镜像均无误后,再走下一步,是更好的选择。

使用 imagePullSecrets

通过创建 docker-registry 类的 secrets ,可以实现类似 docker login 的功能。

kubectl create secret docker-registry regcred \
    --docker-server=<your-registry-server> \
    --docker-username=<your-name> \
    --docker-password=<your-pword> \
    --docker-email=<your-email>

其中,server、username和password都是必填项,email可以不填。

在使用时,把 imagePullSecrets 添加到Pod配置中。

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: your-private-image
<mark>  imagePullSecrets:</mark>
<mark>  - name: regcred</mark>

其中, regcredsecrets 名称,可随意指定。

注意Namespace

即使创建了 secrets 、配置了 imagePullSecrets ,有时仍然无法 pull 镜像。 比如 Calico 的相关镜像,如果被同步到了本地一个私有Registry中,一般配置时无效的。

这是因为, Calico 属于系统Network组件, Namespacekube-system 。 而一般创建的 secrets ,属于 default 。 通过以下命令可以查看特定 secrets 的详细信息。

# kubectl get secret regcred -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJodHRwOi8vaGFyYm9yLnR1cmluZy1jaS5oaXNpbGljb24uY29tIjp7IlVzZXJuYW1lIjoiY2hyaXN0b3BoZXIiLCJQYXNzd29yZCI6IlFpZGRZYWZkQmF2YTYjIiwiRW1haWwiOiJ5MDA0NDU0ODBAbm90ZXNtYWlsLmh1YXdlaS5jb20ifX19
kind: Secret
metadata:
  creationTimestamp: "2019-01-10T08:51:03Z"
  name: regcred
<mark>  namespace: default</mark>
  resourceVersion: "100110"
  selfLink: /api/v1/namespaces/default/secrets/regcred
  uid: dc96580b-14b4-11e9-9f81-e435c87f8d90
type: kubernetes.io/dockerconfigjson

在创建 secrets 时需要指定 Namespace

kubectl --namespace kube-system \
    create secret docker-registry regcred \
    --docker-server=<your-registry-server> \
    --docker-username=<your-name> \
    --docker-password=<your-pword> \
    --docker-email=<your-email>

不同 Namespacesecrets 可以同名,所以仍然可以叫 regcred

注意:或者,在 secrets 创建后可以修改一些内容:

kubectl edit secret regcred --namespace=kube-system

但不能修改 Namespace 。 所以,必须在创建时准确指定。

用patch避免设置 imagePullSecrets

每个私有镜像在使用前,都需要设置 imagePullSecrets ,这是一件非常繁琐的事。 在迁移服务时,它能有效地提醒 secrets 的迁移。 这是一个优点,但能被良好的迁移文档所解决。

patch 可以避免这么繁琐。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "regcred"}]}'

这相当于,在 default 这个 Namespace 中的所有镜像 pull 操作,都自动具备了 regcred 这个账户密码。

终于,和 docker login 一样了。

注意:这里的示例只针对 default 这个 Namespace 。 其它的 Namespace 需要一一执行 patch 。 某些场景下,比如网络组件 Calico ,似乎只能老老实实地写 imagePullSecrets

对k8s系统镜像无效

系统镜像中, kube-proxypause 是在所有Slave节点都需要使用的。 如果这些系统镜像被设为私有,则无法下载。 以上方法无效,原因不明。

所以,k8s系统镜像,即使同步到了本地Registry,也不要设为私有。

参考


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

运营攻略

运营攻略

陈辉 / 人民邮电出版社 / 2017-12 / 59

《运营攻略 移动互联网产品运营提升笔记》深入浅出地告诉大家什么是运营,梳理了移动互联网时代各类运营方向的工作重点与工作方法,结合实例指出了每类运营方向的提升要点;结合作者的亲身经历,解答了无数运营人与产品人纠结的运营与产品到底有什么异同的问题;指明了运营人的核心竞争力,并对处于不同阶段的运营人提出了相应的建议与要求;尤为难得的是,《运营攻略 移动互联网产品运营提升笔记》中还阐述了内容型产品与工具型......一起来看看 《运营攻略》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具