内容简介:这是因为没有正确配置首先,不要寄望于
Kubernetes
在自动 pull
私有镜像时,经常出现问题,导致 ImagePullBackOff
。
查看 kubectl describe pod ...
,还经常发现这类错误:
Failed create pod sandbox: rpc error: code = Unknown desc = failed pulling image ... Error response from daemon: pull access denied for ... repository does not exist or may require 'docker login'
这是因为没有正确配置 pull
权限所致。
~/.docker/config.json
无效
首先,不要寄望于 ~/.docker/config.json
。
与Docker Swarm不同,Kubernetes不会使用这里的配置来 pull
。
当然,用 docker login
测试过账户、密码、Registry、镜像均无误后,再走下一步,是更好的选择。
使用 imagePullSecrets
通过创建 docker-registry
类的 secrets
,可以实现类似 docker login
的功能。
kubectl create secret docker-registry regcred \ --docker-server=<your-registry-server> \ --docker-username=<your-name> \ --docker-password=<your-pword> \ --docker-email=<your-email>
其中,server、username和password都是必填项,email可以不填。
在使用时,把 imagePullSecrets
添加到Pod配置中。
apiVersion: v1 kind: Pod metadata: name: private-reg spec: containers: - name: private-reg-container image: your-private-image <mark> imagePullSecrets:</mark> <mark> - name: regcred</mark>
其中, regcred
为 secrets
名称,可随意指定。
注意Namespace
即使创建了 secrets
、配置了 imagePullSecrets
,有时仍然无法 pull
镜像。
比如 Calico
的相关镜像,如果被同步到了本地一个私有Registry中,一般配置时无效的。
这是因为, Calico
属于系统Network组件, Namespace
是 kube-system
。
而一般创建的 secrets
,属于 default
。
通过以下命令可以查看特定 secrets
的详细信息。
# kubectl get secret regcred -o yaml apiVersion: v1 data: .dockerconfigjson: eyJhdXRocyI6eyJodHRwOi8vaGFyYm9yLnR1cmluZy1jaS5oaXNpbGljb24uY29tIjp7IlVzZXJuYW1lIjoiY2hyaXN0b3BoZXIiLCJQYXNzd29yZCI6IlFpZGRZYWZkQmF2YTYjIiwiRW1haWwiOiJ5MDA0NDU0ODBAbm90ZXNtYWlsLmh1YXdlaS5jb20ifX19 kind: Secret metadata: creationTimestamp: "2019-01-10T08:51:03Z" name: regcred <mark> namespace: default</mark> resourceVersion: "100110" selfLink: /api/v1/namespaces/default/secrets/regcred uid: dc96580b-14b4-11e9-9f81-e435c87f8d90 type: kubernetes.io/dockerconfigjson
kubectl --namespace kube-system \ create secret docker-registry regcred \ --docker-server=<your-registry-server> \ --docker-username=<your-name> \ --docker-password=<your-pword> \ --docker-email=<your-email>
不同 Namespace
, secrets
可以同名,所以仍然可以叫 regcred
。
注意:或者,在 secrets 创建后可以修改一些内容:
kubectl edit secret regcred --namespace=kube-system
但不能修改 Namespace 。 所以,必须在创建时准确指定。
用patch避免设置 imagePullSecrets
每个私有镜像在使用前,都需要设置 imagePullSecrets
,这是一件非常繁琐的事。
在迁移服务时,它能有效地提醒 secrets
的迁移。
这是一个优点,但能被良好的迁移文档所解决。
用 patch
可以避免这么繁琐。
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "regcred"}]}'
这相当于,在 default
这个 Namespace
中的所有镜像 pull
操作,都自动具备了 regcred
这个账户密码。
终于,和 docker login
一样了。
注意:这里的示例只针对 default
这个 Namespace
。
其它的 Namespace
需要一一执行 patch
。
某些场景下,比如网络组件 Calico
,似乎只能老老实实地写 imagePullSecrets
。
对k8s系统镜像无效
系统镜像中, kube-proxy
、 pause
是在所有Slave节点都需要使用的。
如果这些系统镜像被设为私有,则无法下载。
以上方法无效,原因不明。
所以,k8s系统镜像,即使同步到了本地Registry,也不要设为私有。
参考
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- Docker: 上传镜像至私有仓库
- 私有 Docker Registry 删除镜像
- 手动搭建Docker本地私有镜像仓库
- kubernetes 拉取私有镜像 imagepullsecrets
- Kunbernetes-基于Nexus构建私有镜像仓库
- OpenStack搭建企业私有云 二:镜像服务(持续更新...)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。