碼上快樂

相關內容    簡體    繁體

k8s的imagePullSecrets如何生成及使用

本文轉載自   查看原文   2019-08-08 12:09   3324    python 運維開發/ Kubernetes

一、概述

公司的docker倉庫(harbor),是私有的,需要用戶認證之后,才能拉取鏡像。

 

二、生成secret

登錄docker

登錄到k8s master節點,先登錄docker

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://192.168.10.122/v2/: dial tcp 192.168.10.122:443: connect: connection refused

 

注意:出現這個報錯,是由於harbor為了安全性考慮,默認是需要https證書支持的

但是我們可以通過一個簡單的辦法解決

修改 /etc/docker/daemon.json 文件

vim /etc/docker/daemon.json

內容如下:

{"insecure-registries": ["192.168.10.122"]}

 

重新加載docker配置

/etc/init.d/docker reload

 

再次登錄

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

提示登錄成功。

 

登錄過程創建或更新一個包含授權令牌的config.json文件。
查看config.json文件:

cat ~/.docker/config.json

 

輸出包含類似以下內容的部分:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

注意:如果您使用Docker憑據存儲,您將看不到該auth條目,而是看到一個以存儲名稱為值的credsstore條目。

 

基於現有Docker憑據創建secret

kubernetes集群使用docker注冊表類型的秘密對容器注冊表進行身份驗證,以獲取私有映像。

如果您已經運行了Docker登錄,則可以將該憑證復制到Kubernetes中:

kubectl create secret generic harborsecret \
    --from-file=.dockerconfigjson=/root/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

注意:主要修改紅色部分。

harborsecret 表示key名

/root/.docker/config.json 表示docker認證文件,注意要寫絕對路徑。

 

查看內容

kubectl get secrets harborsecret --output="jsonpath={.data.\.dockerconfigjson}" | base64 -d

輸出:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

 

要了解剛剛創建的regcred秘密的內容,請從以yaml格式查看秘密開始:

kubectl get secret harborsecret --output=yaml

輸出:

apiVersion: v1
data:
  .dockerconfigjson: ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjEwLjEyMiI6IHsKCQkJImF1dGgiOiAiWVdSdGFXNDZTR0Z5WW05eU1USXpORFU9IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOS4wMy4xIChsaW51eCkiCgl9Cn0=
kind: Secret
metadata:
  creationTimestamp: "2019-08-30T06:14:10Z"
  name: harborsecret
  namespace: default
  resourceVersion: "6128"
  selfLink: /api/v1/namespaces/default/secrets/harborsecret
  uid: 76e16e61-a6b9-4a47-a842-e884cf6f468d
type: kubernetes.io/dockerconfigjson

 

三、在demployment yaml文件中的使用示例

... 
spec:
      imagePullSecrets: - name:harborsecret
      containers:
      - name: eureka
        image: 192.168.10.122/library/alpine:latest
...

 

如果需要刪除secret,使用命令

kubectl delete secrets harborsecret

 

本文參考鏈接:

https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

https://www.cnblogs.com/aguncn/p/9789320.html

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 k8s的imagePullSecrets如何生成及使用 k8s 使用imagePullSecrets k8s 使用configMap k8s job的使用 k8s使用glusterfs k8s yaml生成工具 k8s-harbor拉取鏡像權限問題-imagePullSecrets Docker/k8s 使用 Arthas 生成火焰圖報錯的解決辦法 k8s使用ceph存儲 k8s創建使用nfs的StorageClass
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM