參考:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/
登錄 Docker 鏡像倉庫
在個人電腦上,要想拉取私有鏡像必須在鏡像倉庫上進行身份驗證。
docker login
當出現提示時,輸入 Docker 用戶名和密碼。
登錄過程會創建或更新保存有授權令牌的 config.json 文件。
查看 config.json 文件:
cat ~/.docker/config.json
輸出結果包含類似於以下內容的部分:
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
說明: 如果使用 Docker 憑證倉庫,則不會看到 auth 條目,看到的將是以倉庫名稱作為值的 credsStore 條目。
在集群中創建保存授權令牌的 Secret
Kubernetes 集群使用 docker-registry 類型的 Secret 來通過容器倉庫的身份驗證,進而提取私有映像。
創建 Secret,命名為 regcred:
kubectl create secret docker-registry regcred \
--docker-server=<你的鏡像倉庫服務器> \
--docker-username=<你的用戶名> \
--docker-password=<你的密碼> \
--docker-email=<你的郵箱地址>
在這里:
<your-registry-server> 是你的私有 Docker 倉庫全限定域名(FQDN)。 DockerHub 使用 https://index.docker.io/v2/。
<your-name> 是你的 Docker 用戶名。
<your-pword> 是你的 Docker 密碼。
<your-email> 是你的 Docker 郵箱。
這樣你就成功地將集群中的 Docker 憑據設置為名為 regcred 的 Secret。
檢查 Secret regcred
要了解你創建的 regcred Secret 的內容,可以用 YAML 格式進行查看:
kubectl get secret regcred --output=yaml
輸出和下面類似:
apiVersion: v1
data:
.dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
...
name: regcred
...
type: kubernetes.io/dockerconfigjson
.dockerconfigjson 字段的值是 Docker 憑據的 base64 表示。
要了解 dockerconfigjson 字段中的內容,請將 Secret 數據轉換為可讀格式:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
輸出和下面類似:
{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"jdoe@example.com","auth":"c3R...zE2"}}}
要了解 auth 字段中的內容,請將 base64 編碼過的數據轉換為可讀格式:
echo "c3R...zE2" | base64 --decode
輸出結果中,用戶名和密碼用 : 鏈接,類似下面這樣:
janedoe:xxxxxxxxxxx
注意,Secret 數據包含與本地 ~/.docker/config.json 文件類似的授權令牌。
這樣你就已經成功地將 Docker 憑據設置為集群中的名為 regcred 的 Secret。
創建一個使用你的 Secret 的 Pod
下面是一個 Pod 配置文件,它需要訪問 regcred 中的 Docker 憑據:
apiVersion: v1
kind: Pod
metadata:
name: private-reg
spec:
containers:
- name: private-reg-container
image: <your-private-image>
imagePullSecrets:
- name: regcred