【K8s任務】從私有倉庫拉取映象
參考:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/
登入 Docker 映象倉庫
在個人電腦上,要想拉取私有映象必須在映象倉庫上進行身份驗證。
docker login
當出現提示時,輸入 Docker 使用者名稱和密碼。
登入過程會建立或更新儲存有授權令牌的 config.json 檔案。
檢視 config.json 檔案:
cat ~/.docker/config.json
輸出結果包含類似於以下內容的部分:
{ "auths": { "https://index.docker.io/v1/": { "auth": "c3R...zE2" } } }
說明: 如果使用 Docker 憑證倉庫,則不會看到 auth 條目,看到的將是以倉庫名稱作為值的 credsStore 條目。
在叢集中建立儲存授權令牌的 Secret
Kubernetes 叢集使用 docker-registry 型別的 Secret 來通過容器倉庫的身份驗證,進而提取私有映像。
建立 Secret,命名為 regcred:
kubectl create secret docker-registry regcred \ --docker-server=<你的映象倉庫伺服器> \ --docker-username=<你的使用者名稱> \ --docker-password=<你的密碼> \ --docker-email=<你的郵箱地址>
在這裡:
<your-registry-server> 是你的私有 Docker 倉庫全限定域名(FQDN)。 DockerHub 使用 https://index.docker.io/v2/。
<your-name> 是你的 Docker 使用者名稱。
<your-pword> 是你的 Docker 密碼。
<your-email> 是你的 Docker 郵箱。
這樣你就成功地將叢集中的 Docker 憑據設定為名為 regcred 的 Secret。
檢查 Secret regcred
要了解你建立的 regcred Secret 的內容,可以用 YAML 格式進行檢視:
kubectl get secret regcred --output=yaml
輸出和下面類似:
apiVersion: v1
data:
.dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
...
name: regcred
...
type: kubernetes.io/dockerconfigjson
.dockerconfigjson 欄位的值是 Docker 憑據的 base64 表示。
要了解 dockerconfigjson 欄位中的內容,請將 Secret 資料轉換為可讀格式:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
輸出和下面類似:
{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"[email protected]","auth":"c3R...zE2"}}}
要了解 auth 欄位中的內容,請將 base64 編碼過的資料轉換為可讀格式:
echo "c3R...zE2" | base64 --decode
輸出結果中,使用者名稱和密碼用 : 連結,類似下面這樣:
janedoe:xxxxxxxxxxx
注意,Secret 資料包含與本地 ~/.docker/config.json 檔案類似的授權令牌。
這樣你就已經成功地將 Docker 憑據設定為叢集中的名為 regcred 的 Secret。
建立一個使用你的 Secret 的 Pod
下面是一個 Pod 配置檔案,它需要訪問 regcred 中的 Docker 憑據:
apiVersion: v1
kind: Pod
metadata:
name: private-reg
spec:
containers:
- name: private-reg-container
image: <your-private-image>
imagePullSecrets:
- name: regcred