2. 程式人生 > 其它 >使用containerd作為容器執行時拉取映象的方法

使用containerd作為容器執行時拉取映象的方法

阿新 發佈:2022-12-06

k8s v1.24版本後預設使用containerd作為容器執行時,很多映象庫使用的是gcr.io,國內可能無法成功拉取。接下來將通過搭建Metrics Server來演示該情況的解決方法。

components.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    k8s-app: metrics-server
  name: metrics-server
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    k8s-app: metrics-server
    rbac.authorization.k8s.io/aggregate-to-admin: "true"
    rbac.authorization.k8s.io/aggregate-to-edit: "true"
    rbac.authorization.k8s.io/aggregate-to-view: "true"
  name: system:aggregated-metrics-reader
rules:
  - apiGroups:
      - metrics.k8s.io
    resources:
      - pods
      - nodes
    verbs:
      - get
      - list
      - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    k8s-app: metrics-server
  name: system:metrics-server
rules:
  - apiGroups:
      - ""
    resources:
      - nodes/metrics
    verbs:
      - get
  - apiGroups:
      - ""
    resources:
      - pods
      - nodes
    verbs:
      - get
      - list
      - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  labels:
    k8s-app: metrics-server
  name: metrics-server-auth-reader
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: extension-apiserver-authentication-reader
subjects:
  - kind: ServiceAccount
    name: metrics-server
    namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  labels:
    k8s-app: metrics-server
  name: metrics-server:system:auth-delegator
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
  - kind: ServiceAccount
    name: metrics-server
    namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  labels:
    k8s-app: metrics-server
  name: system:metrics-server
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:metrics-server
subjects:
  - kind: ServiceAccount
    name: metrics-server
    namespace: kube-system
---
apiVersion: v1
kind: Service
metadata:
  labels:
    k8s-app: metrics-server
  name: metrics-server
  namespace: kube-system
spec:
  ports:
    - name: https
      port: 443
      protocol: TCP
      targetPort: https
  selector:
    k8s-app: metrics-server
---
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    k8s-app: metrics-server
  name: metrics-server
  namespace: kube-system
spec:
  selector:
    matchLabels:
      k8s-app: metrics-server
  strategy:
    rollingUpdate:
      maxUnavailable: 0
  template:
    metadata:
      labels:
        k8s-app: metrics-server
    spec:
      containers:
        - args:
            - --kubelet-insecure-tls # access to kubelet
            - --cert-dir=/tmp
            - --secure-port=4443
            - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
            - --kubelet-use-node-status-port
            - --metric-resolution=15s

          image: k8s.gcr.io/metrics-server/metrics-server:v0.6.1
          imagePullPolicy: IfNotPresent
          livenessProbe:
            failureThreshold: 3
            httpGet:
              path: /livez
              port: https
              scheme: HTTPS
            periodSeconds: 10
          name: metrics-server
          ports:
            - containerPort: 4443
              name: https
              protocol: TCP
          readinessProbe:
            failureThreshold: 3
            httpGet:
              path: /readyz
              port: https
              scheme: HTTPS
            initialDelaySeconds: 20
            periodSeconds: 10
          resources:
            requests:
              cpu: 100m
              memory: 200Mi
          securityContext:
            allowPrivilegeEscalation: false
            readOnlyRootFilesystem: true
            runAsNonRoot: true
            runAsUser: 1000
          volumeMounts:
            - mountPath: /tmp
              name: tmp-dir
      nodeSelector:
        kubernetes.io/os: linux
      priorityClassName: system-cluster-critical
      serviceAccountName: metrics-server
      volumes:
        - emptyDir: {}
          name: tmp-dir
---
apiVersion: apiregistration.k8s.io/v1
kind: APIService
metadata:
  labels:
    k8s-app: metrics-server
  name: v1beta1.metrics.k8s.io
spec:
  group: metrics.k8s.io
  groupPriorityMinimum: 100
  insecureSkipTLSVerify: true
  service:
    name: metrics-server
    namespace: kube-system
  version: v1beta1
  versionPriority: 100

我們需要使用ctr或者crictl來代替docker命令,但是crictl是沒有類似docker tag功能的。當我們使用ctr時需注意,ctr和k8s一樣,都有名稱空間的概念,預設是default,因此在操作時需要加上-n=k8s.io,這樣k8s才會正確識別映象。

setup.sh

#!/bin/bash
#

# https://github.com/kubernetes-sigs/metrics-server
# wget https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml
# sed '/args:/a\        - --kubelet-insecure-tls' components.yaml

# download and change yaml
# wget -O- https://github.com/kubernetes-sigs/metrics-server/releases/latest/download/components.yaml \
#   | sed '/args:/a\        - --kubelet-insecure-tls' - > components.yaml

# use ali registry to speed up
repo=registry.aliyuncs.com/google_containers

name=k8s.gcr.io/metrics-server/metrics-server:v0.6.1

# remove prefix
#src_name=${name#k8s.gcr.io/}
#src_name=${name#metrics-server/}
src_name=metrics-server:v0.6.1

ctr -n=k8s.io image pull $repo/$src_name

# rename to fit k8s
ctr -n=k8s.io image tag $repo/$src_name $name
ctr -n=k8s.io image rm $repo/$src_name

# add args: - --kubelet-insecure-tls
kubectl apply -f components.yaml

完成後我們可以檢視Metrics Server的部署情況

相關推薦

使用containerd作為容器執行映象方法

k8s v1.24版本後預設使用containerd作為容器執行,很多映象庫使用的是gcr.io,國內可能無法成功。接下來將通過搭建Metrics Server來演示該情況的解決方法

EFK 收集 K8S (containerd 容器執行)

背景使用 EFK 收集 K8S 日誌(K8S 容器執行containerd) 安裝 es 叢集 # 建立目錄 mkdir -p /data/yaml/kube-logging/{elasticsearch,filebeat,kibana}

ELK 收集 K8S (containerd 容器執行) 二

部署 filebeat mkdir -p /data/yaml/k8s-logging/filebeat cd /data/yaml/k8s-logging/filebeat cat rbac.yaml

ELK 收集 K8S (containerd 容器執行) 三

部署 logstash mkdir -p /data/yaml/k8s-logging/logstash cd /data/yaml/k8s-logging/logstash cat cm.yaml ---

搭建自己的GitLab+jenkins並在kubernetes中映象執行(九)

官網:https://about.gitlab.com/install/#centos-7;官網說明安裝gitlab的機器至少要有4G的記憶體,因為gitlab比較消耗記憶體;這個要搭建的朋友要注意

k8s 1.22版本更換容器執行,把 docker 替換成 Containerd

詳解: 1、k8s 版本1.22以後會棄用 docker,但是也可以用。但最好還是替換成解決方案中的。

kubernetes配置imagePullSecrets祕鑰來映象

背景說明: imagePullSecret資源將Secret提供的密碼傳遞給kubelet從而在映象前完成必要的認證過程,簡單說就是你的映象倉庫是私有的,每次是需要認證的。

K8S 容器執行安全設定

容器安全性-為容器配置安全上下文 安全上下文(Security Context)定義 Pod 或 Container 的特權與訪問控制設定。 安全上下文包括但不限於:

【學習隨手記】kubeadm 檢視建立叢集需要的映象版本,附映象指令碼

技術標籤:Kubernetes/OpenShiftdockerkubernetes阿里雲githadoop 檢視建立叢集需要的映象版本

K8S 從私有倉庫映象

  通常來講,我們在通過公共映象倉庫docker映象的時候,不需要任何的認證操作,但我們在構建了企業的私有映象以後,就不得不在映象之前通過使用者名稱密碼來完成認證。

【K8s生產環境】容器執行

你需要在叢集內每個節點上安裝一個 容器執行 以使 Pod 可以執行在上面。 在 Linux 上結合 Kubernetes 使用的幾種通用容器執行

【K8s任務】從私有倉庫映象

參考:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/ 登入 Docker 映象倉庫

k8s-harbor映象許可權問題-imagePullSecrets

k8s的imagePullSecrets如何生成及使用 一、概述 公司的docker倉庫(harbor),是私有的,需要使用者認證之後,才能映象

業界首個機密計算容器執行—Inclavare Containers正式進入CNCF!

Inclavare Containers 通過雲原生計算基金會(CNCF)TOC 投票正式成為 CNCF 官方沙箱專案。

Devops 開發運維高階篇之微服務持續整合(生成映象、上傳到harbor映象倉庫、映象和釋出應用)

Devops 開發運維高階篇之微服務持續整合(生成映象、上傳到harbor映象倉庫、映象和釋出應用)

如何基於 OpenKruise 打破原生 Kubernetes 中的容器執行操作侷限?

作者:王思宇,阿里雲技術專家,OpenKruise 社群負責人 通常情況下,人們只能使用普通舊資料作為 Kubernetes 中最小的操作單元。一些公司在他們的叢集中入侵了 Kubelet 的程式碼,以便他們可以對容器做更多的事情。然

CRI容器執行

CRI容器執行 我們知道 Kubernetes 提供了一個 CRI 的容器執行介面,那麼這個 CRI 到底是什麼呢?這個其實也和 Docker 的發展密切相關的。

阿里雲centos7搭建docker,映象外網訪問不通的問題排查

最近新買了一個阿里雲伺服器,用docker安裝了mysql,外網死活連線不上我的mysql,最終經過一頓猛百度查問題,找出問題根源。對這次查問題過程中出現的問題也有一些心得,也小小記錄一下覆盤總結。

JVM執行資料區之方法

棧、堆、方法區互動關係 執行記憶體圖(執行緒共享與否的角度來看) 棧、堆、方法區的互動關係:

docker加速方法

技術標籤:docker 預設docker用的國外的源, 我們必須將docker修改為國內映象源 在/etc/docker/daemon.json檔案中增加以下程式碼 此處使用的是中國科技大學的docker映象