创新互联kubernetes教程：Kubernetes从私有仓库拉取镜像

从私有仓库拉取镜像

本文介绍如何使用 Secret 从私有的镜像仓库或代码仓库拉取镜像来创建 Pod。 有很多私有镜像仓库正在使用中。这个任务使用的镜像仓库是 Docker Hub

创新互联建站专注于琅琊企业网站建设,响应式网站建设,商城系统网站开发。琅琊网站建设公司,为琅琊等地区提供建站服务。全流程按需定制制作，专业设计，全程项目跟踪，创新互联建站专业和态度为您提供的服务

在开始之前

• 你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：
• Katacoda
• 玩转 Kubernetes
• 要进行此练习，你需要 ​docker ​命令行工具和一个知道密码的 Docker ID。
• 如果你要使用不同的私有的镜像仓库，你需要有对应镜像仓库的命令行工具和登录信息。

登录 Docker 镜像仓库 

在个人电脑上，要想拉取私有镜像必须在镜像仓库上进行身份验证。

docker login

当出现提示时，输入你的 Docker ID 和登录凭证（访问令牌、 或 Docker ID 的密码）。

登录过程会创建或更新保存有授权令牌的 ​config.json​ 文件。

查看 ​config.json​ 文件：

cat ~/.docker/config.json

输出结果包含类似于以下内容的部分：

{
    "auths": {
        "https://index.docker.io/v1/": {
            "auth": "c3R...zE2"
        }
    }
}

Note: 如果使用 Docker 凭证仓库，则不会看到 ​auth ​条目，看到的将是以仓库名称作为值的 ​credsStore ​条目。

创建一个基于现有凭证的 Secret 

Kubernetes 集群使用 ​kubernetes.io/dockerconfigjson​ 类型的 Secret 来通过镜像仓库的身份验证，进而提取私有镜像。

如果你已经运行了 ​docker login​ 命令，你可以复制该镜像仓库的凭证到 Kubernetes:

kubectl create secret generic regcred \
    --from-file=.dockerconfigjson= \
    --type=kubernetes.io/dockerconfigjson

如果你需要更多的设置（例如，为新 Secret 设置名字空间或标签）， 则可以在存储 Secret 之前对它进行自定义。 请务必：

• 将 data 项中的名称设置为 ​.dockerconfigjson ​
• 使用 base64 编码方法对 Docker 配置文件进行编码，然后粘贴该字符串的内容，作为字段 ​data[".dockerconfigjson"]​ 的值
• 将 ​type ​设置为 ​kubernetes.io/dockerconfigjson ​

示例：

apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
  namespace: awesomeapps
data:
  .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson

如果你收到错误消息：​error: no objects passed to create​， 这可能意味着 base64 编码的字符串是无效的。 如果你收到类似 ​Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ...​ 的错误消息，则表示数据中的 base64 编码字符串已成功解码，但无法解析为 ​.docker/config.json​ 文件。

在命令行上提供凭证来创建 Secret 

创建 Secret，命名为 ​regcred​：

kubectl create secret docker-registry regcred \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --docker-password=<你的密码> \
  --docker-email=<你的邮箱地址>

在这里：

• ​​ 是你的私有 Docker 仓库全限定域名（FQDN）。 DockerHub 使用 ​https://index.docker.io/v1/​。
• ​ ​是你的 Docker 用户名。
• ​ ​是你的 Docker 密码。
• ​​ 是你的 Docker 邮箱。

这样你就成功地将集群中的 Docker 凭证设置为名为 ​regcred ​的 Secret。

Note: 在命令行上键入 Secret 可能会将它们存储在你的 shell 历史记录中而不受保护， 并且这些 Secret 信息也可能在 ​kubectl ​运行期间对你 PC 上的其他用户可见。

检查 Secret regcred 

要了解你创建的 ​regcred ​Secret 的内容，可以用 YAML 格式进行查看：

kubectl get secret regcred --output=yaml

输出和下面类似：

apiVersion: v1
data:
  .dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
  ...
  name: regcred
  ...
type: kubernetes.io/dockerconfigjson

​.dockerconfigjson​ 字段的值是 Docker 凭证的 base64 表示。

要了解 ​dockerconfigjson ​字段中的内容，请将 Secret 数据转换为可读格式：

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode

输出和下面类似：

{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"jdoe@example.com","auth":"c3R...zE2"}}}

要了解 ​auth ​字段中的内容，请将 base64 编码过的数据转换为可读格式：

echo "c3R...zE2" | base64 --decode

输出结果中，用户名和密码用 ​:​ 链接，类似下面这样：

janedoe:xxxxxxxxxxx

注意，Secret 数据包含与本地 ​~/.docker/config.json​ 文件类似的授权令牌。

这样你就已经成功地将 Docker 凭证设置为集群中的名为 ​regcred ​的 Secret。

创建一个使用你的 Secret 的 Pod 

下面是一个 Pod 配置清单示例，该示例中 Pod 需要访问你的 Docker 凭证 ​regcred​：

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: 
  imagePullSecrets:
  - name: regcred

将上述文件下载到你的计算机中：

curl -L -O my-private-reg-pod.yaml https://K8S.io/examples/pods/private-reg-pod.yaml

在​my-private-reg-pod.yaml​ 文件中，使用私有仓库的镜像路径替换 ​​，例如：

janedoe/jdoe-private:v1

要从私有仓库拉取镜像，Kubernetes 需要凭证。 配置文件中的 ​imagePullSecrets ​字段表明 Kubernetes 应该通过名为 ​regcred ​的 Secret 获取凭证。

创建使用了你的 Secret 的 Pod，并检查它是否正常运行：

kubectl apply -f my-private-reg-pod.yaml
kubectl get pod private-reg

网站题目：创新互联kubernetes教程：Kubernetes从私有仓库拉取镜像
网页URL：http://www.csdahua.cn/qtweb/news46/494696.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网