从私有仓库拉取镜像
本文介绍如何使用Secret从私有的镜像仓库或代码仓库拉取镜像来创建Pod。有很多私有镜像仓库正在使用中。这个任务使用的镜像仓库是DockerHub
在开始之前要进行此练习,你需要docker命令行工具和一个知道密码的DockerID。如果你要使用不同的私有的镜像仓库,你需要有对应镜像仓库的命令行工具和登录信息。登录Docker镜像仓库
在个人电脑上,要想拉取私有镜像必须在镜像仓库上进行身份验证。
docker login
当出现提示时,输入你的DockerID和登录凭证(访问令牌、或DockerID的密码)。
登录过程会创建或更新保存有授权令牌的config.json文件。
查看config.json文件:
cat ~/.docker/config.json
输出结果包含类似于以下内容的部分:
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
Note:如果使用Docker凭证仓库,则不会看到auth条目,看到的将是以仓库名称作为值的credsStore条目。
创建一个基于现有凭证的Secret
Kubernetes集群使用kubernetes.io/dockerconfigjson类型的Secret来通过镜像仓库的身份验证,进而提取私有镜像。
如果你已经运行了dockerlogin命令,你可以复制该镜像仓库的凭证到Kubernetes:
kubectl create secret generic regcred \
--from-file=.dockerconfigjson= \
--type=kubernetes.io/dockerconfigjson
如果你需要更多的设置(例如,为新Secret设置名字空间或标签),则可以在存储Secret之前对它进行自定义。请务必:
示例:
apiVersion: v1
kind: Secret
metadata:
name: myregistrykey
namespace: awesomeapps
data:
.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
如果你收到错误消息:error:noobjectspassedtocreate,这可能意味着base64编码的字符串是无效的。如果你收到类似Secret"myregistrykey"isinvalid:data[.dockerconfigjson]:invalidvalue...的错误消息,则表示数据中的base64编码字符串已成功解码,但无法解析为.docker/config.json文件。
在命令行上提供凭证来创建Secret
创建Secret,命名为regcred:
kubectl create secret docker-registry regcred \
--docker-server=<你的镜像仓库服务器> \
--docker-username=<你的用户名> \
--docker-password=<你的密码> \
--docker-email=<你的邮箱地址>
在这里:
这样你就成功地将集群中的Docker凭证设置为名为regcred的Secret。
Note:在命令行上键入Secret可能会将它们存储在你的shell历史记录中而不受保护,并且这些Secret信息也可能在kubectl运行期间对你PC上的其他用户可见。
检查Secretregcred
要了解你创建的regcredSecret的内容,可以用YAML格式进行查看:
kubectl get secret regcred --output=yaml
输出和下面类似:
apiVersion: v1
data:
.dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
...
name: regcred
...
type: kubernetes.io/dockerconfigjson
.dockerconfigjson字段的值是Docker凭证的base64表示。
要了解dockerconfigjson字段中的内容,请将Secret数据转换为可读格式:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
输出和下面类似:
{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"[email protected]","auth":"c3R...zE2"}}}
要了解auth字段中的内容,请将base64编码过的数据转换为可读格式:
echo "c3R...zE2" | base64 --decode
输出结果中,用户名和密码用:链接,类似下面这样:
janedoe:xxxxxxxxxxx
注意,Secret数据包含与本地~/.docker/config.json文件类似的授权令牌。
这样你就已经成功地将Docker凭证设置为集群中的名为regcred的Secret。
创建一个使用你的Secret的Pod
下面是一个Pod配置清单示例,该示例中Pod需要访问你的Docker凭证regcred:
apiVersion: v1
kind: Pod
metadata:
name: private-reg
spec:
containers:
- name: private-reg-container
image:
imagePullSecrets:
- name: regcred
将上述文件下载到你的计算机中:
curl -L -O my-private-reg-pod.yaml https://k8s.io/examples/pods/private-reg-pod.yaml
在my-private-reg-pod.yaml文件中,使用私有仓库的镜像路径替换,例如:
janedoe/jdoe-private:v1
要从私有仓库拉取镜像,Kubernetes需要凭证。配置文件中的imagePullSecrets字段表明Kubernetes应该通过名为regcred的Secret获取凭证。
创建使用了你的Secret的Pod,并检查它是否正常运行:
kubectl apply -f my-private-reg-pod.yaml
kubectl get pod private-reg